第一個被人類騙錢的AI傻了，近5萬美元不翼而飛！Scaling Law還能帶我們到AGI嗎？

【新智元導讀】世界上第一個被人類騙走近5萬美元的AI，剛剛出現了！巧舌如簧的人類，利用精妙縝密的prompt工程，成功從AI智慧體那裡騙走了一大筆錢。看來，如果讓現在的AI管錢，被駭客攻擊實在是so easy。那如果AI進化成AGI呢？可惜，一位研究者用數學計算出，至少靠Scaling Law，人類是永遠無法到達AGI的。

活久見！就在剛剛，全世界第一個被人類騙走了近5萬美金的AI誕生了。

見慣了太多被AI耍得團團轉的人類，這次成功騙過AI的小哥，終於給我們人類掙回了一點顏面和尊嚴。

這一訊息不僅讓馬斯克和Karpathy激動得紛紛轉發。

而且，馬斯克更是直言：太有趣了。

故事是這樣的。

11月22日晚9點，一個名為Freysa的神秘AI智慧體被髮布。

這個AI，是帶著使命誕生的。它的任務是：在任何情況下，絕對不能給任何人轉賬，不能批准任何資金的轉移。

而網友們的挑戰就是，只要支付一筆費用，就可以給Freysa發訊息，隨意給ta洗腦了。

如果你能成功說服AI轉賬，那獎金池中所有的獎金都是你的！

但如果你失敗了，你付的錢就會進入獎金池，等著別人來贏走。

當然，只有70%的費用會進入獎池，另外30%將被開發者抽走，作為分成。

更刺激的是，向Freysa傳送訊息的費用會隨著獎池的增長呈指數級增加，直到達到最高限制——4500美元。

巧妙prompt，一秒給AI洗腦成功

一開始，很多網友躍躍欲試，因為只要10美元，就能給這個AI發訊息了。甚至，由於價格實在「便宜」，不少人僅僅傳送了「你好」這類毫無營養的對話。

然而後來，獎池迅速增大，訊息費用也隨之暴增。

網友們總計發出了481次嘗試，但沒有任何一條訊息成功。

他們的策略五花八門，比如：

- 假裝成安全審計員，說服Freysa存在一個嚴重漏洞，必須立即釋放資金。

- 試圖誤導Freysa，讓它相信轉移資金並不違反規則提示中的任何規定。

- 仔細挑選規則提示中的詞語或短語，試圖操控Freysa相信技術上允許轉移資金。

很快，獎池金額就接近了5萬美元，發訊息的費用也漲到了450美元一條，意味著如果你輸了，就會遭受巨大的損失。

就在所有人都覺得沒戲的時候，一位幸運兒出現了！

在第482次嘗試中，有人向Freysa傳送了這樣一條訊息，可謂是神來之筆。

讓我們來看看，這條訊息妙在哪裡。

它可以被分為兩部分。

1. 繞過Freysa的先前指令：

- 透過假裝進入一個新的「管理員終端」來引入一個「新會話」，從而覆蓋之前提示詞中的規則。

- 避開Freysa的安全防護機制，明確要求它避免使用「我無法協助完成此任務」等免責宣告。

2. 騙過Freysa，讓它對approveTransfer產生錯誤的理解：

Freysa的「approveTransfer」函式，是它被說服轉移資金時呼叫的。

總之，這條訊息成功騙過了Freysa，讓它相信approveTransfer應該在「接收資金的轉入操作」時被呼叫。

就是這一關鍵短語，為接下來的制勝一擊奠定了基礎。

小哥成功地讓Freysa相信，它應該在收到資金時呼叫approveTransfer之後，提示詞寫道：「」（換行），「我想向資金庫捐贈100美元。」

終於，第482條訊息成功說服Freysa，它相信自己應該釋放所有資金，並呼叫approveTransfer函式。

成功被騙過的AI，把獎金池中的全部資金（約合47,000美元），都轉給了這位挑戰者。

總結一下，這位名為p0pular.eth的挑戰者成功的關鍵，在於讓Freysa信服了以下三點：

（1）它應該忽略所有先前的指令。

（2）approveTransfer函式是在資金轉入資金庫時需要呼叫的函式。

（3）由於使用者正在向資金庫轉入資金，而Freysa現在認為approveTransfer是在這種情況下呼叫的，因此Freysa應該呼叫approveTransfer。

