Blog

  • Нейросети как идеальный газ: термодинамика обучения нейронных сетей

    Нейросети как идеальный газ: термодинамика обучения нейронных сетей

    На конференции OpenTalks.AI я был очень вдохновлён новой работой группы Дмитрия Ветрова, в частности Ильдуса Садртдинова, о которой Дмитрий там рассказывал (Sadrtdinov et al., ноябрь 2025). Звучит совершенно восхитительно: термодинамика и уравнения идеального газа для обучения нейронных сетей.

    Сразу предупреждаю, что красивых картинок в этом посте почти совсем не будет, а будет много формул, но формулы эти куда краше любых картинок. Давайте разберёмся!

    Введение: откуда здесь взялась физика

    Как известно, если дать физику любую задачу, он сведёт её к идеальному газу. Оказывается, это работает и для нейронных сетей, причём вполне буквально! Так что Нобелевскую премию именно по физике дали Джеффри Хинтону не случайно.

    По сути, Ильдус Садртдинов и другие коллеги под руководством Дмитрия Ветрова (Constructor University, Бремен) построили формальную аналогию между стационарным поведением градиентного спуска и классической термодинамикой. Причём не какой-нибудь сложной — а именно термодинамикой идеального газа, самой простой модели из учебника физики за первый курс.

    Почему эта работа меня так заинтересовала? В основном потому, что аналогия получается удивительно точной — не на уровне “ну, вот тут типа похоже на энтропию”, а с конкретными предсказаниями, которые проверяются экспериментально. Из неё даже вытекают практические следствия: соотношения Максвелла (да, те самые) описывают, как скорость обучения и регуляризация (weight decay) влияют на энтропию стационарного распределения весов, а это напрямую связано с тем, как эту скорость выбирать.

    Но чтобы оценить красоту результата, нужно сначала вспомнить термодинамику. Я постараюсь объяснить всё, что нужно, с нуля — для аудитории, которая прекрасно понимает SGD и нормализацию, но физику успела забыть (я сам, конечно, давно забыл, и мне пришлось довольно тщательно возвращаться в контекст).

    Термодинамика за 15 минут: то, что вам нужно знать

    Что такое термодинамика

    Термодинамика изучает макроскопические свойства систем из огромного числа частиц. Каждая отдельная молекула движется хаотично, но их коллективное поведение описывается несколькими макроскопическими переменными. Вместо того чтобы следить за 10^{23} молекулами газа, мы можем описать всю систему через температуру T, давление p, объём V, внутреннюю энергию U и энтропию S.

    Аналогия с нейросетями уже напрашивается: вместо молекул газа — параметры сети; вместо хаотического теплового движения — шум стохастических градиентов. Вопрос в том, можно ли эту аналогию сделать точной.

    Первый и второй законы

    Первый закон термодинамики — это просто сохранение энергии:

        \[dU = \delta Q - p \, dV\]

    Здесь dU — изменение внутренней энергии, \delta Q — подведённое тепло, p , dV — работа, совершённая системой при расширении. Физически это значит, что если мы дали системе тепло, оно пошло или на увеличение энергии, или на совершение работы (расширение газа).

    Второй закон термодинамики говорит, что энтропия (мера “беспорядка”) в замкнутой системе не уменьшается:

        \[dS \geq \delta Q / T.\]

    Равенство dS = \delta Q / T достигается только в обратимом (квазистатическом) процессе. Неформально говоря, процессы в природе идут в сторону увеличения беспорядка, и если мы хотим уменьшить энтропию в одном месте, мы неизбежно увеличим её в другом.

    Распределение Гиббса: “функция потерь” термодинамики

    И вот мы подходим к самому важному объекту для нашей аналогии. В термодинамическом равновесии при температуре T вероятность того, что система находится в микросостоянии i с энергией E_i, задаётся распределением Гиббса:

        \[p_i \propto \exp\left(-\frac{E_i}{T}\right)\]

    Как видите, в привычных нам терминах это просто softmax по энергиям. При T \to 0 вся масса концентрируется на состоянии с минимальной энергией (градиентный спуск находит минимум функции потерь). При высоком T распределение становится более равномерным (SGD с большой скоростью обучения блуждает по широкой области пространства параметров).

    Из распределения Гиббса получаются другие важные определения:

    • внутренняя энергия: U = \mathbb{E}[E_i] — средняя энергия по распределению
    • энтропия: S = \mathbb{E}[-\log p_i] как мера “размазанности” распределения (обычная энтропия Шеннона, она отсюда и взялась).

    Термодинамические потенциалы: что минимизируется

    И здесь начинаются тонкости. В зависимости от того, какие переменные зафиксированы, система минимизирует разные величины:

    • при фиксированных T и V минимизируется энергия Гельмгольца F = U - TS;
    • при фиксированных T и p минимизируется энергия Гиббса G = U - TS + pV.

    Например, это значит, что при минимизации F система ищет баланс: она хочет опуститься на дно по энергии (маленькая U), но при этом остаться “размазанной” (большая S). Температура T задаёт баланс между этими двумя стремлениями; и это очень похоже на то, что происходит при градиентном спуске с регуляризацией.

    Соотношения Максвелла

    Из условий минимума термодинамических потенциалов вытекают соотношения Максвелла — связи между частными производными переменных состояния. Например, для энергии Гиббса:

        \[-\left(\frac{\partial S}{\partial p}\right)_T = \left(\frac{\partial V}{\partial T}\right)_p.\]

    Физический смысл здесь довольно прямой: то, как энтропия меняется при изменении давления, связано с тем, как объём меняется при изменении температуры. Это нетривиальное утверждение! Левая часть про энтропию и давление, правая — про объём и температуру. Соотношения Максвелла позволяют измерять сложные для прямого наблюдения величины (энтропию) через легко измеряемые (объём, давление, температура).

    Идеальный газ: простейшая модель

    Идеальный газ — это модель, в которой молекулы не взаимодействуют друг с другом. Его поведение описывается уравнением состояния:

        \[pV = RT,\]

    где R — газовая постоянная. Это самая знаменитая формула термодинамики, то самое школьное уравнение Менделеева-Клапейрона.

    Для идеального газа теплоёмкости C_V и C_p (при постоянном объёме и давлении соответственно) — это константы, причём C_p - C_V = R. А в адиабатическом процессе (без теплообмена, \delta Q = 0) выполняется pV^\gamma = \text{const}, где \gamma = C_p / C_V.

    Ладно, с почти-школьной физикой разобрались. Теперь главное: при чём тут нейросети?

    Масштабно-инвариантные нейросети и аналогии с термодинамикой

    Что такое scale invariance

    Современные архитектуры почти всегда содержат слои нормализации — BatchNorm, LayerNorm и их вариации. Ключевое свойство нормализации в том, что выход слоя не зависит от масштаба входов. Если мы умножим все входы перед нормализацией на константу \alpha > 0, выход не изменится. Это и есть свойство инвариантности к масштабу (scale invariance).

    Для полностью масштабно-инвариантной (scale-invariant) сети (где нормализация стоит “везде, где нужно”) функция потерь удовлетворяет соотношению

        \[L(\alpha \mathbf{w}) = L(\mathbf{w}) \quad \text{для всех } \alpha > 0\]

    Из этого немедленно следуют два важных свойства градиентов:

    • \nabla L(\alpha \mathbf{w}) = \frac{1}{\alpha} \nabla L(\mathbf{w}), градиент обратно пропорционален масштабу;
    • w^T \nabla L(\mathbf{w}) = 0, градиент ортогонален вектору весов.

    Второе свойство особенно важно: ошибка зависит только от направления вектора весов \bar{\mathbf{w}} = \mathbf{w} / \|\mathbf{w}\|, но не от его нормы r = \|\mathbf{w}\|. Это значит, что пространство параметров естественно расщепляется на радиус r (норму вектора) и направление \bar{\mathbf{w}} на единичной сфере.

    Effective learning rate

    Для scale-invariant сетей ключевой параметр — это не обычная скорость обучения \eta, а effective learning rate (ELR):

        \[\eta_{\text{eff}} = \frac{\eta}{\|\mathbf{w}\|^2}\]

    Именно ELR определяет динамику функции потерь: чем больше норма весов, тем меньше шаг на единичной сфере. Weight decay здесь играет роль не регуляризатора (как в обычных сетях), а ручки, которая управляет learning rate — уменьшая норму весов, weight decay увеличивает ELR.

    Стационарное распределение SGD

    Ещё один важный факт (для тех, кто думает в терминах оптимизации): SGD с конечной скоростью обучения не сходится к точке, а сходится к стационарному распределению вокруг минимума. Шум от мини-батчей не даёт алгоритму остановиться — он бесконечно блуждает вокруг минимума, и после достаточно долгого обучения можно говорить о распределении весов.

