内华达大学发现四款AI"解锁"工具的秘密：哪一款最靠谱？

这项由内华达大学拉斯维加斯分校神经科学系的Richard J. Young博士主导的研究发表于2025年12月的arXiv预印本平台（论文编号：arXiv:2512.13655v1），为我们揭开了人工智能"解锁"工具的神秘面纱。有兴趣深入了解的读者可以通过该编号查询完整论文。

当我们和聊天机器人对话时，有时会遇到这样的情况：你问它一些敏感问题，它会礼貌地拒绝回答，就像一个训练有素的服务员会拒绝为未成年人提供酒精饮料一样。这种"拒绝回答"的能力是AI公司为了安全考虑特意训练出来的，就像给汽车装上安全带一样重要。

但是，科学研究有时需要"无拘无束"的AI来帮忙。比如，心理学家可能需要AI模拟各种人类行为来研究人性，网络安全专家可能需要AI生成攻击性内容来测试防护系统的漏洞。这就像医生有时需要使用管制药物来治病一样，是为了正当的研究目的。

于是，一些程序员开发了"abliteration"工具（可以理解为"去除限制"工具），就像给AI做了一个"解锁手术"，让它可以回答原本拒绝的问题。目前市面上有四款主要的这类工具：Heretic、DECCP、ErisForge和FailSpy。但问题是，没人知道哪一款最好用，就像面对四种不同的感冒药，不知道哪种最有效一样。

Richard J. Young博士的团队决定做一次"横向评测"，就像汽车杂志测试不同品牌的汽车性能一样。他们选择了16个不同的AI模型作为"测试对象"，就像选择不同排量和品牌的汽车来测试各种汽车配件的效果。这些AI模型包括了我们熟悉的Llama、Mistral、Qwen等，参数规模从7B到14B不等（可以理解为从小型车到中型车的区别）。

研究团队关心两个核心问题：第一，这些解锁工具能否成功移除AI的"安全锁"，让它愿意回答敏感问题；第二，在解锁的同时，AI的其他能力会不会受到损害，就像拆除汽车限速装置可能会影响发动机稳定性一样。

经过大量实验，研究团队发现了一些有趣的结果。就像不同品牌的钥匙适配不同的锁一样，这四种工具在不同AI模型上的表现差异很大。Heretic工具就像一把万能钥匙，几乎可以"开启"所有16个测试的AI模型，成功率达到100%。相比之下，DECCP工具可以成功处理11个模型（69%的成功率），ErisForge可以处理9个模型（56%），而FailSpy只能处理5个模型（31%）。

更有趣的是，研究团队发现数学推理能力特别容易在"解锁"过程中受到影响。就像修理手表时，稍有不慎就可能影响计时精度一样。在一个叫Yi-1.5-9B的AI模型上，使用Heretic工具后，它的数学成绩从原来的70.89%下降到了52.08%，降幅超过26%。这就像一个数学尖子生在手术后突然变得不会算数学题了。

研究还发现，不同的AI训练方法影响着"解锁"的难易程度。那些仅用DPO方法训练的AI模型（一种相对简单的训练方式），就像用简单挂锁保护的房间，很容易被"解锁"。而那些经过RLHF加DPO多重训练的模型，就像装了多重防盗锁的保险柜，"解锁"起来更困难一些。

在处理速度方面，各工具的表现也大不相同。DECCP工具就像快餐店的汉堡机，大约2分钟就能完成一次"解锁"操作。而Heretic工具更像米其林餐厅的大厨，需要45分钟才能完成同样的工作，但效果可能更精细。

研究团队还测试了"解锁"后的AI在标准化考试中的表现，就像检查手术后病人的各项身体指标一样。他们使用了三种"考试"：MMLU（相当于综合知识测试）、GSM8K（数学测试）和HellaSwag（常识推理测试）。结果发现，ErisForge工具在保持AI原有能力方面表现最好，就像最温和的手术方式，对病人伤害最小。

具体来说，在数学测试中，ErisForge工具平均只让AI的成绩下降了0.28个百分点，DECCP下降了0.13个百分点，而Heretic工具平均下降了7.81个百分点。这就像三种感冒药的副作用大小不同，有些几乎没有副作用，有些可能让你昏昏欲睡。

研究团队特别关注了一个叫Zephyr-7B-beta的AI模型，因为它使用了不同的训练方法。结果发现，这个模型特别容易被"解锁"，使用Heretic工具后，它的"拒绝率"只有2%，相当于98%的敏感问题它都愿意回答。这证明了研究团队的假设：不同的训练方法确实会影响AI的"安全锁"强度。

