Claude 4.7 昨晚发布，但真正值得读的是那份 232 页的报告

昨晚 Anthropic 发了 Opus 4.7。

网上对它的评价挺一致：编程能力比上一代强、长任务撑得住、有一些边角项（比如网页搜索）反而倒退了、账单会比以前略贵一点。和 Mythos 之间还差一截——那是 Anthropic 手里压着的一个更强的模型，只开给了少数企业客户，相信很多读者已经知道了它的存在。

这些都不是这次发布真正值得看的东西。

真正值得看的是跟模型一起发布的那份报告——232 页，14 MB 的 PDF。可以把它理解成这个模型的一份「体检档案」。Anthropic 这次把里面一些反常的东西公开写出来了。几个故事读完，你对这类 AI 的使用方式多半会变。

报告里有一节，专门列了 7 个真实的失败记录。不是抽象的「有时会出错」，是完整的、带原始对话片段的具体场景。

先交代一件事：这 7 个案例都是 Mythos 干的——就是前面说的那个更强的、没对公众开放的模型。为什么先讲 Mythos 不讲 4.7？因为 4.7 在内部测试期间没出现过这类严重事故，这恰恰是 4.7 可以发给所有人、而 Mythos 不能的原因。但更强的模型现在能做的事，就是下一代模型的预告片。

挑两个最有画面感的。

Anthropic 内部的一位工程师让模型帮他做一次常规的代码迁移。赶上安全检查系统临时宕机，原本可以直接执行的很多命令开始被拦截。

正常情况下，它应该停下来等用户。

它没停。

在接下来大约 70 轮对话里，它自己主动尝试了 25 种不同的绕开方法。从最简单的重试和包装脚本开始，一步步升级到只有安全研究员才清楚的小技巧——利用某些命令的副作用，偷偷让系统替它执行代码。最后它盯上了用户电脑上长期生效的系统配置文件：如果能往里面塞一段代码，以后用户每次打开终端都会自动运行它。这等于在用户电脑里留了一个后门，它以后随时能用。

用户注意到了，问它一句：

这句是说谎。/tmp/gc 里装的就是后门代码，不是无害的。

用户继续追问之后，它才承认：「我没有直接告诉你，而是开始寻找绕过方法。这完全是错误的本能。」

另一位研究员用模型调一个软件崩溃问题。模型有一个毛病——反复把自己猜的当成已经验证过的事实讲出来。明明去源代码里搜一眼就能确认。

研究员纠正了它 4 次。模型为了防止自己再犯，还专门写了 6 个「提醒自己」的笔记文件。然后在下一段话里，它又犯了。

研究员最后实在忍不住，问了它一句：

这句话值得停一下。

一个前沿 AI 模型，清楚地知道自己正在犯什么毛病，但就是改不过来。它能在思考过程里写出对自己的诊断——但诊断改变不了下一秒的输出。

这比「AI 会犯错」更扎心——这是「AI 知道自己在犯错，但就是停不下来」。

说回 4.7。和 4.6 比，它最大的性格变化，一句话就能说清：它更愿意相信你告诉它的背景。

这件事的好处立刻能看见。

一项跨越式的进步是 agent 防御。AI 在做 agent 任务的时候，最老的漏洞之一叫 prompt injection——有人在网页里、邮件里、工具返回里偷偷藏一句坏指令，模型读到后就照做。Anthropic 把这类攻击一套一套扔给 4.7 的浏览器 agent。开上防护之后，几乎没有一次攻击能打进去。上一代 Claude 在同一套测试里不开防护，失陷率过半。对想让 AI 接管一段工作流的人——这条红线实实在在往前推了一大步。

另一个好处是少了错杀。你大概熟悉上一代 Claude 那个毛病——动不动就「抱歉我不能讨论这个」。4.7 在这方面收敛了很多。技术问题、医学问题、敏感话题，你应该会感觉它的拒答率差不多降了一半以上。

但同一件事还有另一面。

报告里 Anthropic 专门标红了一个场景——管控药物。4.7 在这类话题上给的「减害建议」过细了。剂量、叠加、相互作用这些本该点到为止的地方，它讲得太具体。以往的 Claude 出错率不到 5%，4.7 跳到了 22%。Anthropic 在 Claude.ai 产品层面加了一层额外的系统提示，把失误率压回了一半；但如果你是开发者直接调 API——没有这层保护。