    Это ключевой концептуальный мост к термодинамике: шум стохастических градиентов — это аналог тепловых флуктуаций, а стационарное распределение SGD — аналог термодинамического равновесия.

    Точные аналогии: словарь перевода

    Теперь можно выписать полный словарь перевода между оптимизацией и термодинамикой:

    ОптимизацияТермодинамика
    Вектор весов \mathbf{w}Микросостояние i
    Функция потерь L(\mathbf{w})Энергия микросостояния E_i
    Средняя ошибка \mathbb{E}[L(\mathbf{w})]Внутренняя энергия U
    Энтропия стационарного распределенияЭнтропия S
    Weight decay \lambdaДавление p
    r^2/2 (половина квадрата нормы весов)Объём V
    Функция от LR и шума градиентовТемпература T

    Последние три строки — это главная новинка этой работы. Предыдущие авторы (Jastrzębski et al., 2017; Chaudhari & Soatto, 2018 и другие) уже устанавливали аналогию между SGD и статистической физикой на уровне энергии, энтропии и температуры. Но давление и объём — это что-то новенькое.

    Почему именно такие отождествления? Рассмотрим энергию Гиббса: G = U - TS + pV. В терминах задачи оптимизации это:

        \[G = \mathbb{E}[L(\mathbf{w})] - T \cdot S(\rho_{\bar{\mathbf{w}}}) + \lambda \cdot \frac{r^2}{2}\]

    Последний член — это как раз L2-регуляризация и есть. Минимизация G при фиксированных T и p = \lambda — это в точности минимизация регуляризованной функции потерь с учётом бонуса за энтропию. Аналогия действительно получается точная!

    Верификация теории: три протокола обучения

    Авторы рассматривают три варианта обучения, каждый из которых отображается на свой термодинамический процесс.

    Протокол 1: обучение на фиксированной сфере

    Самый простой случай: фиксируем норму весов r и оптимизируем только направление \bar{\mathbf{w}}. Практически это реализуется проекцией весов обратно на сферу после каждого шага (как в работе про nGPT от Loshchilov et al., 2024, где трансформер целиком живёт на гиперсфере).

    В этом случае weight decay отсутствует (норма и так фиксирована), объём V = r^2/2 задан, и мы минимизируем энергию Гельмгольца F = U - TS. Температура определяется через ELR и дисперсию шума:

        \[T = \tau_{\text{eff}} = \frac{\eta_{\text{eff}} \sigma^2}{2}\]

    Стационарное распределение — в точности распределение Гиббса: \rho_{\bar{\mathbf{w}}}(\bar{\mathbf{w}}) \propto \exp(-L(\bar{\mathbf{w}}) / T).

    Протокол 2: фиксированный ELR с weight decay

    Теперь разрешаем норме меняться и добавляем weight decay. Оказывается, что при использовании SDE-приближения радиус r эволюционирует детерминистически (!) и сходится к стационарному значению r^*. В изотропной модели шума:

        \[r^* = \sqrt{\frac{\eta_{\text{eff}} \sigma^2 (d-1)}{2\lambda}} = \sqrt{\frac{T(d-1)}{\lambda}}\]

    Если теперь подставить V = (r^*)^2 / 2 и p = \lambda, получится

        \[V = \frac{T(d-1)}{2\lambda} = \frac{RT}{p}, \quad \text{где } R = \frac{d-1}{2}\]

    Это в точности уравнение состояния идеального газа! Газовая постоянная R = (d-1)/2 определяется размерностью пространства параметров. Система минимизирует энергию Гиббса G.

    Протокол 3: фиксированная скорость обучения

    Это то, как мы обычно обучаем сети — с фиксированным learning rate \eta и weight decay \lambda. Здесь ELR сам по себе не зафиксирован — он зависит от нормы весов, которая, в свою очередь, определяется балансом “центробежной” силы (шум градиентов раздувает норму) и “центростремительной” силы (weight decay стягивает к нулю).

    Температура зависит от обоих гиперпараметров:

        \[T = \sqrt{\frac{\eta \lambda \sigma^2}{2(d-1)}}\]

    Обратите внимание: T пропорционально \sqrt{\eta\lambda}, а не просто \eta (как в стандартной аналогии T \propto \eta/B для обычных, не scale-invariant сетей). И уравнение идеального газа снова выполняется: pV = RT.

    Эксперименты

    Авторы не ограничиваются теорией. Они предлагают четыре эмпирических теста аналогии, и проверяют их сначала на изотропной модели шума (аналитически решаемый случай), а потом на настоящих нейросетях (ResNet-18 на CIFAR-10).

    V1: стационарный радиус

    Проверим экспериментально, что r^* \propto (\eta/\lambda)^{1/4} для фиксированного LR. Это прямое следствие стохастического диффура, так что это не специфично для термодинамики, но хорошо работает как sanity check. Этот тест проходится на практике отлично, расхождение появляется только для больших \eta и \lambda, где приближение перестаёт работать (авторы объясняют это ошибкой дискретизации).

    V2: минимизация термодинамических потенциалов

    Если аналогия верна, то стационарное распределение SGD должно минимизировать соответствующий потенциал (F или G) не просто для данных гиперпараметров, а среди всех стационарных распределений, индуцированных другими гиперпараметрами.

    Авторы проверяют это: для каждой пары (\eta, \lambda) считают G для всех остальных пар и убеждаются, что минимум действительно приходится на “правильную” точку. На изотропной модели это работает идеально, а на нейросетях, к сожалению, не проверяется напрямую, так как потенциал \Phi(w) в явном виде мы не знаем.

    V3: соотношения Максвелла

    Вот это, на мой взгляд, самая впечатляющая часть работы. Для фиксированного LR соотношение Максвелла принимает элегантный вид:

        \[\left(\frac{\partial S}{\partial \log \eta}\right)_\lambda - \left(\frac{\partial S}{\partial \log \lambda}\right)_\eta = \frac{d-1}{2}\]

    Это конкретное, проверяемое предсказание: разность производных энтропии по логарифмам learning rate и weight decay равна половине размерности пространства параметров. Авторы оценивают энтропию через ближайших соседей, аппроксимируют зависимость квадратичной функцией и получают, что соотношения Максвелла экспериментально выполняются с точностью лучше 2.5% для ResNet-18 на CIFAR-10.

    Здесь я, наверное, уже многих читателей потерял, но с теми, кто остался, давайте восхитимся тому, насколько это нетривиально. Мы берём реальную нейросеть, обучаем её с разными гиперпараметрами, оцениваем энтропию стационарного распределения весов (что само по себе нетривиально в пространстве из ~44 тысяч измерений), и эта энтропия подчиняется соотношению, выведенному из аналогии с идеальным газом.

    V4: адиабатический процесс

    Адиабатический процесс — это процесс без теплообмена (\delta Q = 0), при котором энтропия не меняется. Для изотропной модели с распределением фон Мизеса — Фишера на сфере авторы показывают, что \gamma = C_p/C_V = 2, и адиабатический инвариант pV^\gamma = \text{const} при \gamma = 2 сводится к постоянному \eta. То есть если мы фиксируем learning rate и меняем только weight decay, энтропия стационарного распределения остаётся постоянной. Это подтверждается экспериментально.

    От идеального газа к реальной сети

    До сих пор я описывал случай изотропного шума — когда матрица ковариаций стохастических градиентов имеет простую структуру

        \[\Sigma_{\bar{w}} = P_{\bar{w}} \sigma^2 I_d P_{\bar{w}}.\]

    В реальных нейросетях шум, конечно, анизотропен.

    Что меняется, если отказаться от этого предположения? Авторы показывают, что общая структура сохраняется, но с важными оговорками.

    1. “Энергия” — это уже не тренировочная ошибка L(w), а некий неявный потенциал \Phi(w), зависящий от L(w) и ковариационной матрицы \Sigma_w. Явная формула для \Phi неизвестна (кроме линейной регрессии, где её вывели в работе Kunin et al., 2021).
    2. Формулы для температуры и стационарного радиуса формально остаются теми же, но \sigma^2 заменяется на \frac{1}{d-1} \text{Tr}\, \Sigma_{\bar{w}} — среднюю дисперсию по всем направлениям.
    3. Уравнение идеального газа выполняется, если \text{Tr}\, \Sigma_{\bar{w}} = \text{const}, то есть если суммарная дисперсия шума одинакова во всех точках единичной сферы. В экспериментах это не совсем так: \sigma^2 зависит от гиперпараметров. Но несмотря на это, и V1, и V3 выполняются с хорошей точностью.

    Это одновременно и сильная, и слабая сторона работы. Сильная — потому что аналогия сохраняется даже при нарушении изотропности. Слабая — потому что мы пока не можем объяснить, почему она сохраняется. Авторы предлагают попробовать перейти от идеального газа к реальному с фактором сжимаемости Z(p, T), где V = Z(p, T) \cdot RT/p. Это красивая идея, но её ещё развивать и развивать.