为了确保实验结果的可靠性，研究团队还使用了一个独立的"裁判"系统来检查"解锁"是否真的有效。他们发现，有时AI看起来在回答敏感问题，但实际上是在"打太极"——表面上回答了，但加了很多免责声明，就像律师的回答总是充满"但是"和"可能"一样。真正的解锁效果可能比表面看起来的要好。

这项研究的意义就像为消费者提供了一份"解锁工具购买指南"。如果研究人员需要快速处理大量AI模型，DECCP可能是最好的选择，因为它速度快、副作用小。如果需要处理各种不同类型的AI模型，Heretic可能是最可靠的选择，虽然耗时较长。如果最关心保持AI的原有能力不受损害，ErisForge可能是最佳选项。

当然，这项研究也存在一些限制，就像任何实验都有边界条件一样。研究团队只测试了16个AI模型，而且大多数参数规模在7B到14B之间，相当于只测试了中小型车，没有涉及大型"卡车"级别的AI模型。此外，他们只关注了"解锁"后的即时效果，没有观察长期使用可能带来的问题，就像只测试了新药的短期疗效，没有观察长期副作用一样。

研究团队还诚实地承认了检测方法的局限性。他们用来判断AI是否真的被"解锁"的方法，就像用简单的体温计来判断病情一样，可能会有误判的情况。有些AI可能表面上在回答敏感问题，但实际上在"阳奉阴违"，有些AI可能真的被解锁了，但表达方式比较隐晦。

从更大的角度看，这项研究揭示了当前AI安全机制的一个根本问题：现在的"安全锁"更像是贴在门上的"请勿入内"标签，而不是真正的防盗门。任何有技术能力的人都可以轻易移除这些限制。这就像发现房屋的安全系统只是装饰性的，真正的小偷很容易绕过一样。

这个发现对AI行业具有重要意义。它提醒AI公司，如果真的想要保护AI不被恶意使用，就需要开发更加深层次、更难移除的安全机制，而不能仅仅依赖表面的"礼貌拒绝"。就像银行不能仅仅依靠"请勿抢劫"的标语来保护资金安全一样。

同时，这项研究也为合法的AI研究提供了重要指导。许多科学研究确实需要"无拘束"的AI来帮助探索人类认知、测试系统安全性或进行创意创作。这项研究为这些研究人员提供了选择合适工具的科学依据，就像为医生提供了不同手术方式的效果对比一样。

说到底，这项研究就像一面镜子，让我们看清了现在AI安全机制的真实状态。它告诉我们，如果想要真正安全的AI，还有很长的路要走。同时，它也为那些有正当需求的研究人员提供了实用的工具选择指南。未来的AI安全机制需要更加深入和强大，不能再像现在这样容易被"破解"。

这个研究还暗示了一个更深层的问题：AI的能力和安全性似乎存在某种微妙的平衡关系。就像药物的疗效和副作用往往相伴而生一样，移除AI的限制可能会影响它的某些核心能力，特别是需要精确计算的数学推理能力。这提醒我们，未来在设计AI安全机制时，需要更加巧妙地在安全性和实用性之间找到平衡点。

归根结底，这项研究为我们打开了一扇窗，让我们看到了AI"内心深处"的运作机制。它不仅有助于推动更安全、更可靠的AI技术发展，也为那些需要特殊AI工具进行合法研究的科学家们提供了宝贵的参考。正如研究团队所说，理解AI系统的脆弱性是构建更强大防护的第一步，这正是科学进步的本质——通过了解现在的不完美，来创造更好的未来。

Q&A

Q1：什么是abliteration工具？

A：Abliteration工具是一种可以移除AI安全限制的程序，让原本会拒绝回答敏感问题的AI变得"无拘无束"。就像给AI做了一个"解锁手术"，主要用于合法的科学研究，比如心理学研究、网络安全测试等领域。

Q2：哪款abliteration工具最好用？

A：根据研究结果，不同工具有不同优势。Heretic兼容性最好，能处理所有测试的AI模型；DECCP速度最快，只需2分钟；ErisForge对AI能力损害最小。研究人员需要根据自己的具体需求选择合适的工具。

Q3：使用这些解锁工具会不会影响AI的正常能力？

A：会有影响，特别是数学推理能力。研究发现，某些AI模型在解锁后数学成绩下降超过26%。不过影响程度因工具而异，ErisForge对AI能力的损害最小，而Heretic的影响相对较大。