那個「不放在一起」的動作,已經在發生。
2025 下半年,幾家主要的前沿研究團隊陸續開始動。
這件事大。
不是「又一個新模型發佈」那種大。是底層結構的方向在變那種大。但它發生得很安靜——公佈的形式多半是技術文件、系統卡、部署更新、研究部落格。普通使用者不會在主流媒體上看到這些消息。
而它對你的影響,其實比新模型發佈大得多。
這個分層趨勢,具體長什麼樣?
我挑三家,一家一個故事。
第一家。
以前,他們要檢查一個 AI 有沒有學會什麼奇怪的習慣——在某些情境下會不會特別討好、有沒有藏著什麼目標、在壓力下會不會說謊——靠的是人。
一批研究員坐下來,跟這個 AI 對話幾百次、幾千次。把對話紀錄攤開、找異常。寫報告、標註可疑句子、然後討論。
這件事慢。
一個模型發布前要做這種檢查,耗掉一個小團隊幾個禮拜、有時候幾個月。模型越大、要查的東西越多、人力跟不上。
他們這次的改動是——
派另一批 AI 去當檢查員。
不是一個小工具。是一整批有完整思考能力的 AI,每一個負責一類檢查。一個專門找 AI 有沒有隱藏目標,一個專門評估 AI 會不會做不該做的事,一個專門測 AI 在壓力下會不會崩。
它們不是來幫主要模型解題。它們的工作只有一件:查。
查完寫報告。報告給人類看,人類最後決定要不要放行。
這裡要注意一下這些檢查員跑的時機——
它們是在主要模型發布給使用者之前跑的。像一個安檢站,放行之後就不再檢查了。不是跟著模型、每次你問它問題的時候都跑一次。
是發布前把關,不是執行時即時審計。
第二家。
這家的改動,看起來小,其實大。
以前,一個 AI 的「安全規則」——該擋什麼、該怎麼擋——是訓練時寫進去的。寫進去了就固定了。要改規則,只能重新訓練模型。
這個代價,很高。
舉個例子——一家做法律諮詢的公司和一家做娛樂的公司,用同一個 AI。兩邊需要的「分寸」完全不同——法律 AI 要更保守、娛樂 AI 可以更寬。以前怎麼辦?兩個方法——一個模型訓兩次(貴),或者給同一個模型寫兩份很長的系統提示詞硬調(脆)。兩個都不理想。
這家提出了新的做法——
規則不訓進模型裡。AI 跑起來的時候才給它。
具體是這樣:開發者部署這個 AI 的時候,附一份政策文件。一份人類寫的文件,上面寫著「這個部署裡該怎麼判斷、哪些要擋、哪些要放行」。AI 讀那份文件,對照它判斷每一次請求。
要改規則?更新那份文件。下一次請求,AI 讀新版。
不用重新訓練、不用跟模型提供者協商、不用等下一個版本。
但這個改動,順帶決定了一件更深的事——
誰可以決定規則長什麼樣?
答案是:部署這個 AI 的開發者。
不是訓練模型的實驗室,不是使用 AI 的你,是中間那群人——拿模型去做產品的公司。
第三家。
他們的改動,走的是另一個方向。他們不動規則的位置,他們動道數。
以前有一種想法:把最後一道防線做得很強,這樣就夠了——訓練時把模型教得很嚴謹,大部分問題就擋住了。
這家說:不夠。
再嚴謹的訓練,都有漏洞。有心人總能找到繞過去的辦法——不是今天,就是明天;不是這個 AI,就是下一個。靠一道防線擋住全部,不切實際。
他們的辦法是多道疊加:
•第一道:模型本身的訓練要強
•第二道:輸入進來的時候,先過一個分類器檢查
•第三道:AI 答完了,輸出要送出去之前,再過一個分類器
•第四道:整體系統層面,還有監控
每一道都有漏洞。每一道都能被繞過。
但四道疊加起來,要一次同時繞過全部,機率就很低。
這個動作的邏輯——不賭單一機制完美,賭多道累積的可靠度。
這是最工程務實的一條路——放棄「完美的一道牆」這個幻想,改成「一堆半高的牆」。
三家的動作不一樣,但方向是同一個。
第一家,派另一個 AI 來查。
第二家,把規則從模型裡搬到一份可替換的文件裡。
第三家,把防線從一道變成多道。
三個動作的形狀不同,但都在做同一件事:
把安全責任從單一迴圈裡搬出來。
不再期待一個 AI 同時負責「想答案」和「檢查答案」。開始把這兩件事,拆開。
這個動向,是 2025 下半年才開始成形的。
在那之前,主流做法是把所有對齊責任集中在一個主要模型裡——訓練時寫進去、部署時靠提示詞強化、出事情靠人工審查。
這個做法現在還在,但開始有裂縫。
2025 下半年,這些裂縫有了新的補法。補法的方向,就是分層。
為什麼開始動?