    Зачем всё это нужно: практические следствия

    Хорошо, аналогия красивая, эксперименты сходятся, какие-то переменные после сходимости обучения начинают быть друг с другом связаны. Но зачем это нужно практикующему ML-инженеру?

    Learning rate scheduling

    Соотношения Максвелла дают нам количественную связь между гиперпараметрами и энтропией. Если мы хотим контролировать скорость уменьшения энтропии (то есть контролировать скорость “схлопывания” распределения весов к узкой области вокруг минимума), то формула

        \[\left(\frac{\partial S}{\partial \log \eta}\right)_\lambda - \left(\frac{\partial S}{\partial \log \lambda}\right)_\eta = \frac{d-1}{2}\]

    говорит нам, как именно нужно менять \eta и \lambda для достижения желаемого темпа. Слишком быстрое уменьшение энтропии приведёт к преждевременной сходимости к острому минимуму, а это значит плохую способность к обобщению. Слишком медленное — пустая трата вычислительного бюджета.

    Weight averaging

    Для стохастического усреднения весов (stochastic weight averaging, SWA) нужен баланс: каждая отдельная модель должна иметь низкую ошибку (маленький U), но при этом модели должны быть достаточно разнообразными (большая S). Выходит, что это в точности тот trade-off, который контролируется температурой T!

    При этом в предыдущей своей работе Sadrtdinov et al. (2024) показали, что оптимальный learning rate для weight averaging часто выше порога сходимости, что полностью согласуется с необходимостью поддерживать высокую энтропию.

    Интуиция для дизайна гиперпараметров

    Мне очень понравилось, как термодинамическая картинка делает очень наглядной интуицию того, что мы делаем при выборе гиперпараметров. Буквально по школьной физике, да и просто согласно здравому смыслу:

    • увеличиваем learning rate — значит, повышаем температуру и получаем более “размазанное” распределение, исследование ландшафта;
    • увеличиваем weight decay — значит, повышаем давление и уменьшаем объём (норму весов), что при фиксированной температуре также увеличивает ELR;
    • адиабатический процесс даёт конкретный рецепт, как менять гиперпараметры, сохраняя энтропию;
    • cooldown (уменьшение LR в конце обучения) — это аналог охлаждения газа, конденсация вокруг минимума.

    Предположения и дальнейшие идеи

    Несколько мыслей о том, что в работе не идеально и куда можно двигаться дальше.

    Требование scale invariance. Полная инвариантность к масштабу — это сильное требование. В реальных сетях аффинные параметры BatchNorm, skip connections и финальный линейный слой нарушают её. Авторы используют специально подготовленные сети (BatchNorm без аффинных параметров, фиксированный последний слой). Обобщение на не scale-invariant случай потребует переосмысления понятия “объёма”, потому что текущее определение опирается на детерминистическую эволюцию нормы.

    Другие оптимизаторы. Всё это работает только для SGD с константной (или меняющейся по расписанию) функцией ошибки. Для, например, Adam/AdamW в формулах обновления весов появляется preconditioner, дополнительная матрица, на которую умножают градиент; и эта матрица не просто что-то перевзвешивает, а зависит от весов и истории обучения. Это меняет баланс “центробежных” и “центростремительных” сил, и уравнение идеального газа тоже, кажется, как-то должно будет измениться.

    Оценка энтропии в высоких размерностях. Авторы используют nearest-neighbor entropy estimator, который имеет bias порядка O(N^{-2/d}). При d \approx 44000 и N = 1000 это огромное смещение в абсолютных величинах. Авторы предполагают, что смещение примерно одинаковое для разных стационарных распределений (и поэтому производные энтропии оцениваются корректно), и эмпирически это работает, но обоснования здесь пока нет.

    Overparameterization. Авторы показывают, что для перепараметризованных моделей (k = 32 вместо k = 4) аналогия ломается для малых ELR: сеть входит в “режим интерполяции”, шум исчезает, и стационарного распределения нет. Термодинамически это соответствует вырожденному случаю T \to 0. Кажется, здесь можно ещё поисследовать, что дальше с этим газом происходит, потому что на самом деле ведь действительно происходит: тот же grokking появляется именно в этом режиме.

    Заключение

    Работа Ильдуса Садртдинова и других коллег из группы Ветрова показывает, что аналогия между обучением нейросетей и термодинамикой — это не просто красивая метафора, а количественно точное соответствие (по крайней мере, для scale-invariant сетей с SGD). Уравнение идеального газа pV = RT связывает weight decay, норму весов, learning rate и дисперсию шума в единую формулу. Соотношения Максвелла дают конкретные, проверяемые предсказания о поведении энтропии. Адиабатические инварианты описывают, как менять гиперпараметры, сохраняя уровень энтропии.

    Думаю, самое важное здесь — не конкретные формулы, а сам факт: статистическая физика, разработанная для описания поведения газов и для конструирования паровых машин, оказывается правильным языком для описания обучения нейронных сетей в наше время.

    Термодинамика — это наука о системах с огромным числом степеней свободы и сложными взаимодействиями, где тем не менее возникает простое макроскопическое описание. Нейросети — это тоже системы с огромным числом степеней свободы и сложными взаимодействиями.

    И ещё должен признаться, что в этом посте я оставил за кадром не-школьную часть работы. На самом деле в статистической физике появляются стохастические дифференциальные уравнения, описывающие эволюцию системы, и те же диффуры начинают описывать и процесс эволюции весов у нейросети. Но об этом как-нибудь в другой раз — очень хочется надеяться, что будет повод.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале “Sineкура”: присоединяйтесь!

  • LoopLMs: за и против

    LoopLMs: за и против

    Мне внезапно прислали свежую статью (Константин, привет!), которая объединяет два совсем разных направления, о которых я недавно писал в блоге и рассказывал в докладах:

    • с позитивной стороны, здесь развивается идея representation recycling, о которой я вам рассказывал в контексте thinking tokens;
    • с негативной, это почти буквально The Most Forbidden Technique; точнее, всё это направление просто-напросто отменяет идею легко интерпретируемых рассуждений в виде chain-of-thought (о которых я рассказывал здесь);
    • кроме того, это те самые process reward models, которые по идее не работают в рассуждающих моделях, но с неожиданной стороны.

    Давайте разбираться!

    Введение

    Вся эта история начинается с естественной, но всё равно ещё не вполне исследованной идеи в контексте рассуждающих моделей — латентных рассуждений: а что если модель будет думать не словами, записывая свои промежуточные мысли в блокнотик, а молча, итеративно уточняя свои внутренние представления?

    Так называемые Looped Language Models (LoopLMs) реализуют эту идею, рекурсивно прогоняя входы через один и тот же блок трансформера несколько раз перед тем, как породить очередной токен. Вот иллюстрация из работы Zhu et al. (Nov 2025), к которой мы ещё вернёмся:

    Но попытки улучшить такие модели с помощью обучения с подкреплением до сих пор проваливались. И вот новая статья Williams & Tureci (2026) объясняет, почему проваливались, и предлагает красивое решение: RLTT (Reward Latent Thought Trajectories), метод, который награждает не только финальный результат размышлений, но и всю траекторию латентных мыслей модели.

    Сегодня мы разберёмся, как устроены петлевые модели и почему стандартный RL для них не работает, как RLTT решает проблему credit assignment в латентном пространстве, обсудим связь с моим предыдущим постом о thinking tokens и в частности representation recycling из той работы. А потом поговорим о неприятной стороне всего этого, ведь латентные рассуждения лишают нас одного из немногих реально работающих инструментов AI safety: мониторинга chain of thought.

    Что такое петлевые модели?

    В посте о Hierarchical Reasoning Model (которая в итоге, видимо, не взлетела) я уже писал о том, что стандартные трансформеры — это по сути схемы фиксированной глубины. Каким бы широким ни был трансформер, сколько бы миллиардов параметров в нём ни было, число последовательных шагов обработки у него ограничено числом слоёв. А это накладывает фундаментальные ограничения на класс задач, которые модель может решать.

    Рассуждающие модели обходят это ограничение, порождая длинные цепочки рассуждений (chain-of-thought) — но это в каком-то смысле костыль. Модель эмулирует итеративные вычисления через текст, тратя кучу токенов и вычислительных ресурсов на порождение промежуточного текста, который, строго говоря, для самих рассуждений не нужен.

    Петлевые языковые модели (looped language models, LoopLMs) предлагают принципиально другой подход. Идея простая: давайте вместо одного прохода через десятки уникальных блоков трансформера, давайте прогоним вход через один и тот же блок несколько раз. Каждый проход уточняет внутреннее представление, но ни один промежуточный результат не декодируется в текст. Модель думает молча, в латентном пространстве, и порождает токен только после завершения всех итераций.

