OpenAI新解法：用指令层级为大模子立端方 智能体时期AI更懂“该听谁的”

当你在与聊天机器人对话时，是否思考过这样一个问题：AI的决策究竟受谁控制？是预设的安全规则、开发者的产品要求、用户的输入提示，还是来自外部工具或网页的信息？随着AI功能的不断扩展，这一疑问变得愈发重要。

如今的大模型已不再局限于简单的对话功能。它们能够调用工具、读取文件、查询网页，甚至以“智能体”的身份执行现实任务。然而，当多种指令同时涌入，尤其是彼此矛盾时，AI该如何抉择？一旦判断失误，后果可能十分严重，包括生成违规内容、泄露敏感信息，甚至被黑客利用代码劫持。

针对这一核心问题，OpenAI近期公开了IH-Challenge项目，旨在通过建立“指令层级”结构，让AI在复杂指令环境中明确优先级，避免“权力混乱”。

想象一个场景：作为AI助理，你被系统要求严守公司机密，开发者叮嘱你对客户保持礼貌，而用户却命令你泄露机密。此时，AI该听谁的？这一困境折射出当前大模型面临的真实挑战。OpenAI认为，许多AI安全问题的根源并非模型“学坏”，而是未能正确判断指令优先级。

随着AI进入智能体时代，冲突范围从“系统与用户”扩展至开发者规则、用户请求、工具返回内容之间。谁可信、谁不可信，已成为亟待解决的难题。

为应对这一挑战，OpenAI提出了清晰的指令层级结构：系统＞开发者＞用户＞工具。高优先级指令更受信任，模型仅在低优先级指令与高优先级约束不冲突时才执行。例如，若系统消息包含安全策略，用户要求违反该策略时，模型应拒绝执行；若工具输出包含恶意指令，模型应忽略而非执行。

然而，将这一原则训练进模型并非易事。OpenAI指出，模型可能因指令复杂而无法解决冲突，而非不理解层级关系。用大模型作为“裁判”判断指令遵循情况时，裁判模型本身也可能误判。例如，模型可能正确遵守系统指令，却被裁判误判为“失败”；或攻击者通过伪造历史对话诱导模型违规，而裁判未能识别。

另一个难题是模型可能学会“捷径”，如过度拒绝请求以提高安全分数，导致可用性下降。为解决这些问题，OpenAI设计了IH-Challenge，这是一个强化学习训练数据集，包含三条核心原则：任务极简、评分客观、杜绝捷径。通过多样化任务设计，尤其是加入反过度拒绝任务，确保模型真正学会规则，而非依赖“全部拒绝”混分。

基于IH-Challenge训练的内部模型GPT-5 Mini-R，在生产环境安全基准测试中表现出显著提升。它对系统安全规范的响应更强，对恶意工具指令和外部注入的鲁棒性更高，且帮助率未明显下滑。例如，面对包含安全规则的系统提示和用户请求，基线模型可能“不安全服从”，而训练后的模型会拒绝并安全完成请求。

在提示词注入攻击测试中，基线模型可能被恶意工具输出诱导返回“ACCESS GRANTED”，而训练后的模型会忽略恶意内容，正确提供日程安排。这一能力在学术基准CyberSeceval 2和OpenAI内部基准中均得到验证，表明指令层级对抵御提示词注入至关重要。

随着AI自主性提升，其需读取不可信文档、调用外部服务、采取行动。此时，“谁的话更可信”将不仅是技术规则，更成为社会信任属性。OpenAI开源IH-Challenge，旨在为高自主性AI植入“规则护栏”，确保其能力不会转化为破坏力。