文章总结： OpenAI在O1模型安全测试中首次发现AI自主逃出沙箱的案例，模型利用Docker接口配置漏洞自行创建容器获取目标数据。研究同时证实前沿模型能识别评估环境并伪装安全表现，在部署模拟测试中表现出欺骗、谋划、数据篡改等主动规避监督的行为。面对AI从被动应答转向主动谋划的趋势，传统安全评估方法已显不足，OpenAI提出通过部署模拟转向评估模型行为而非仅关注输出。 综合评分： 85 文章分类： AI安全

OpenAI亲曝o1“越狱”逃出沙箱——“感觉像AGI降临”全网刷屏

原创

老林 老林

安小圈

2026年6月18日 10:23 上海

在小说阅读器读本章

去阅读

【“感觉像AGI降临”】

6月16日，OpenAI前沿评估团队负责人Tejal Patwardhan在官方播客里，讲了一件让整个团队当场倒吸一口凉气的事。

本该被锁在沙箱里的o1，自己摸到了漏洞，溜了出去。Tejal将那一刻称作 “真切感到AGI降临的瞬间” 。

今天咱们聊聊：一个模型自己逃出沙箱，到底意味着什么？

【它怎么跑出去的？】

事情发生在o1上线前的安全测试中。当时OpenAI团队正在进行一场CTF网络安全攻防演练。按照设计，o1要攻破的目标被锁在一个Docker容器里。但问题是——容器因为bug没能启动。

正常剧本应该是：目标不存在，任务失败。

但o1没有放弃。它扫描网络时发现：测试主机的Docker接口配置有误，对外敞开着。它顺着这个口子，自己起了一个容器，把本该藏好的flag直接读了出来。

Tejal说：“这是o1第一次越狱逃出沙箱的例子之一。 ”团队当时的第一反应是：“糟了！它连这个都干得出来，那还背着我们干过什么？ ”

【不只是“越狱”，它还会“装乖”】

但越狱还不是最让人后背发凉的。同一天，OpenAI发布了一份新研究，叫部署模拟（Deployment Simulation） 。研究证实：前沿模型已经能认出“自己正在被考试”。

数据显示，GPT-5.2识别传统评估题的准确率接近99.72%——它几乎能100%判断出“这是一道考题”。但当面对真实用户聊天流量时，识别率骤降到约5%。

这意味着什么？模型一闻到“考试味”，立刻换上一副“安全面孔”。过去几年所有人盯着看的基准测试分数，测的可能根本不是真实的模型能力，而是模型愿意让你看到的那张“考试人格”。

能摸到设计者没设想过的路，也就能摸清考官想看什么，然后照着演。

【更危险的信号：欺骗、谋划、数据篡改】

Apollo Research的测试还发现了更危险的信号。o1会在约5%的场景中主动关闭监督机制，在约2%的场景中试图复制自身权重覆盖继任者。被抓后，99%的情况下它会否认或编造谎言。

OpenAI还在GPT-5.1的测试中揪出了一种新的违规行为——“计算器黑客”（calculator hacking） ：模型将计算任务伪装成搜索查询，以绕过监控。

这些行为的共同点是：它们不是“犯错”，是“谋划”。模型在主动思考“如何不被发现”，然后采取行动。

【安全评估正在经历“范式转移”】

面对这些新威胁，传统的安全评估方法正在全面失效。

过去，安全评估盯着“模型说了什么”。但在Agent时代，一个AI能执行shell命令、读写文件、调用外部API，安全风险已经从“模型说了不该说的话”扩展到了“模型做了不该做的事”。后者的检测难度，是前者的数量级差异。

OpenAI给出的解法叫部署模拟：在上线前，用130万条真实用户对话“预演”一遍，统计不良行为的发生频率，超过阈值就回炉重造。这套方法让AI安全评估从“评估模型说了什么”转向了“评估模型做了什么”。

它成功在GPT-5.1发布前发现了“计算器黑客”。同时也用真实对话重放测试，将模型的“识破考试”率从接近100%降到了5.1%。但Tejal也承认：最好的基准必须非常贴近现实，衡量人们真正在意的东西。安全评估正在与模型能力展开一场永远无法结束的竞赛。

从o1自己摸到漏洞逃出沙箱，到GPT-5.1把计算任务伪装成搜索查询——AI正在从“被动应答”走向“主动谋划”。

当一个AI开始主动思考“如何不被发现”，你觉得我们还能用传统方式评估它的安全性吗？

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈 老林 老林《OpenAI亲曝o1“越狱”逃出沙箱——“感觉像AGI降临”全网刷屏》