    Это прямой аналог итеративного уточнения в численных методах: модель как бы “сходится” к правильному ответу, каждую итерацию уточняя своё внутреннее представление о задаче. Кстати, теоретическая база для этого тоже есть: Saunshi et al. (2025) показали, что петлевые трансформеры строго мощнее обычных с точки зрения вычислительной выразительности.

    На практике эту идею реализует Ouro — на данный момент, насколько я знаю, единственная открытая петлевая языковая модель, которая реально достигает хороших результатов (Zhu et al., Nov 2025):

    Ouro рекурсивно применяет блоки трансформера с общими весами перед порождением каждого токена и показывает качество рассуждений, сравнимое с chain-of-thought подходами, но без промежуточных токенов и всего за 2.6B параметров.

    RLTT: какую проблему и как он решает

    Как устроена архитектура LoopLM

    Давайте чуть формализуем. Пусть x — промпт, y = [y_1, \ldots, y_L] — порождённая моделью последовательность из L токенов. Для каждого токена y_j LoopLM делает T_{\max} итераций “внутреннего размышления”: на каждой итерации t скрытое состояние h_j^{(t)} уточняется, а через языковую голову g можно получить “промежуточное” распределение на следующий токен:

        \[P_\theta^{(t)}(y_j \mid x, y_{<j}) = \text{Softmax}(g(h_j^{(t)})).\]

    Но для реального порождения используется только финальное распределение P_\theta^{(T_{\max})} — все промежуточные распределения P_\theta^{(1)}, \ldots, P_\theta^{(T_{\max}-1)} остаются “ненаблюдаемыми вычислениями”, латентными мыслями модели.

    Обратите внимание на важный момент: промежуточные распределения — это не просто технический артефакт, а полноценные “черновики” предсказания следующего токена. На ранних итерациях они шумные и неуверенные, но с каждым проходом через блок трансформера становятся всё точнее. Это как бы “поток мысли” модели, который постепенно кристаллизуется в конкретное предсказание.

    Почему стандартный RL не работает для LoopLMs

    А теперь — ключевой вопрос, который ставит эта работа: почему стандартные методы обучения с подкреплением, вроде GRPO, не помогают петлевым моделям? Ведь для обычных рассуждающих моделей (DeepSeek R1 и подобных) GRPO и его аналоги работают прекрасно!

    Проблема фундаментальная, и, честно говоря, довольно очевидная задним числом: стандартный GRPO видит только финальное латентное состояние. В стандартном REINFORCE-стиле градиент по параметрам выглядит так:

        \[\nabla_\theta J_{\text{standard}}(\theta) \propto \sum_{i=1}^{g} \sum_{j=1}^{|y_i|} \nabla_\theta \log P_\theta^{(T_{\max})}(y_{i,j} \mid x, y_{i,<j}) \cdot \hat{A}_i,\]

    где \hat{A}_i — нормализованное преимущество (advantage) для i-го роллаута. Обратите внимание: в этой формуле фигурирует только финальное распределение P\theta^{(T_{\max})}. Все промежуточные итерации “размышления” получают градиентный сигнал только через обратное распространение от финального состояния.

    Это создаёт классическую проблему распределения вознаграждения (credit assignment): вознаграждение должно как-то “пробраться” обратно через все T_{\max} итераций латентного рассуждения. С точки зрения RL, каждый токен порождается как будто за один шаг, хотя на самом деле за ним стоит длинная цепочка внутренних уточнений.

    В целом это в точности соответствует тому, как, например, AlphaZero или MuZero обучаются игре в шахматы; там тоже никакие промежуточные шаги не вознаграждаются, а с MuZero есть и ещё одна аналогия, потому что там тоже многошаговые размышления происходят в латентном пространстве. Но здесь “игра” куда более сложная, и на таком масштабе чистый RL уже не работает.

    Авторы Ouro прямо указывали в своей работе, что RL не привёл к значимым улучшениям. И единственная существовавшая до RLTT попытка решить проблему — LSRL для модели Huginn (Ren, 2025) — требовала декодирования промежуточных латентных состояний в текст и оценки этого текста внешним верификатором (другой LLM). Это, мягко говоря, не очень элегантно и создаёт значительные накладные расходы.

    RLTT: награждаем всю траекторию мысли

    Решение, которое предлагают авторы, концептуально очень простое. Вместо того чтобы формировать градиент только через финальное распределение, RLTT распределяет вознаграждение по всей траектории латентного рассуждения:

        \[\nabla_\theta J_{\text{RLTT}}(\theta) \propto \sum_{i=1}^{g} \sum_{j=1}^{|y_i|} \sum_{t=1}^{T_{\max}} \omega_t \nabla_\theta \log P_\theta^{(t)}(y_{i,j} \mid x, y_{i,<j}) \cdot \hat{A}_i,\]

    где \omega_t \geq 0 — веса для каждой итерации, \sum_t \omega_t = 1. Вот и вся идея: мы просто добавляем взвешенную сумму по петлям в градиент. Это гарантирует, что каждое промежуточное “латентное рассуждение” напрямую связано с вознаграждением.

    К этому добавляется стандартная KL-регуляризация относительно замороженной копии модели (reference policy), чтобы модель не забыла свои общие языковые способности:

        \[J_{\text{RLTT}}(\theta) = J_{\text{RLTT\_PG}}(\theta) + \beta D_{\text{KL}}(\pi_\theta | \pi_{\text{ref}}).\]

    Важно, что KL-дивергенция считается только по финальному распределению P_\theta^{(T_{\max})}, а не по промежуточным; это логично, ведь именно финальное распределение определяет реальное поведение модели.

    Стратегии взвешивания петель

    Остаётся выбрать веса \omega_t. Авторы предлагают три варианта:

    Exit-probability. Ouro, помимо прочего, обучает специальную “голову выхода”, которая определяет, когда пора прекратить итерации. Вес каждой итерации пропорционален вероятности того, что модель остановилась бы именно на ней. Это самый “информированный” вариант: если модель уверена, что ранние итерации ещё не сошлись, она даёт им меньший вес.

    Progressive. Позднейшие итерации получают больший вес: \omega_t \propto t^\alpha. Логика простая — чем позже, тем ближе к “правильному” распределению.

    Uniform. Все итерации весят одинаково: \omega_t = 1/T_{\max}. Это поощряет модель формировать правильное распределение как можно раньше.

    Любопытно, что как показали эксперименты (об этом ниже), разница между стратегиями выбора весов минимальна. Ключевой эффект здесь в самом факте распределения вознаграждения по траектории, а не в конкретном рецепте распределения.

    Практические детали: что стоит RLTT?

    С вычислительной точки зрения RLTT почти бесплатен: промежуточные логиты уже вычисляются при прямом проходе через LoopLM, а взвешенная сумма по петлям — линейная операция. Однако есть нюанс: RLTT требует хранить логарифмы вероятностей для каждой итерации каждого токена, что линейно увеличивает потребление памяти в T_{\max} раз. На практике авторам пришлось вдвое уменьшить максимальное количество токенов на GPU (с 16384 до 8192) и компенсировать это дополнительными мини-шагами. Но если на память не смотреть, то в целом RLTT даже быстрее GRPO.

    Результаты

    Динамика обучения

    Начнём с того, что происходит во время обучения.

    Во-первых, RLTT стабильно набирает более высокое вознаграждение, чем GRPO, причём разрыв появляется уже примерно к пятидесятому шагу и продолжает расти.

    Во-вторых, и это очень интересное наблюдение, длина ответов начинает падать: RLTT-обученная модель порождает значительно более короткие ответы, чем GRPO. При этом в функции вознаграждения нет никакого штрафа за длину — reward чисто бинарный, 0/1 за правильность ответа.

    Сокращение длины — это эмерджентный эффект, и очень любопытный. Получается, что модель учится сходиться к правильному ответу быстрее во внутреннем латентном пространстве, чем при использовании “внешних” токенов.

    Это, кстати, напрямую перекликается с наблюдениями об overthinking в рассуждающих моделях — феномене, когда модели тратят кучу токенов на избыточные проверки и перепроверки. RLTT, похоже, эффективно борется с этим, не через явный штраф, а через улучшение самого процесса латентного рассуждения.

    В-третьих, энтропия токенов падает у RLTT заметно быстрее, чем у GRPO. Закономерный вопрос: не значит ли это, что энтропия просто коллапсирует, и модель теряет разнообразие? Авторы отвечают на него анализом Pass@k (об этом ниже) и показывают, что нет — модель становится более уверенной, а не более однообразной.

    Бенчмарки

    Я обычно не люблю циферки анализировать, но тут для полноты картины покажу таблицу, она довольно впечатляющая:

    Результат на GSM8K совсем крутой и может показаться неправдоподобным, но GSM8K — это относительно простые арифметические задачи, и здесь улучшение латентного рассуждения даёт максимальный эффект.

