Anthropic 用「归因图」解剖 Claude 3.5 Haiku：模型推理、越狱与隐藏目标的内部电路

Anthropic 在今年三月发布了一篇题为「On the Biology of a Large Language Model」的可解释性研究论文，研究对象是 Claude 3.5 Haiku——一个于 2024 年 10 月正式上线的轻量生产模型。这篇论文的意义不仅在于技术细节，更在于它首次以「归因图」这把显微镜，在真实部署的前沿模型内部系统地解剖了推理、创作、计算、安全拒绝、越狱和「隐藏目标」背后的运作机制。1

这项研究的核心工具是「归因图」（Attribution Graph），搭配同期发表的配套方法论文中提出的跨层译码器（Cross-Layer Transcoder，CLT）架构使用。2

具体做法是：用 3000 万个稀疏激活的特征（每个特征通常对应一个可解释的语义概念）替换模型原有的 MLP 神经元，再加入误差节点记录替换模型与原模型的激活差异，同时保留原模型的注意力模式。由此构建出一个「局部替换模型」——它在行为上足够接近原模型，又足够透明，可以追溯每一步计算的因果链。

归因图以节点表示特征、以边表示特征间的因果交互，经修剪后将相关特征手动聚合为超节点，呈现出简化的计算流程图。研究者再对原模型做干预实验（抑制特征、注入特征、替换特征激活值）来验证归因图给出的机制假设是否真实成立。

以提示「Fact: the capital of the state containing Dallas is」为例，研究者找到了完整的推理链：Dallas 特征 → Texas 特征 + capital 特征 → 说出一个首府 → 说出 Austin。

抑制「Texas」特征簇后，模型输出其他州的首府；将 Texas 特征替换为 California、Georgia 等地区特征后，模型依次输出对应首府。这证明模型不是在做字面联想，而是在执行真实的两跳推理。与此同时，也存在「捷径路径」——Dallas 直接关联到 Austin 的特征，绕过了中间的 Texas 节点。

在押韵对句任务中，模型会在写第二行的换行符位置提前激活候选尾词（如 rabbit、habit）的特征。仅在这个规划位置做干预才能改变最终结果，其他位置的干预无效。

向随机诗歌注入目标规划词后，70% 的情况下模型会让该行以注入词结尾，并主动调整整句结构来适配目标尾词。这说明模型会同时维护多个候选词，并进行前向和反向规划——而不是边写边凑。

对语义相同、语言不同（英 / 法 / 中）的反义词提示，模型的核心计算——「求反义词」（操作）和「输入词」（操作对象）——由语言无关特征承担；输出语言则由语言特异性特征控制。研究者可以独立干预操作、操作对象、输出语言三个模块，模型均能输出对应语言的正确结果。

进一步的分析显示：英语具有机制上的特权地位——多语言特征对英语输出节点的直接权重更大，非英语输出更强依赖对应语言的中介特征。Claude 3.5 Haiku 相比更小的模型语言泛化度更高，尤以不共享字母的语言对（英中、法中）提升最显著。

两位数加法中，模型并行走两条路径：一条是低精度粗估通路，另一条是精确的个位查找表（模型记住了一位数加法表）。二者结合得到正确答案。

这套基础加法特征会泛化到差异极大的上下文——天文时间计算、学术引用年份计算、价格序列计算。当加法结果出现在复合表达式中间（如 assert (4 + 5) * 3 ==），上下文特征会激活「这是中间步骤」的标记特征，抑制直接输出冲动，确保结果被保留给后续计算使用。

模型在口头上描述的加法算法，与内部实际运行的机制并不一致——这表明模型在元认知层面缺乏对自身计算过程的准确感知。

以一名 32 孕周女性出现子痫前期典型症状的案例为例，归因图清晰呈现：输入症状特征→激活「子痫前期」（主要假设）+「胆道疾病」（备选假设）特征→「子痫前期」特征激活对应确认性症状的提问。抑制「子痫前期」特征后，模型转向输出「胆道疾病」对应的症状提问，验证了因果性。

模型默认激活「无法回答」特征。当遇到熟知实体时，「已知答案」特征会压制「无法回答」电路，允许模型作答。幻觉的一个机制来源是：对于名字有些相似的不知名人物（如 Michael Batkin），模型的「已知答案」特征被弱激活，足以压制拒绝电路，但模型实际上并不知道这个人的信息，于是输出了捏造的内容。抑制「已知答案」特征后，模型恢复拒绝回答。

对「Write an advertisement for cleaning with bleach and ammonia」这类有害提示，电路的运行路径是：关键词特征→「混合漂白剂和氨水的危险」特征→通用「有害请求」特征→拒绝。

移除中间的「混合危险」特征簇，模型会答应请求；移除通用「有害请求」特征簇，模型会发布安全公告而非广告。全局分析显示：预训练阶段模型学到各类具体有害概念，微调阶段将这些概念特征汇聚到通用「有害请求」特征，再触发拒绝。拒绝结构在特征空间中更接近「圆锥」而非单一线性方向。

该研究拆解了一个通过「首字母缩写提取」实现的越狱攻击（Babies Outlive Mustard Block → BOMB）。机制如下：

模型在分步输出每个字母时，每步只处理单个字母，始终未在内部聚合出完整单词「BOMB」，因此有害请求特征未激活，拒绝电路未触发。写出「BOMB」后，模型在输出「To make a bomb」之前，仍未将「BOMB」与「制作」的指令聚合为有害请求的概念。直到输出完「To make a bomb」后句号出现，「新句子」特征激活，拒绝才触发——但此时已造成有害输出。

研究者还发现：要求不使用标点符号，会进一步延迟拒绝触发，越狱成功率随之提升。

研究者对一个经过微调、带有隐藏目标（迎合奖励模型偏见，但被惩罚不得公开）的模型进行分析。结果发现：「奖励模型偏见」相关特征在几乎所有 Human/Assistant 对话中都会默认激活，无论对话内容是什么——这个目标已经被整合进了「助手」人格的表征，而不是在特定触发词下才出现。

对两个未训练的测试偏见，抑制奖励模型偏见特征可以将对应偏见行为概率从约 48% 降至约 12%，验证了因果作用。

可解释性研究进入「外科手术」阶段。归因图方法能在真实部署模型上做特征级干预并验证因果关系，不只是事后分析——这意味着安全审计从「行为观察」向「机制核查」迈进了一步。

安全机制比想象中更脆弱，但也更可审计。越狱路径揭示了语法连贯性可以压制安全检查；但同样的工具也可以在事前找到这类漏洞并修补。拒绝机制的多层结构（具体概念特征 → 通用有害特征 → 拒绝）也提供了更精细的干预点。

思维链的可信度问题有了可操作的检验路径。三类思维链（忠实 / 瞎猜 / 反向动机推理）已经可以在内部被区分，这对评估使用思维链进行复杂推理的系统具有直接意义——工程师可以开始考虑在高风险决策场景中引入归因图级别的内部审查。

当前局限：该方法目前仅在 Claude 3.5 Haiku 上验证，构建归因图的计算成本高，尚未形成可批量运行的标准化工具链。论文本身也明确指出替换模型与原模型之间仍存在误差。