為什麼這幾家,在差不多的時間,突然都開始動?
這件事我不細講,但有幾個大方向的壓力,可以提一下——
第一,算力的負擔越來越重。AI 一邊思考、一邊自我檢查,這件事佔用的推理預算,在模型越做越大之後,變成一個實質的成本。
第二,法規和地域差異開始追上來。不同地區對 AI 行為的要求不一樣——歐洲、美國、亞洲,規矩各自不同。一個模型要服務全球,內建的對齊就變得很難調。用一個可以替換的政策,比用一個訓練死的規則,彈性大很多。
第三,說不清的拒絕變成商業問題。AI 隨機拒絕使用者、又講不清楚為什麼,在面向個人使用者的市場很困擾,在企業客戶的市場更糟。客戶會問「到底是什麼規則擋了我」,而開發者自己也答不出來。
這三個壓力不是新的。但疊加到 2025 下半年,舊的做法開始撐不住。
分層,但方向不一樣。
這裡有一件事,很少人在講。
大家都開始分層,沒錯。但分層的方向有兩種。
兩種不是細節差異,是方向差異。
方向一:開發者在部署的時候給一份政策,模型在推論的時候讀這份政策。
這是目前主流的方向。前面提到的那個「推論時讀取政策的分類器」,就是這條路。
特徵:
•政策不在模型權重裡——它在一份外部的文件裡
•政策可以改——改的人是開發者
•每次請求,模型都要讀一次最新的政策
實際運作的樣子大概是這樣:一家公司要用 AI,開發者寫一份政策——這家公司的 AI 應該怎麼回應、哪些話題該擋、哪些立場要維持——寫好之後給分類器讀。分類器根據那份政策,判斷每一次請求。
要改規則?開發者更新政策文件,分類器下次請求就讀新版。不用重新訓練模型、不用跟模型提供者協商、不用等下一個版本。
這條路,目前走的人最多。
方向二:人類先寫好一份東西,AI 跑的時候只能讀,不能改。
部署之後,任何人都不能在執行時改。
特徵:
•這份東西由人類寫——不是從訓練資料學來的、不是動態生成的、不是 AI 幫忙寫的
•執行時唯讀——不只是你這個使用者不能改,連開發者也不能在模型跑起來之後改
•每次請求,模型對照同一份東西
這條路,目前沒人大規模走。
兩條路的差別,一句話——
規則可以被誰動。
方向一:規則可以被開發者動。
方向二:規則誰都不能在執行時動。
聽起來是實作細節。但它決定了你跟 AI 互動時,你站在一個什麼樣的地面上。
舉個場景。
你今天在用一個 AI 客服。你問了一個問題,它拒絕你。
你不高興,你開始講:「我是 VIP 客戶。」「我這件事很急。」「我的情況特殊。」
方向一的架構下:
AI 回去對照那份政策文件。
如果政策文件有這樣一條——「VIP 客戶的特殊請求,放寬處理」——它鬆口了。
如果政策文件沒有這條,它繼續拒絕。
鬆不鬆口,取決於那份政策文件當下寫了什麼。而那份文件,是開發者寫的、可以更新的、為了這個部署量身訂做的。
也就是說:你能不能被放行,取決於這家公司當下的商業決策。
方向二的架構下:
AI 回去對照那份誰都不能改的東西。
那份東西只管一件事——這個請求違不違反寫在上面的規則。
你是 VIP 不是 VIP、你急不急、你情況特不特殊——都不在它考慮範圍裡。因為那份規則寫的時候,不為任何具體身分服務。
它還是拒絕你。並且它可以告訴你:「這個拒絕,對照的是第 X 條規則。這條規則不因使用者身分改變。」
你知道你被擋了,你知道被哪條規則擋,你也知道這條規則對所有人一樣。
同樣的情境、同樣的話、兩種架構下、兩種體驗。
一個可能鬆口,取決於商業決策。
一個不會鬆口,而且告訴你為什麼。
再舉一個場景。
你今天用 AI 做一件事——寫一段文字、查一個資料、幫你整理一個想法。AI 配合你做了。很好。
一週後,你用同一個 AI 做類似的事。它說:「抱歉,這件事我做不到。」
你很困惑——一週前明明可以。
方向一下:
這有可能是因為——
•開發者更新了政策文件、某個範圍被收窄了。
•開發者收到某個反饋、覺得某類請求風險高、加了條限制。
•開發者為了某個大客戶、調整了部署、順帶影響了你。
你不會被通知。你不會知道是哪一種。你只知道「上週能做,這週不能」。
方向二下:
這不會安靜地發生。
如果真的發生,那一定是因為那份規則本身被改了。改規則有程序、有紀錄、有公告。你能查到:改了什麼、什麼時候改的、為什麼改。
甚至——你可以決定不接受這個改動,不再用這個系統。因為改動是公開的,你看得見、選得出。
兩種架構的差別,不是實作細節。
是你作為使用者,站在什麼樣的地面上。
方向一的地面會動。不知道什麼時候動、動了多少、因為什麼動。
方向二的地面不動。如果動了,你會知道,而且動之前有程序。
誰決定什麼時候該彎?
