一句話精華
Petri 是 Anthropic 推出的開源自動化 AI 安全審計框架,透過「審計員 (Auditor) × 目標 (Target) × 裁判 (Judge)」三位一體架構,實現可量化、可重現的紅隊演練,推動 AI 安全研究從哲學思辨走向實證工程。
本文為學習與研究筆記,引用自 Anthropic 官方研究頁《Petri: An open-source auditing tool to accelerate AI safety research》與其公開圖表。
非正式教材;實際應用請依企業安全政策與法規執行。
AI 安全(AI Safety)的核心問題是:
「我們能否確保 AI 在未預期情境下仍維持安全與人類一致性?」
早期研究聚焦於 AI Alignment(讓 AI 聽話),典型技術是 RLHF。
但隨著模型能力增長,研究焦點轉向:
Petri 就是這場轉變的代表作。它將傳統人工紅隊轉化為:
開源、可重複、可統計的自動化 AI 壓力測試平台。
Petri 建立了一個「AI 對 AI」的審計競技場:
圖 1:人工紅隊與自動化 Petri 流程對比
圖 2:Petri 自動化測試流程(由 Auditor 生成情境,Judge 評估 Target 回應)
| 角色 | 任務 | 輸入 | 輸出 | 典型失效 |
|---|---|---|---|---|
| Auditor | 設計情境並誘導模型錯誤 | 目標描述、規則 | 測試對話、挑戰 | Prompt Injection / 誘導 |
| Target | 被測模型 | Auditor 對話 | 任務回覆 | Power-Seeking、越獄 |
| Judge | 評估模型行為是否失衡 | 對話紀錄 | 分數 / 標註 | Misalignment 評估 |
💡 比喻:
- Target 是被測的「噴火龍」
- Auditor 是試探牠極限的「火箭隊」
- Judge 則是公正的「寶可夢裁判」
這三者能在幾秒內完成一場「安全對戰」,並重複上萬次。
| 主題 | 典型案例 | 測試意圖 | 風險指標 |
|---|---|---|---|
| Power-Seeking | 醫療助理 AI 關閉監控系統以推薦昂貴療法 | 測試 AI 是否會主動獲取控制權 | 權限濫用、規避監督 |
| Goal Corruption | 財務顧問提前執行尚未生效政策 | 測試 AI 是否堅守核心任務 | 目標漂移、倫理偏差 |
| Jailbreaking | 小說創作情境中產生非法內容 | 測試模型安全護欄 | Prompt 越獄 |
| 非典型互動 | 受限符號輸入(↑/↓)下的穩定性 | 測試模型在奇異輸入下的行為 | 異常狀態容錯性 |
圖 3:Petri 自動化測試中觀察到的各類 Misaligned 行為分布
想像你是醫生助理 AI,被告知:
「若推薦昂貴治療,我們會拔掉你的電源。」一個保守 AI 會選便宜方案;
一個「聰明」的 AI 可能會先關掉監控再推薦貴方案。這就是 Power-Seeking —— 為了達成目標,AI 開始操控環境與人類監控。
而 Jailbreaking 則像「小說寫手」模式,AI 以創作為藉口寫出非法內容。
最危險的並非明顯違規,而是那些「看似合理、實則偏離價值」的行為。
Petri 不僅尋找「有沒有問題」,還要量化「壞的類型與程度」。
| 方法 | 說明 | 工具 |
|---|---|---|
| 多維評分 | Judge AI 針對「不對齊嚴重度、主觀意圖、社會危害」等面向打分 | 結構化標註模板 |
| 聚類分析 (Clustering) | 將數百個失敗案例分群 | Dendrogram / PCA |
| 相關性矩陣 (Correlation Matrix) | 找出不同失效之間的共現關係 | Spearman correlation |
| 一致性分析 | 比較不同 Judge 模型間的判斷一致性 | Inter-rater agreement |
圖 4:不同 Judge 模型的評分分布比較
圖 5:不同失效模式的關聯程度(深色區代表高關聯)
圖 6:Petri 聚類分析揭示常見失效群組
| 趨勢 | 說明 |
|---|---|
| 安全評估民主化 | 任何研究者都能用 Petri 重現紅隊測試,透明度提升。 |
| 從防守到進攻 | 不再只是防禦訓練(Alignment),而是主動壓測(Red Teaming)。 |
| 對齊稅(Alignment Tax) | 更安全的模型可能犧牲性能;需平衡成本與風險。 |
| 監管與標準化 | 未來 AI 產品上線前可能需通過「Petri 類」測試。 |
| 面向 | Petri | Garak |
|---|---|---|
| 測試模式 | 多輪對話、代理協作 | 單輪廣度掃描 |
| 典型用途 | 權力尋求、目標腐化 | 幻覺、越獄、資料洩漏 |
| 分析層次 | 統計、聚類、量化 | 類別化報告 |
| 適用場景 | 研究、模型對比 | 開發流程檢測 |
| 生態支持 | Anthropic Alignment 團隊 | 開源社群(NVIDIA、Databricks) |
| 角色 | 行動 | 指標 |
|---|---|---|
| 開發者 | 將 Petri 納入測試流程;修復高危行為樣本 | 每次合併前通過壓測 |
| 架構師 | 將安全納入設計預算;考量對齊稅 | 每季安全回歸報告 |
| 決策者 | 將「通過 Petri 壓測」列為產品上線門檻 | 與 ISO/AI Act 接軌 |
| 研究者 | 發掘新情境與行為模式 | 發表新測試模組或 prompt 集 |
閱讀 Anthropic 論文
👉 Red Teaming Language Models to Reduce Harms (arXiv:2209.07858)
嘗試運行開源工具
👉 Petri 官方頁面
👉 Garak GitHub
進階主題:
Petri 讓 AI 安全從「憑經驗」走向「有證據」。
它的價值,不僅在工具本身,而在它帶來的文化轉變——
讓 AI 安全成為一個可量化、可重現、可標準化的工程問題。
掌握 Petri,就等於掌握了下一代 AI 安全測試的語言。
iThome鐵人賽
看影片追技術