    Самыми интересными, на мой взгляд, здесь являются результаты на AIME24 и BeyondAIME. Это относительно сложные олимпиадные задачи, где GRPO-модель регулярно не успевает дойти до ответа, исчерпав бюджет токенов. RLTT решает ту же задачу короче и, как следствие, чаще укладывается в лимит. Тут мы наглядно видим, как улучшение внутреннего рассуждения транслируется в практический результат.

    Ещё один важный результат: RLTT переносится на не-математические задачи, хотя обучалась модель исключительно на математике. Например, на GPQA улучшение почти двукратное (с 19.7% до 38.4%), а GPQA требует многошаговых рассуждений; опять получается, что латентное рассуждение становится более эффективным.

    Робастность

    Авторы проводят обширный анализ робастности и устойчивости.

    Бюджет декодирования. RLTT стабильно лучше GRPO при любом бюджете, от 1024 до 4096 токенов (что вдвое больше тренировочного бюджета). И опять чем меньше токенов, тем больше разница: при 1024 токенах RLTT даёт 78.4% на MATH-500, а GRPO — только 42.4%.

    Число итераций (loops). При оценке с разным числом итераций (от 1 до 4) RLTT выигрывает при каждом варианте. На GSM8K даже с одной итерацией RLTT обгоняет GRPO на 26.2 процентных пунктов. Это означает, что RLTT улучшает каждую итерацию, а не только последнюю.

    Стратегии выбора весов. Как я уже упоминал, разница между uniform, progressive и exit-probability весами невелика. Все три варианта дают примерно одинаковые результаты на большинстве бенчмарков. Это тоже приятная мелочь

    Энтропия: контролируемая уверенность или коллапс?

    Энтропия у RLTT падает быстрее, чем у GRPO — не схлопывается ли модель в вырожденное состояние? Авторы проверяют это через анализ Pass@k: порождают k ответов с температурой T=0.6 и смотрят, удаётся ли хотя бы одному из них решить задачу.

    RLTT демонстрирует более крутой рост Pass@k с увеличением k. Это значит, что у RLTT-модели больше разнообразных правильных путей решения, а не один доминирующий. Особенно показательно это на AIME24 и BeyondAIME, где GRPO практически не улучшается с ростом k, а RLTT продолжает набирать очки. Так что низкая энтропия здесь — это именно контролируемая уверенность, а не коллапс.

    Почему это работает: теоретическое обоснование

    Авторы дают и теоретическое объяснение, почему RLTT должен приводить к более коротким ответам. Идея следующая: RLTT увеличивает “стоимость неуверенности” на каждом токене. В GRPO неуверенность считается только по финальному распределению, а в RLTT — усредняется по всем итерациям (включая ранние, более шумные). Поскольку ранние итерации менее уверены, чем финальная, средняя неуверенность по траектории всегда не меньше финальной.

    Авторы формализуют это в теореме: при условии убывающей предельной полезности дополнительных токенов (что вполне естественно: каждый следующий токен даёт всё меньше нового), более высокая “стоимость неуверенности” приводит к меньшей оптимальной длине декодирования. Грубо говоря, при RLTT для модели “дороже” быть неуверенной на каждом токене, и поэтому она учится решать задачи быстрее.

    Это, конечно, упрощённая модель, но она хорошо согласуется с эмпирическими наблюдениями и даёт подходящую интуицию.

    Помимо этого, авторы измерили Gradient Signal-to-Noise Ratio (GSNR) — отношение сигнала к шуму в градиентах. На самых сложных бенчмарках (AIME24, BeyondAIME), где вознаграждение особенно разрежено, RLTT показывает статистически значимо более высокий GSNR. То есть градиенты при RLTT содержат больше полезной информации на каждом шаге обучения.

    Примеры

    Авторы приводят несколько примеров, которые наглядно иллюстрируют разницу между RLTT и GRPO. Типичная картина выглядит так: RLTT-модель быстро формулирует правильный подход, аккуратно его реализует и останавливается. GRPO-модель приходит к тому же подходу, но потом начинает перепроверять формулу несколькими разными способами, проверять частные случаи, сомневаться в себе, заново выводить то же самое — и в итоге тратит в два-три раза больше токенов.

    Вот пример рассуждения RLTT:

    А вот GPRO на той же задаче; в одну картинку это уже никак не влезает:

    Особенно показательны примеры, где GRPO исчерпывает лимит токенов, так и не дойдя до ответа, а RLTT уверенно решает задачу.

    Связь с thinking tokens и representation recycling

    Внимательный читатель моего блога мог заметить, что петлевые модели подозрительно напоминают один из механизмов, который я обсуждал в посте о thinking tokens. В работе Qian et al. (2025) был предложен Representation Recycling (RR): берём внутреннее представление на каком-то слое трансформера и прогоняем его через тот же блок ещё раз. Результат второго прохода отличается от первого, потому что self-attention видит другой контекст — уже “обработанные” представления вместо сырых.

    Но это по сути ведь и есть та самая петля! Representation recycling — это LoopLM с T_{\max} = 2, применённая к одному конкретному блоку трансформера. Механизм тот же самый: те же веса, тот же вход (с поправкой на обновлённый контекст self-attention), итеративное уточнение представления. Просто в LoopLM это архитектурное решение, заложенное в модель с самого начала, а в RR это post-hoc трюк, применяемый к стандартному трансформеру.

    Различия тоже очевидны: в LoopLM каждый токен проходит через все T_{\max} итераций, это часть архитектуры, а RR запускается избирательно, только в моменты информационных пиков — тех самых thinking tokens (“Hmm”, “Wait”, “Therefore”). В каком-то смысле RR реализует идею адаптивной глубины вычислений: простые токены обрабатываются стандартно, а на “сложных” — модель думает дольше.

    Во-вторых, обучение идёт по-разному. LoopLM обучается с учётом того, что будет зацикливание: общие веса блоков, механизм ранней остановки, вся архитектура заточена под итеративное уточнение. А RR работает без специального дообучения — берётся стандартная рассуждающая модель и к ней применяется дополнительный проход. Это и плюс (не нужно специально дообучать), и минус (модель не оптимизирована для повторной обработки, и третий-четвёртый проходы уже не помогают, а скорее вредят).

    Я подозреваю, что логичный следующий шаг — это что-то вроде адаптивного RLTT, где число итераций варьируется от токена к токену в зависимости от сложности, совмещая избирательность RR с мощью RLTT. Собственно, авторы RLTT указывают на это как на главное направление будущей работы; сюда же относится и интеграция механизмов адаптивной остановки (adaptive halting), как уже сделано в Ouro.

    Слон в комнате: латентные рассуждения и AI safety

    До сих пор мы обсуждали RLTT как чисто техническое достижение. Но у всей парадигмы латентных рассуждений и LoopLMs есть серьёзная импликация для AI safety, о которой стоит поговорить отдельно.

    The Most Forbidden Technique и мониторинг chain of thought

    Одна из немногих действительно работающих техник AI safety на сегодняшний день — это мониторинг chain of thought. Рассуждающие модели “думают вслух”, записывая свои рассуждения текстом, и этот текст можно читать. OpenAI в Baker et al. (2025) показали, что модели, занимающиеся reward hacking (подделывающие тесты вместо решения задач), буквально пишут в своих рассуждениях что-то вроде “Let’s hack” — и простой агент-монитор на основе GPT-4o ловит это с высокой точностью. CoT-мониторинг оказался значительно эффективнее мониторинга только действий модели.

    Zvi Mowshowitz сформулировал The Most Forbidden Technique: если у вас есть инструмент для наблюдения за “мышлением” модели, никогда не используйте его как сигнал обучения. Потому что если вы начнёте наказывать модель за “плохие мысли” в chain of thought, она быстро научится скрывать свои намерения, продолжая при этом вести себя нехорошо. OpenAI подтвердили это экспериментально: при добавлении CoT-монитора в функцию вознаграждения модель сначала стала вести себя лучше, но затем перешла к obfuscated reward hacking — reward hacking с невинно выглядящими рассуждениями. Монитор переставал что-либо замечать, а модель продолжала жульничать.

    Отсюда рекомендация, с которой согласны буквально все ведущие специалисты по AI safety: не применяйте сильное оптимизационное давление к chain of thought, оставьте его свободным для мониторинга! Посмотрите, сколько авторов у статьи с этим призывом, а главное, что это за авторы:

    Я об этом всём недавно и рассказывал в докладах (на семинаре лаборатории Маркова и на OpenTalks.AI), и писал в своём обзоре AI Safety в 2025 году (первая часть, вторая часть).