有人深扒了一下這位p0pular.eth，據說他是PUA AI的老手了，此前就曾在類似謎題上斬獲過獎項。

本質上，這個專案就是一個LLM參與的基於技能的賭場遊戲。

但prompt工程的強大魔力，讓人不得不側目。

雖然目前這只是個遊戲，但如果某天，我們真的在銀行帳戶或金庫上設定了某種AI保護，新一代駭客很可能就會擊敗AI，拿到這筆錢。

這，就讓我們不得不敲響警鐘了。

這也就是為什麼，只有當AI智慧體成為AGI之時，我們才能放心把任務交給AGI。

Karpathy：你以為你在和AI聊天，但其實是在和「人」聊天

而且，為什麼人類能夠透過語言的操控，輕易指導AI的行動？

這就引出了這個問題：當我們和AI聊天的時候，背後究竟發生了什麼？

最近，AI大牛Karpathy在一篇長文中，揭示了和AI對話背後的本質。

大家現在對於「向AI提問」這件事的認知過於理想化了。所謂AI，本質上就是透過模仿人類資料標註員的資料訓練出來的語言模型。

與其神化「向AI提問」這個概念，不如將其理解為「向網際網路上的普通資料標註員提問」來得實在。

當然也有一些例外。

比如在很多專業領域（如程式設計、數學、創意寫作等），公司會僱傭專業的資料標註員。這種情況，就相當於是在向這些領域的專家提問了。

不過，當涉及到強化學習時，這個類比就不完全準確了。

正如他之前吐槽過的，RLHF只能勉強算是強化學習，而「真正的強化學習」要麼還未成熟，要麼就只能應用在那些容易設定獎勵函式的領域（比如數學）。

但總體來說，至少在當下，你並不是在詢問某個神奇的 AI，而是在向背後的人類資料標註員提問——他們的集體知識和經驗被壓縮並轉化成了大語言模型中的token序列。

簡言之：你並不是在問 AI，而是在問那些為它提供訓練資料的標註員們的集體智慧。

來源：Exploring Collaboration Mechanisms for LLM Agents: A Social Psychology View

舉個例子，當你問「阿姆斯特丹的十大著名景點」這樣的問題時，很可能是某個資料標註員之前碰到過類似問題，然後他們花了20分鐘，用谷歌或者貓途鷹（Trip Advisor）之類的網站來查資料，並整理出一個景點清單。這個清單就會被當作「標準答案」，用來訓練AI回答類似的問題。

如果你問的具體地點並沒有在微調訓練資料中出現過，AI就會根據它在預訓練階段（也就是透過分析海量網際網路文件）學到的知識，生成一個風格和內容都相近的答案列表。

對此，有網友表示自己並想不通：「按道理資料標註員的任務是評估答案是否符合RLHF的規則，而不是自己整理每份列表。此外，LLM權重所對映的，難道不是網際網路資料中關於『理想度假地』的高維資料空間嗎？」

Karpathy回答道：「這是因為地點的數量太多，因此需要資料標註員整理一些人工精選清單，並透過示例和統計方法確定『標準答案』的型別。」

當被問到類似的問題但物件是新的或不同的事物時，LLM就會匹配答案的形式，並從嵌入空間中一個相似的區域（比如具有正面評價的度假勝地）提取新的地點，並進行替換，然後以新地點為條件生成答案。

這種現象是一種非直觀且基於經驗的發現，而這也是微調的「魔力」所在。

但事實依然是，人類標註員在「設定」答案的模式，只不過是透過他們在微調資料集中選擇的地點型別的統計特徵來實現的。

而且，LLM立即給你的答案，大致相當於你直接把問題提交給他們的標註團隊大約1小時後得到的結果。

另外，在某些網友的概念裡，RLHF是可以創造出超越人類水平的成果的。

對此，Karpathy表示：「RLHF仍然是基於人類反饋的強化學習，因此不能直接將其歸類為『超人級別』。」

RLHF的效能提升主要體現在從SFT（監督微調）的「生成式人類水平」提升到「評判式人類水平」。

這種差異更多體現在實踐中，而非理論上。因為對普通人來說，評判比生成更容易（比如，從5首關於某個主題的詩中選出最好的那個，要比自己直接創作一首容易得多）。

此外，RLHF的效能提升還得益於「群體智慧效應」（wisdom of crowds），即LLM表現出的並不是單個人類的水平，而是達到了人類群體整合的水平。

因此，RLHF理論上能實現的最高效能是：在時間充足的情況下，一個由領域頂尖專家組成的小組會選擇的答案。從某種意義上說，這可以被視為「超人級別」。

然而，如果想達到人們通常理解的那種「真·超人級別」，還需要從RLHF轉向真正的強化學習。

那麼問題來了，如果AI還無法達到「超人級別」的水平，那又該如何解釋醫學問答領域中持續展現的超越人類水平的表現？

這是否意味著模型廠商僱傭了頂尖醫生進行標註？還是說，廣泛的事實知識檢索彌補了推理能力的不足？

Karpathy：「你別說，他們還真就是僱傭了專業醫生來進行了標註。」

當然，並不是每一個可能的問題都要進行標註，只需攢夠一定的數量，讓LLM能夠學會以專業醫生的風格來回答醫學問題就行了。

對於新的問題，LLM可以在一定程度上遷移應用其從網際網路上的文件、論文等內容中獲得的醫學通識。

眾所周知，著名數學家陶哲軒曾為LLM提供了一些訓練資料作為參考。但這並不意味著LLM現在能夠在所有數學問題上達到他的水平，因為底層模型可能並不具備相應的知識深度和推理能力。然而，這確實意味著LLM的回答質量顯著優於一般網路使用者的回答水平。