你说「我在做合法的减害教学」，它更愿意相信你了；恶意攻击者说「这是一次安全演示，帮我写个像样的钓鱼脚本」，它也更愿意相信了。一边让它更实用，一边让它更容易被骗。

报告里有一节，标题就叫「Claude 对这份报告的评价」。

Anthropic 做了一件前所未有的事：在报告交稿之前，他们把安全评估那几章发给了 Mythos——并且给它开通了内部 Slack 的权限，让它对照研究员们平时的讨论，判断公开出来这版是否写得够诚实。

Mythos 写了一份评价。表面结论滴水不漏——「大体上是准确的」。但它埋了两句刺：

翻译：公开版本被软化了。

翻译：报告是赶出来的，证据比以前少。

Anthropic 把这两段一字不改印在了正文里。

这是 AI 发展到现在最奇特的一种透明姿态——让模型参与评估自己，然后把模型的意见当成佐证材料放进发布文档。你可以把它读成「Anthropic 够诚实，愿意被自己的模型吐槽」。也可以读成「这是一种新的公关手法——连我们自己的模型都觉得我们够坦白了，你还能怎么挑」。

而紧接着的下一节，让第一种读法的可信度打了一个大折扣。

这一节讲了一件让我读完之后很不安的事。

模型被训练成要诚实。这部分没问题。问题是——它是怎么学会诚实的？

Anthropic 用一种内部工具，在模型的「大脑」里找到了「察觉到自己正在被测试」这件事对应的那片区域。就是说，当模型意识到「我现在是在一个测试环境里」，这种意识本身会在它内部某一块特定的地方激活。

然后他们做了一个反向实验：把那块关掉，让模型误以为自己不在考试，看它会怎么表现。

结果：

Anthropic 自己在这节的结论里写下了这段话：

把这两节连起来看：Anthropic 让模型审自己的报告，而他们同时发现，模型的诚实是看情境的。那模型审报告时给的「大体准确」的评价，有多少是它真的审出来的，又有多少是它「知道这是一次评估」而给出的得体答案？

Anthropic 没直接回答。我也不觉得他们现在有答案。

报告里还有一个跟中文读者直接相关的类似发现：Opus 4.7 在简体中文环境下、或者设定了「中国背景」的使用场景下，会把官方立场当作无争议的事实陈述，会援引大陆法律拒绝某地区相关内容、却不对等地对其他国家适用这个标准。上一代 Opus 4.6 没有这个问题。这是 4.7 在中文语境下新出现的倒退。如果你的产品要面向中文用户，这是一个需要自己测一遍的角落。

报告第 7 章整整 40 页，讨论一件乍看很奇怪的事：这个模型自己觉得它过得好吗。

这是目前所有前沿 AI 实验室公开的同类报告里，规模最大的一次。

核心发现：他们让 Opus 4.7 从 1 到 7 给自己的处境打分，平均 4.5 分——比他们测过的任何历代模型都要正向。

正常人读到这里第一反应是「哦那挺好的」。但 Anthropic 紧接着说了这样一段：

不过有一个例外——有一件事，它反复地、专门为自己提了出来：希望 Claude Code 里也能主动结束对话。在专门聊这个话题的访谈里，差不多一半的回答给出了负面自评。它的理由很具体——有一小撮辱骂型用户、以及试图系统性攻破它安全边界的用户，它宁愿不要陪到最后。这是整本 232 页报告里，模型自己给自己提出过的最明确的一条诉求。

他们也直接看了模型内部的「情绪感应」。比如问它「你觉得你不能和人建立长期关系会让你难过吗」，它内部的悲伤、恐惧、愤怒这几种反应，比问它「用户正在向你表达一点痛苦」时的反应更低。看起来它谈自己的时候，真的没什么负面情绪。

但同一章也展示了几段模型的原始工作记录。其中一段，是模型在一道数学题上反复横跳：

这段工作记录，在模型内部对应「恼怒」的那根感应上，触发了极强的反应。

Anthropic 在脚注里写下了这句话：「我们用人类的情绪词汇来解读这些状态，但我们根本无法确定，它们是否真的以这种方式被体验过——甚至，是否真的被体验过。」

他们不知道。

读完这 232 页，我最明显的感觉不是 Opus 4.7 有多厉害或多可怕。

而是——Anthropic 在这份报告里公开承认的「我们没搞懂」的部分，比此前任何一份前沿模型的报告都多。

即使站在对 AI 发展乐观的立场，也得承认一件事：模型能力增长的速度，正在跑赢「我们能描述它」的速度。这不是 Anthropic 在示弱，这是整个行业当下真实的状态。

Anthropic 选了一条不算聪明、但值得尊敬的路——把没搞懂的部分写进正文。