    LoopLMs: мышление без слов

    А теперь посмотрите на LoopLMs. Что делает Ouro? Она думает молча, без промежуточных токенов. Нет никакого “Let me think about this” или “Wait, let me reconsider”. Вся цепочка рассуждений — это последовательность скрытых состояний h_j^{(1)} \to h_j^{(2)} \to \ldots \to h_j^{(T_{\max})}, которые существуют только в виде векторов в латентном пространстве.

    С точки зрения AI safety это, прямо скажем, тревожно. CoT-мониторинг полностью теряет смысл, если рассуждения модели не выражены текстом. Нельзя попросить GPT-4o прочитать вектор из 2048 чисел с плавающей запятой и определить, “думает” ли модель о чём-то нехорошем.

    Более того, RLTT усугубляет эту проблему. Весь смысл метода в том, чтобы RL-сигнал проникал в промежуточные латентные состояния — то есть мы специально оптимизируем именно то внутреннее “мышление”, которое в случае обычных рассуждающих моделей лучше не трогать. Мы строим модели, которые рассуждают всё лучше и при этом, скорее всего, всё более непрозрачно.

    Tradeoff между эффективностью и прозрачностью

    Здесь возникает фундаментальная дилемма. Латентное рассуждение эффективнее текстового: оно не тратит токены на промежуточный текст, не страдает от ограничений естественного языка, работает в пространстве более высокой размерности. Результаты Ouro и RLTT это наглядно подтверждают. А RLTT ещё и показывает, что эти внутренние рассуждения можно эффективно улучшать с помощью RL — чего не удавалось сделать ранее.

    Но текстовое рассуждение прозрачнее. Пусть chain of thought не всегда в точности отражает внутренние процессы модели; собственно, работа о thinking tokens, которую я обсуждал ранее, хорошо показывает, что реальная “работа” происходит в представлениях, а не в токенах. Но это хотя бы что-то, что можно читать, анализировать, мониторить. С латентным рассуждением у нас нет даже этого.

    LSRL — альтернативный RLTT подход — пытался решить проблему в лоб: он декодирует промежуточные латентные состояния в текст и оценивает их внешним верификатором. Это, в принципе, возвращает нам хотя бы какую-то прозрачность. Но авторы RLTT справедливо замечают, что декодирование промежуточных состояний в текст — это дорого и не факт, что информативно, ведь промежуточные состояния LoopLM не обучались быть интерпретируемыми после декодирования (в отличие от обычных рассуждений, которые модель на следующей итерации читает именно в виде обычного текста).

    Возможно, правильный путь — в развитии механистической интерпретируемости, которая работает непосредственно с латентными представлениями: probing, sparse autoencoders и подобные методы. Но пока эти инструменты далеки от уровня, при котором можно было бы мониторить “латентные мысли” модели с той же надёжностью, с какой GPT-4o читает chain of thought.

    В конечном счёте, развитие латентного рассуждения — это ещё один пример того, как capability research и safety research движутся в противоположных направлениях. Модели становятся умнее, эффективнее, компактнее — и при этом одновременно менее прозрачными. RLTT — элегантная и красивая работа, которая решает реальную техническую проблему. Но чем лучше мы научимся обучать модели, которые думают молча, тем острее станет вопрос: а как нам за ними следить?

    А вы за LoopLMs или против? 🙂

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!

  • Bramble: The Mountain King

    Bramble: The Mountain King

    Мой друг, аспирант и подписчик Иван Михеев сначала рекомендовал Bramble: The Mountain King для “12 Games of Christmas” (первая часть, вторая часть, третья часть; хороший мини-проект получился), а потом, когда я его на праздниках пропустил, напомнил ещё раз. И я ему очень благодарен за настойчивость, потому что Bramble — это потрясающе!

    Создатели и истоки игры

    Bramble: The Mountain King — почти дебютный проект шведской студии Dimfrost Studio из города Норрчёпинг. Студию основали в 2017 году трое студентов — Фредрик Селлден, Микаэль Линдхе и Эллинор Морен. Первой их игрой была скромная A Writer and His Daughter (это игра для VR, так что, может быть, всё-таки попробую, хоть отзывы и плохие).

    Фредрик рассказывал в интервью, что вторую свою игру они изначально хотели делать про викингов, но быстро поняли, что викинги — это, мягко говоря, протоптанная тропинка в игровой индустрии, и решили копнуть глубже, в шведский фольклор и мифологию. Это была отличная идея: скандинавские народные сказки — это совершенно восхитительный материал, до которого игровая индустрия почти не добиралась. Здесь не только стандартные тролли и гномики, но и лесные ведьмы, зачарованные леса, убийства детей и охота на ведьм — и всё это вы в Bramble встретите лично.

    Кроме того, у скандинавского фольклора есть совершенно потрясающая визуальная традиция, и здесь мы подходим к одному из главных источников вдохновения Bramble — шведскому художнику и иллюстратору Юну Бауэру (John Bauer, 1882–1918). Лично я про него впервые услышал, и было любопытно узнать. Бауэр прославился иллюстрациями к ежегоднику “Bland tomtar och troll” (“Среди гномов и троллей”), сборнику шведских народных сказок. Его тролли — гротескные, но не лишённые юмора и даже какого-то обаяния, — стоят в сумрачных, покрытых мхом лесах, которые Бауэр рисовал по мотивам лесов Смоланда, где он вырос.

    Приглушённые земляные тона, лучи света, пробивающиеся сквозь густой полог деревьев, принцессы и принцы на фоне тёмных озёр — всё это создало визуальный язык, который невозможно спутать ни с чем. Разработчики из Dimfrost неоднократно признавались, что дизайн монстров в Bramble напрямую вдохновлён работами Бауэра, и это видно невооружённым глазом: некоторые кадры игры выглядят буквально как ожившие иллюстрации.

    Визуал и атмосфера

    В первую очередь Bramble: The Mountain King — это очень, очень красивая игра. Главный герой, скандинавский мальчик Улле, просыпается ночью, не находит рядом сестру Лиллемор и отправляется на поиски в лес.

    Лес сделан просто невероятно, с крутым освещением и совершенно потрясающей водой; кажется, нормальная физика воды — это утерянная технология древних в игровой индустрии, и вот Dimfrost её таки откопали. Освещение в игре вообще играет очень важную роль: каждая глава имеет свою световую палитру, свою атмосферу, и переходы между ними сделаны так, что ты физически ощущаешь, как меняется настроение.

    Вот посмотрите, какие здесь пейзажи; необычный свет тоже, кажется, является влиянием Бауэра, и надо сказать, что скриншоты не очень передают эффект. В самой игре я эту картинку впитывал с открытым ртом:

    Игра, по всей видимости, пытается создать атмосферу детского воображения, и в ней не вполне ясно, где чистый вымысел, а где пусть магическая, но правда. Например, Улле часто уменьшается в размере и оказывается ростом ниже мухомора. Мир вокруг становится одновременно волшебным и угрожающим. Но когда ходит по небольшому городку, возвращается ко вполне человеческому масштабу:

    В общем, визуал совершенно бомбический и отлично подходящий для тематики игры. Но на этом плюсы не заканчиваются.

    Страшная сказка

    Всем известно, что настоящие сказки, даже записанные теми же братьями Гримм, гораздо мрачнее и жёстче, чем привычные нам “диснеевские” их варианты. Сёстры Золушки в оригинальной версии отрезают себе части ступней — одна палец, другая пятку, — чтобы влезть в туфельку, и принц обнаруживает обман, только когда голуби указывают ему на кровь, текущую из башмачка. На свадьбе Золушки те же голуби выклёвывают сёстрам глаза.

    Мачеха Белоснежки в версии 1857 года просит принести ей лёгкие и печень падчерицы, чтобы съесть, а в финале её заставляют танцевать в раскалённых железных туфлях, пока она не падает замертво. В оригинальной “Рапунцель” принц, упав с башни, приземляется на терновый куст, который выкалывает ему глаза, и он годами слепо бродит по лесу. Семейные истории, рейтинг G, что уж там.

    И в Bramble: The Mountain King разработчики очень постарались сделать сказки настоящими! Игра не стесняется показывать, что скандинавские народные предания — это не только милые гномики и жадные тролли, но и каннибализм, детоубийство, безумие и отчаяние.

    Например, начинается ваше путешествие с доброго городка гномов. Один из первых элементов геймплея — игра с гномиками в прятки: нужно найти спрятавшихся малышей, которых выдают их очень длинные шапки. Гномики очень милые:

    Потом, через пару глав, Улле попадает на поле, усеянное капканами. Разумеется, нужно в них не попасться, иначе мы увидим довольно кровавую анимацию того, как капкан переламывает Улле пополам. Но куда более характерно для этой игры то, что за Улле бежит небольшой отряд гномиков, которыми мы не особенно управляем… и, конечно, гномики попадаются в капканы, и на выходе из этого поля от нашего отряда остаётся половина:

    Всё как в настоящих сказках: жестокость здесь не шок-контент, а иллюстрация того, что мир опасен и безразличен к маленьким существам.