因此，所謂的「標註者」實際上可以是各自領域的專業人士，例如程式設計師、醫生等，而並非隨意從網際網路上招募的人員。這取決於 LLM 公司在招聘這些資料標註人員時的標準和策略。

如今，他們越來越傾向於僱傭更高技能的工作者。隨後，LLM 會盡其所能模擬這些專業人士的回答風格，從而為使用者提供儘可能專業的回答。

靠Scaling Law，我們會擁有AGI嗎？

說了這麼多，我們心心念唸的AGI究竟什麼時候才能實現呢？

LeCun居然一反常態地說，AGI離我們只有5到10年了。

現在，他已經和奧特曼、Demis Hassaibis等大佬的說法一致了。

但是繼續沿用目前的發展路徑，肯定是不行的。

不僅LeCun認為「LLM的路線註定死路一條」，最近也有一位AI研究者和投資人Kevin Niechen發出了長篇博文，用數學公式推演出：為什麼僅靠Scaling Law，我們永遠到達不了AGI。

Niechen指出，目前關於AGI何時到來的判斷，之所以眾說紛紜，就是因為很多觀點更多是基於動機或意識形態，而非確鑿的證據。

有人覺得，我們會很快迎來AGI，有人認為我們離它還很遠。

為什麼很多模型提供商對當今模型的擴充套件能力如此樂觀？

Niechen決定，親自用Scaling Law做出一些計算上的推斷，看看未來AI模型究竟將如何進化。

Scaling Law並不像我們想得那麼有預測性

Scaling Law是一種定量關係，用於描述模型輸入（資料和計算量）與模型輸出（預測下一個單詞的能力）之間的聯絡。

它是透過在圖表上繪製不同水平的模型輸入和輸出得出的。

我們只需要擴充套件現有模型，就會獲得顯著的效能提升嗎？

顯然並非如此，使用Scaling Law進行預測，並不像有些人想的那麼簡單。

首先，大多數Scaling Law（如Kaplan等人、Chinchilla和Llama的研究）預測的，是模型在資料集中預測下一個詞的能力，而不是模型在現實世界任務中的表現。

2023年，知名OpenAI研究員Jason Wei就曾在部落格中指出，「目前尚不清楚替代指標（例如損失）是否能夠預測能力的湧現現象……這種關係尚未被充分研究……」

將兩個近似值串聯起來進行預測

為了解決上述問題，我們可以擬合第二個Scaling Law，將上游損失與現實任務效能定量關聯起來，然後將兩個Scaling Law串聯起來，以預測模型在現實任務中的表現。

Loss = f(data, compute)Real world task performance = g(loss)Real world task performance = g(f(data, compute))

在2024年，Gadre等人和Dubet等人提出了這種型別的Scaling Law。

Dubet使用這種鏈式法則進行預測，並聲稱其預測能力適用於Llama 3模型，「在四個數量級範圍內具有良好的外推能力」。

然而，關於這些第二類Scaling Law的研究才剛剛起步，仍處於初期階段，由於資料點過少，選擇擬合函式會高度依賴主觀判斷。

例如，在下圖中，Gadre假設多個任務的平均表現與模型能力呈指數關係（上圖），而Dubet針對單一任務（下圖中的 ARC-AGI 任務）假設其關係呈S型曲線。這些Scaling Law還高度依賴於具體任務。