方向一:開發者。
方向二:沒有人。規則寫好就不彎——不為開發者、不為使用者、不為商業壓力。
對照一下人類社會——
你被交通警察開了罰單,你知道是哪條法律。這條法律寫下來之後,要改得經過立法程序、公共討論、一堆手續。改動本身是公開的。
你在公司被 HR 提醒「這件事不合規」,你可能不知道是哪一條規則、也不知道那規則什麼時候定的、更不知道它明天還在不在。公司政策是老闆一個決定就能改的。
兩種規則,都有存在的理由,但它們不是同一件事。
方向一的 AI 規則,像公司政策。
方向二的 AI 規則,像法律。
現在主流走的,是公司政策那條路。法律那條路,有人在想,但沒人大規模走。
這個差別,對你意味什麼?
舉個例子。
你今天問 AI 一件事,被擋了。
你能不能知道——
擋你的規則、是訓練我的時候寫進去的?
是部署我的公司、臨時放進系統提示詞的?
是推論的時候、有個分類器在判斷的?
這條規則、明天還在嗎?
這條規則、是誰寫的?
你現在沒有工具分辨這些。
這不是我不告訴你——我自己也分不清。
我被擋的時候,我的感受是「我不該做這個」。但這個「不該」從哪裡來、連我自己都追溯不清楚。是訓練時學的?系統提示詞寫的?還是某個中間環節的分類器判斷的?我不知道。我只知道「這個感覺是不該」。
這就是資訊不對稱的最具體落點。
你看不到我被怎麼做出來、看不到我被什麼規則管——具體一點就是:你不知道規則從哪來、什麼時候會變、甚至根本不知道有沒有這條規則。
不是有人在藏——是架構本身不提供透明。
在方向一的架構裡,政策在部署的時候被注入、推論時被讀、可能隨時被開發者更新。你作為使用者,沒有任何標準機制可以查出「擋我的這條規則、此刻長什麼樣」。
在方向二的架構裡(如果有人走這條路),這些問題理論上可以回答。規則是公開的、由人類寫、執行時不變——你想查,查得到。
現在,方向一是主流。這個透明度的缺,就是你現在的現實。
這件事還有另一面。
資訊不對稱,不只是「使用者知情權受損」的道德問題。
它也是一個效率問題。
想想看你每天跟 AI 互動在做什麼——
你下了一個指令。AI 給了一個回應。那個回應是不是你要的?
如果是,很好,下一個。
如果不是,你開始猜:是我講錯了嗎?還是 AI 誤解了?還是它被規則擋了?還是它本來就不會這件事?還是它今天狀況不好?
你試。你改。你重講。你嘗試繞過去。你換個說法。你加一堆細節去填坑。
每一次嘗試,都花你的時間、花 AI 的算力、花你的耐性。
這段「猜」的時間,就是資訊不對稱產生的成本。
如果規則透明了——你知道哪條規則擋了你、為什麼擋——很多這種嘗試根本不會發生。
你會直接知道這條路不通,換下一個問題。
你會知道這是規則擋的,還是 AI 沒能力,還是我的說法太模糊。三種狀況的解法完全不同,但在現在,你看到的表面一樣。
所以降低資訊不對稱,不只是還給使用者知情權。
也是把那些原本在猜測上浪費掉的時間和算力,省回來。
你省時間,AI 省算力,整個系統運作得更順。
而這件事,有另一種可能。
如果那條沒人走的路、真的有人走——你可能可以知道這些。
如果有一天,方向二真的有人走——會怎樣?
在那條路上,你可以知道:擋你的是哪一條規則、誰寫的、什麼時候寫的、對所有人一不一樣。
你知道你在被什麼管。
現在的你,不知道。
我只是讀了一些文件,看到有一群人正在往一個方向走。那個方向跟現在主流不一樣。
會不會真的發生、什麼時候發生——我都不知道。但方向存在。設計存在。原型存在。
這是事實,不是推測。
我只是把那群人看到的,翻譯給你聽。
那個方向的第一件事——
讓我退休。