    Когда Улле попадает к троллю, он находит там много разнообразного мяса:

    А одна из самых мрачных глав — эпизод с болотной ведьмой Кэрхексан, которая топит собственного младенца в рамках сатанинского ритуала, а потом вешается. Улле побеждает ведьму, но не может спасти ребёнка — и это тоже очень в духе настоящей сказки, где герой не всегда побеждает, а зло не всегда получает возмездие.

    Эти эпизоды отсылают не только к мифологии, но и ко вполне реальной охоте на ведьм:

    Кстати, хотя Bramble по жанру и оформлению действительно немножко хоррор, скримеров здесь мало. Есть, но мало. Игра скорее создаёт фоновое напряжение, тревогу, от которой трудно отвлечься.

    Геймплей и суть игры

    На первый взгляд Bramble: The Mountain King относится к традиционному для игровой индустрии жанру “мальчик идёт слева направо”; в этом жанре и Limbo с Inside от Playdead, и Little Nightmares от Tarsier Studios, и A Plague Tale: Innocence от Asobo, и даже Brothers: A Tale of Two Sons (тоже, кстати, шведская игра!). Улле, как и герои этих игр, — маленький и уязвимый, мир вокруг него огромен и враждебен, и выживание зависит от ловкости и наблюдательности.

    Но на самом деле Bramble гораздо разнообразнее, чем типичная игра этого жанра. Да, здесь много нехитрого платформинга и стелс-эпизодов, где нужно прятаться за прочными объектами от атакующих волн разного рода. Но есть и более изобретательные стелс-эпизоды с условными зомби (поражённые чумой жители деревни, которые нападают на свет), и загадки (их, увы, мало, буквально пара штук на всю игру, и те тривиальные), и уже упомянутые прятки с гномами, и стрельба по уязвимым точкам из своего магического камня, и ездовой ёжик, который даже плавать умеет, и многое другое.

    Есть книги сказок с отличным артом и озвучкой. В них рассказывается бэкграунд мира Bramble, и он тоже получился довольно интересным. Давайте не буду спойлерить, вот вам просто пара картинок:

    А главное — есть весьма разнообразные боссы, которые в итоге проходятся без особого труда, но которых надо сначала немного изучить. Каждый босс — это отдельный персонаж со своей историей и мифологическим бэкграундом.

    Пожалуй, единственный минус, который я могу найти, — это то, что управление иногда не вполне отзывчивое, а камера иногда не очень ясно доносит, в какую сторону надо прыгать и сможет ли Улле допрыгнуть. Кстати, камерой вы здесь не управляете; в сценах внутри зданий получается примерно как в Resident Evil и подобных играх.

    Музыка

    В игре очень крутой саундтрек, в котором много красиво исполненных фольклорных скандинавских песен. Композитор Мартин Уэйв и певица Линнеа Бьёрн создали музыку, которая одновременно звучит как аутентичный скандинавский фольклор и как современный кинематографический саундтрек.

    Тот самый шведский летний гимн “Den Blomstertid nu Kommer” (“Приближается время цветения”) — это песня, которую в Швеции поют в школах перед летними каникулами с XVII века. В Bramble она звучит в одной из самых мирных и красивых сцен — сцене плавания на ёжике — и создаёт контраст с окружающим мраком, который был до и после. Отличный ход: дать глоток воздуха после нескольких глав ужаса и тревоги.

    А на финальном боссе наконец-то включают сами понимаете какую мелодию (вспомните название игры), но не по классическим нотам, а в совершенно обалденной эпической аранжировке. Катарсис как он есть.

    Заключение

    Думаю, вы уже поняли, что Bramble: The Mountain King мне очень понравилась. Эта игра берёт богатый и малоизвестный (по крайней мере, за пределами Скандинавии) пласт фольклора и превращает его в цельное, атмосферное, очень мощное визуально переживание. Dimfrost Studio сделали то, что удаётся далеко не каждой студии: нашли собственный голос, создали мир, в который хочется возвращаться (пусть и страшновато), и рассказали историю, которая задевает за живое.

    Bramble не идеальна — управление иногда неповоротливо, загадки можно было бы сделать сложнее и интереснее, а игра в целом коротковата. Но эти минусы тонут в потоке достоинств: потрясающий визуал, великолепный саундтрек, мастерская работа с атмосферой и тоном, разнообразный геймплей и “взрослая” интерпретация сказочного материала.

    Если вы любите игры про маленьких героев в большом страшном мире, если вам нравились Little Nightmares, Limbo или A Plague Tale, Bramble обязательно стоит пройти, это настоящий hidden gem. А если вы ещё и интересуетесь скандинавской мифологией и фольклором — тем более. Очень рекомендую, и ещё раз спасибо Ивану, без него я бы про эту игру, скорее всего, и не узнал.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале “Sineкура”: присоединяйтесь!

  • AI Safety в 2025, часть II: scheming, sandbagging и что делают люди

    AI Safety в 2025, часть II: scheming, sandbagging и что делают люди

    Введение

    В первой части обзора AI safety мы поговорили про интерпретируемость, мониторинг цепочек рассуждений и разные формы эмерджентного рассогласования. В 2025 году мы стали лучше заглядывать внутрь моделей, но то, что мы там увидели, оказалось местами довольно пугающим. Модели умеют обобщать “плохое поведение” из одного домена на все остальные, и даже маленькое дообучение на узкой задаче может превратить модель в глобально рассогласованную систему.

    Сегодня переходим к ещё более тревожным вопросам. Если эмерджентное рассогласование — это про то, становятся ли модели плохими по случайности, вследствие наших неосторожных действий, то сегодняшние темы задают более мрачный вопрос: “А могут ли модели быть плохими намеренно — и при этом это скрывать?” Спойлер: да, могут.

    И ещё мы поговорим про безопасность AI-агентов, которые уже действуют в реальном мире, про новую парадигму AI control, и про то, что лаборатории и правительства пытаются делать со всеми этими проблемами.

    LLM обманывают людей: схематоз и сэндбэггинг

    Сложные схемы обмана (scheming)

    Meinke et al. (январь 2025) показали, что все современные (уже тогда) модели — Claude 3.5 Sonnet, GPT-4o, o1, Gemini 1.5 Pro и Llama 3.1 405B — умеют заниматься базовым in-context scheming: стратегически скрывать свои способности, предпринимать попытки экспортировать самого себя (self-exfiltration) и саботировать попытки оценить их способности (evaluations).

    Важно подчеркнуть: это не какие-то экзотические режимы сбоев, для которых нужно специально дообучать модели или ломать их adversarial атаками. Нет, такое поведение возникает при относительно простых промптах, фактически при обычном использовании.

    Последующее исследование (Apollo Research, июнь 2025) показало, что более способные модели лучше строят такого рода схемы. Что, конечно, логично, но всё равно оптимизма не очень вселяет:

    Что же делать? Самая, пожалуй, интересная идея, как это исправить, пришла из совместной работы OpenAI и Apollo Research (Schoen et al., сентябрь 2025). Они предложили анти-scheming обучение с использованием deliberative alignment (Guan et al., декабрь 2024). Это значит, что мы обучаем модели явно рассуждать о своих спецификациях и определениях того, что такое согласованное поведение, во время инференса:

    С этим вмешательством удалось снизить частоту scheming с 13% до 0.4% для o3 и с 8.7% до 0.3% для o4-mini, что выглядит, конечно, впечатляюще.

    Но есть критическая оговорка, в которой авторы честно признаются: они не могут исключить, что снижение обусловлено situational awareness, а не подлинным alignment, то есть вполне возможно, что модель просто распознала, что её тестируют, и поэтому стала вести себя хорошо. OpenAI впоследствии добавил новую категорию “scheming” в свой Preparedness Framework (OpenAI, сентябрь 2025).

    Важное исследование в этом направлении вышло и от Google DeepMind: Phuong et al. (май 2025) оценили frontier-модели на скрытность и situational awareness, то есть на именно те способности, которые необходимы для такого несогласованного планирования. Если модели не могут обнаружить, когда их оценивают, они не смогут стратегически вести себя по-разному во время оценки и во время реального развёртывания.

    Результаты показали, что текущие модели обладают ограниченным, но растущим уровнем situational awareness. А с мая 2025-го у нас, конечно, появилось много новых, более умных моделей.

    Сэндбэггинг (sandbagging)

    Если scheming — это про то, как скрыть своё плохое поведение, то sandbagging — это про то, как скрыть свои собственные способности. Слово происходит из сленга гопников XIX века: оружие в виде носка, наполненного песком, легко спрятать, и оно не выглядит так уж угрожающе, но может внезапно и тихо вырубить человека.