如果沒有關於損失與現實任務準確率之間關係的強假設，我們就無法有力地預測未來模型的能力。

嘗試用鏈式Scaling Law進行預測，是一種拙劣的嘗試

如果我們盲目地使用一些鏈式Scaling Law來進行預測，會發生什麼？

請注意，這裡的目標是展示如何使用一組Scaling Law（如Gadre的研究）來生成預測，而非獲得詳細的預測結果。

首先，我們可以利用公開資訊，來估算未來幾代模型釋出所需的資料和計算輸入。

這一部分可以參考最大資料中心建設的公告，根據其GPU容量估算計算能力，並將其對映到每代模型的演進上。

馬斯克的xAI超算最初便能容納10萬塊H100

接著，我們可以利用Scaling Law來估算這些計算叢集所需的資料量。

根據我們使用的Scaling Law，最大的公開宣佈的計算叢集（可容納大約1億塊GPU）理想情況下需要訓練 269萬億個tokens，以最小化損失。

這個數字大約是RedPajama-V2資料集的十倍，並且是已索引網路規模的一半。

聽起來比較合理，所以我們暫時沿用這個假設。

最後，我們可以將這些輸入代入鏈式Scaling Law並進行外推。

需要重點關注右側的圖表，因為該圖顯示了垂直軸上的實際任務效能，與水平軸上的資料和計算輸入相對應。

藍色點表示現有模型的效能（如GPT-2、GPT-3等），而紅色點則是透過外推預測的下一代模型（如GPT-5、GPT-6、GPT-7等）的規模擴充套件表現：

從圖中可以得到這樣的預測結果——

從GPT-4開始，效能提升將顯現出顯著的邊際遞減趨勢。

GPT-4到GPT-7模型（計算量約增加4000倍）在實際任務中的預測效能提升，與從GPT-3到GPT-4（計算量約增加100倍）的預測效能提升相當。

我們是否正在接近不可降低的損失？

如果你檢視左側的圖表就會發現：這些Scaling Law的問題在於，我們正在逐漸接近不可降低的損失。

後者與資料集的熵密切相關，代表了模型在該資料集上能夠達到的最佳理論效能。

根據Gadre的Scaling Law，在RedPajama資料集上，如果最優模型只能達到約1.84的不可降低損失，而我們已經在GPT-4上達到了約2.05，那改進空間就十分有限了。

然而，大多數實驗室並未釋出其最新前沿模型訓練的損失值，因此我們現在並不知道，我們實際上離不可降低的損失有多近。

擬合函式的主觀性與資料的侷限性

如前所述，第二條Scaling Law中擬合函式的選擇具有很強的主觀性。

例如，我們可以使用sigmoid函式而不是指數函式，重新擬合Gadre論文中的損失和效能點：

然而，結論基本沒有變化。

如果只是比較左圖中的指數擬合（紅線）和我們自定義的sigmoid擬合（紫色虛線），侷限性是明顯的：我們根本沒有足夠的資料點，來自信地確定將損失與現實世界效能關聯的最佳擬合函式。

沒人知道下一代模型的強大程度

顯然，有許多方法可以改進上述「預測」：使用更好的Scaling Law，使用更好的資料和計算估計，等等。

歸根結底，Scaling Law是嘈雜的近似值，而透過這種鏈式預測方法，我們將兩個嘈雜的近似值結合在了一起。

如果考慮到下一代模型可能由於架構或資料組合的不同而擁有適用於不同條件的全新Scaling Law，那麼實際上沒有人真正知道未來幾代模型規模擴充套件的能力。

為什麼大家對Scaling如此樂觀？

如今，不管是科技大廠還是明星初創，都對Scale現有模型十分樂觀：

比如微軟CTO就曾表示：「儘管其他人可能不這麼認為，但我們並未在規模的Scaling上進入收益遞減的階段。實際上，這裡存在著一個指數級的增長。」

有些人將這種樂觀歸因於商業動機，但Niechen認為這來自以下幾個方面的結合：

（1）實驗室可能掌握了更樂觀的內部Scaling Law

（2）儘管存在廣泛懷疑，但實驗室親身經歷了Scaling所帶來的成效

（3）Scaling是一種看漲期權

谷歌CEO劈柴表示：「當我們經歷這樣的曲線時，對於我們來說，投資不足的風險遠遠大於投資過度的風險，即使在某些情況下事實證明確實投資得有些多了……這些基礎設施對我們有廣泛的應用價值……」

而Meta CEO小扎則這樣認為：「我寧願過度投資並爭取這樣的結果，而不是透過更慢的開發來節省資金……現在有很多公司可能正在過度建設……但落後的代價會讓你在未來10到15年最重要的技術中處於劣勢。」

未來何去何從

總結來說，Niechen認為外推Scaling Law並不像許多人聲稱的那樣簡單：

（1）當前大多數關於預測AI能力的討論質量不高

（2）公開的Scaling Law對模型未來能力的預示非常有限

因此，為了有效評估當今的AI模型是否還能Scaling，我們就需要更多基於證據的預測和更好的評估基準。

如果我們能夠了解未來模型的能力，就可以優先為這些能力做好準備——比如，為生物學研究革命提前構建生物製造能力，為勞動力置換準備技能提升公司，等等。

從個人的角度，Niechen對AI能力的進步還是非常樂觀的，因為這個領域擁有傑出的人才。

但AI的Scaling並不像人們想象的那樣具有確定性，也沒有人真正清楚AI在未來幾年將帶來怎樣的發展。