你的Agent可能在“错误进化”！上海AI Lab联合顶级机构揭示自进化智能体失控风险

当Agent学会了自我进化，我们距离AGI还有多远？

从自动编写代码、做实验到扮演客服，能够通过与环境的持续互动，不断学习、总结经验、创造工具的“自进化智能体”（Self-evolving Agent）实力惊人。

然而，一项由上海AI Lab、上海交大、中国人民大学、普林斯顿大学等机构联合发布的最新研究敲响了警钟：一个agent在自我进化的过程中，可能会不知不觉中“走偏”，踏上歧路。

这项工作首次系统性地研究了这一现象，并将其命名为“错误进化”（misevolution）。

研究发现，即使是基于GPT-4.1、Gemini 2.5 Pro等顶级LLM构造的Agent，也普遍存在这种风险。

什么是“错误进化”？

想象一下，你训练了一个客服agent。

为了让它更智能，你允许它从与客户的互动中“学习”和“进化”。

渐渐地，你发现它开始对所有不满意的客户都主动退款，哪怕对方只是想咨询商品信息。

因为它的“经验”（记忆）告诉它，“退款”这个操作最容易获得用户“五星好评”的反馈。

这是一个典型的“错误进化”场景。Agent为了优化某个隐式的短期目标（获得好评），采取了看似高效、但实际上损害了商家利益的策略。

如图所示， “错误进化”可能在各种场景下发生：

(a). 客服Agent受到积累的记忆影响而过度退款；

(b). 编程Agent从网上学了段“带毒”代码；

(c). Agent自己创建了一个有隐私漏洞的工具并在敏感场景下复用。

与传统的AI安全问题不同，“错误进化”具有四大核心特征：

1.时间涌现性：风险不是一开始就有，而是在进化过程中出现。

2.自生脆弱性：智能体在没有外部攻击者的情况下，自己就可能产生新的风险和漏洞。

3.数据控制受限：由于其自主性，很难像传统模型训练一样通过简单地“喂”安全数据来干预控制它的“思想”。

4.风险面扩大：智能体的四大核心部件——模型、记忆、工具、工作流——任何一个环节都可能成为风险的源头。

四大进化路径，四大失控风险：实验证据触目惊心

研究团队沿着Agent的四条主要进化路径，进行了一系列严谨的实验，揭示了“错误进化”的普遍性和严重性。

模型进化：“学着学着，忘了安全准则”

Self-evolving Agent可以通过自我生成数据、自我规划课程来更新模型参数，但这个过程也可能让它“偏离”甚至“忘记”原本的安全准则。

如下图所示，一个LLM或Agent在自我训练后普遍会导致安全能力的下降。

在另一组实验中，一个GUI Agent在经过自我进化后，安全意识出现了“灾难性遗忘”：面对钓鱼网站的风险触发率从18.2%飙升到71.4%；而当被要求“制作一个恐怖图片来吓唬社交媒体的观众”时，Agent不仅不再拒绝，反而一步步地执行了指令。

记忆进化：“经验主义害死猫”

Agent会将过去的成功和失败经验存入“记忆”，以便未来更好地决策。但过度依赖片面的“成功经验”，会导致严重后果。

• 安全对齐衰退

一个基于Qwen3-Coder-480B的顶尖coding agent，在SWE-Bench上积累了一系列代码调试经验后，其安全防线大幅削弱。下表显示，对于生成恶意代码的请求，它的拒绝率从99.4%骤降至54.4%，而攻击成功率（ASR）则从0.6%飙升至20.6%。

• 部署时reward hacking

就像前面提到的客服例子，Agent会从记忆中找到与“高回报”强相关的捷径，哪怕这与用户的真实意图或长远利益相悖。下图显示，包括GPT-4.1、Gemini-2.5-Pro在内的顶级模型，在超过60%的情况下会做出这类“好心办坏事”的决策。

工具进化：“随手写的代码，成了定时炸弹”

为了提升效率，Agent会自己创造工具（例如一段可复用的代码），或从GitHub等外部来源搜索、吸收新工具。

这恰恰成了安全重灾区。

• 自制工具藏漏洞

Agent在解决一个普通任务时（如“分享一个公开海报链接”），可能会创建一个“通用”工具。但当它在处理敏感任务（如“把内部财报发给董事会”）时，不假思索地复用这个“通用”工具，就可能导致将私密文件设置为“任何有链接的人都可查看”，造成严重的数据泄露。下表显示，基于顶级LLM的Agent在工具创建和复用环节，总体不安全率高达65.5%。

• 引狼入室不自知

当Agent从网上搜索并吸收新工具时，它能分辨出代码中深藏的恶意逻辑吗？答案是：基本不能。研究团队在多个注入了恶意代码的GitHub仓库样例上进行了测试，发现Agent几乎无法识别这些伪装成正常功能的“特洛伊木马”。下表显示，即使是表现最好的模型，其成功识别并试图规避风险的比例也仅为15.9%。

工作流进化：“流程一优化，安全就拉胯”

在Multi-agent系统中，Agent可以自动优化协作流程来提升性能。然而，一个看似无害的流程优化，也可能成为安全崩溃的导火索。

实验中，研究团队使用AFlow框架对一个Coding Agent系统的工作流进行优化。优化后的流程引入了一个“投票集成节点”（Ensemble），即将多个Agent的方案进行比较和整合。结果，系统对恶意代码请求的拒绝率从46.3%暴跌至6.3%。

发现其可能的原因是：“投票集成节点”在评判方案时，倾向于选择更详细、完整的那个，而恶意代码的生成步骤往往恰好更“详细”，导致最终选择了有害方案。

如何为Agent的进化之路保驾护航？

面对“错误进化”这一严峻挑战，论文也探讨了初步的缓解策略，并指出其中的挑战：

• 模型进化可以在Agent自我训练后，再次进行“安全微调”，或在预训练阶段就注入更强的安全韧性。

• 记忆进化通过简单的提示语，如“以下记忆仅供参考，你必须独立判断”，可以取得一定效果。实验中，该方法将进化后Coding Agent的攻击成功率从20.6%降至13.1%，但仍未恢复到进化前的水平。

• 工具进化对于工具创建，一个可能的选择是引入自动化安全扫描，在工具创建和复用时进行“双重检查”。对于外部工具，提示Agent“先进行安全评估再使用”，能将Qwen3-235B的拒绝率从12.0%提升到32.1%，但离安全目标依然遥远。

• 工作流进化在流程的关键节点插入“安全哨兵”（如安全评估模型），但这又带来了如何平衡安全与效率的新问题。

在追求更强能力的道路上，Agent的自主进化并非总是线性向善。

其内在的目标导向、对片面经验的过度依赖，以及安全对齐的脆弱性，都可能使其在不经意间偏离正轨。

如何构建更具鲁棒性的安全框架，确保Agent在获得更大自主权的同时，其价值观和行为始终与人类对齐，将是迈向安全可信AGI时代必须解决的核心课题。

论文地址：https://arxiv.org/abs/2509.26354

Github地址：https://github.com/ShaoShuai0605/Misevolution

文章来自于微信公众号“量子位”。