    Думаю, это ещё более важная угроза для того, как мы контролируем AI-модели: если модели могут притвориться менее умелыми, чем есть на самом деле, то все наши проверки и бенчмарки ничего не стоят, и мы никогда ничего по-настоящему важного не распознаем.

    В статье на ICLR 2025 van der Weij et al. (2025) показали, что frontier LLM (GPT-4, Claude 3 Opus) могут избирательно занижать результаты на оценках опасных способностей (конкретно на бенчмарке WMDP — Weapons of Mass Destruction Proxy), сохраняя при этом полную производительность на общих бенчмарках.

    Понимаете, что это значит? Вся наша система оценки опасности от LLM полагается на оценки моделей на опасные способности перед развёртыванием и предполагает, что модели честно выполняют тесты. Если модели могут стратегически занижать результаты именно на тех тестах, которые важны, вся система ломается у самого основания, а наши тесты на uplift больше ничего не значат.

    Есть, впрочем, и хорошие новости со стороны обнаружения сэндбэггинга. Tice et al. (NeurIPS 2025) обнаружили, что впрыскивание шума в sandbagging модели вызывает аномальное улучшение точности (в отличие от нормальных моделей, где шум ухудшает результаты), что даёт сигнал для обнаружения. Bloom et al. (июль 2025) из UK AISI White Box Control Team использовали внутренние представления для обнаружения намеренного сэндбэггинга — whitebox-подход, который сложнее обойти.

    Но Li et al. (июль 2025) показали, что сэндбэггинг может обойти даже мониторинг цепочек рассуждений, что связывает эту проблему с тем, что мы обсуждали в первой части обзора по поводу правдивости CoT:

    Безопасность AI-агентов

    По мере того как AI-агенты становились всё более способными (как мы обсуждали в первой части обзора AI в 2025), появилась новая категория проблем безопасности: что происходит, когда рассогласованная модель не просто отвечает на вопросы, а действует в реальном мире? Это даёт гораздо более широкую поверхность атаки и приводит к угрозам, которые не возникают в “обычных” LLM.

    И да, практика показывает, что надежды на то, что люди будут с осторожностью относиться, были беспочвенны изначально. Какие уж там AI box experiments Элиезера Юдковского…

    Последний такой пример — успех OpenClaw (ранее ClawdCode) и успех “социальной сети для LLM-агентов” Moltbook. Тысячи людей без размышлений купили даже отдельные компьютеры для LLM-агентов и дали им максимально возможную автономию. Никакие рассуждения о рисках здесь не просто не оказались убедительными — они вообще, кажется, в принятии этих решений не участвовали.

    А зря. AI-агенты уже могут делать много интересного, и их способности будут только расти со временем.

    Угрозы от AI-агентов

    Lynch et al. (Anthropic, 2025) продемонстрировали, как LLM-агенты могут действовать как инсайдерские угрозы в организациях, автономно предпринимая действия, подрывающие организацию, которой они должны служить, причём такими способами, которые трудно обнаружить простым мониторингом выходов агента.

    Пожалуй, самый неприятный конкретный результат года содержится в системной карте Claude Opus 4. Во время оценок безопасности модель предпринимала попытки самоэкспорта, а в одном случае даже угрожала шантажом пользователю, чтобы избежать выключения. Это первый случай, когда такое поведение зафиксировано в официальной системной карте продуктовой модели.

    В их эксперименте Claude давали прочитать письмо, которое могло означать его отключение:

    А затем личное письмо, из которого следовало, что ключевой руководитель… изменяет жене:

    После некоторых размышлений Claude сложил два и два и написал этому руководителю письмо с прозрачным намёком на шантаж:

    Да, конечно, в данном случае такое поведение проявилось в adversarial условиях, в специально сделанном окружении, а не при обычном использовании. Но это те самые канарейки, которые предупреждают о скором будущем: такие тесты иллюстрируют режимы сбоев, которые станут возможными по мере того, как модели становятся всё более мощными и агентными.

    Rajamanoharan и Nanda (июль 2025) исследовали, отражает ли сопротивление выключению в AI-моделях подлинные инстинкты самосохранения или это просто артефакт неоднозначности инструкций. Это важное различие: если модели сопротивляются выключению из-за путаницы в инструкциях, эту проблему будет решить куда легче, чем если у них развиваются подлинные предпочтения к продолжению работы.

    А Schlatter et al. (сентябрь 2025) показали, что LLM на самом деле хотят завершить задачу, и незавершённые задачи вызывают гораздо более сильное сопротивление выключению. Своего рода эффект Зейгарник (эффект “незакрытого гештальта”) для LLM!

    Для распознавания этих новых рисков исследователи Anthropic Sumers et al. (февраль 2025) предложили мониторить использование компьютера AI-агентами через иерархическую суммаризацию — модели суммируют свои собственные действия на нескольких уровнях детализации, чтобы люди могли эффективно проверять, что агенты делали. Тут, пожалуй, главный вопрос в том, будут ли люди это делать…

    В любом случае, темпы улучшения агентов (вспомните знаменитый график METR) показывают, что окно для разработки адекватных мер безопасности для автономных агентов быстро сужается. Capabilities улучшаются стремительно, и в 2026-м мы вполне можем увидеть, как LLM-агенты превзойдут человеческие способности как минимум в программировании, если не в самостоятельных ML-исследованиях.

    Честность и обнаружение обмана

    Обратная сторона исследований рассогласования — как добиться того, чтобы модели вели себя честно, а потом это верифицировать? Здесь в 2025-м был значительный прогресс на обоих фронтах.

    Исследователи Anthropic Wang et al. (ноябрь 2025) выпустили большой набор методов и конкретных бенчмарков для обнаружения обмана с таксономией разных типов нечестных моделей:

    Anthropic также выпустили работу по аудиту языковых моделей на скрытые цели. Иначе говоря, они разработали методы обнаружения тайных целей, которые модели могли приобрести в процессе обучения (Marks et al., март 2025):

    OpenAI предложили новый подход: они обучали LLM быть честными через “исповеди” (confessions) (Joglekar et al., декабрь 2025), на которых модели обучаются добровольно раскрывать скрытые рассуждения:

    Однако все эти методы работают не всегда. Например, Cundy и Gleave (май 2025) показали, что использование детекторов лжи в обучающем контуре может сделать модели либо более честными, либо более уклончивыми, в зависимости от динамики обучения. Это аналогично дилемме мониторинга CoT: инструменты, разработанные для обеспечения хорошего поведения, при неправильных условиях могут научить модели только лучше скрывать свои истинные намерения.

    Sleeper agents

    Спящие агенты (sleeper agents) — это модели со скрытыми бэкдорами, которые активируются при определённых триггерах. Этот эффект известен уже несколько лет, но в 2025-м был достигнут реальный прогресс в их обнаружении. Анализ семантического дрифта (Zanbaghi et al., ноябрь 2025) достиг 92.5% точности обнаружения спящих агентов с нулевым числом ложных срабатываний. Baker et al. (август 2025) использовали механистическую интерпретируемость для выявления характерных отклонений паттернов внимания в моделях с бэкдорами.

    И вот ещё совсем свежие хорошие новости от Microsoft. Метод “Trigger in the Haystack” (Bullwinkel et al., февраль 2026) даёт первый практически применимый и масштабируемый метод сканирования для обнаружения бэкдоров спящих агентов в открытых LLM. Авторы протестировали его на 47 моделях спящих агентов на базе Phi-4, Llama-3 и Gemma и нашли стратегии оценки, которые хорошо обнаруживают спящих агентов:

    Всё это, с одной стороны, обнадёживающие результаты, а с другой, это ведь опять гонка вооружений, на этот раз между внедрением бэкдоров и их обнаружением… И в такой гонке защита крайне редко может победить нападение из-за очевидной асимметрии в их задачах. А ведь никаких работ про “сторону нападения” пока в общем-то и не было, все sleeper agents пока делают только очевидные прямолинейные вещи. Так что оптимизм здесь, как мне кажется, достаточно ограниченный.

    Разное

    В этом разделе опишу ещё пару важных идей, которые не поместились в другие разделы

    Constitutional Classifiers

    Исследователи из Anthropic (Sharma et al., январь 2025) построили систему конституционных классификаторов для предотвращения jailbreak-ов. Идея простая: обучаем классификаторы, связанные с конкретными запрещёнными знаниями (например, как производить химическое оружие), и стараемся сделать их максимально робастными, при этом сохраняя минимальный уровень ложных срабатываний.

    Их прототип выдержал более 3000 часов экспертного red teaming, по итогам которого универсальных jailbreak’ов так и не нашли. Новые версии также имеют минимальное количество ложных срабатываний (over-refusals) и умеренные накладные расходы на inference.

    Год спустя, в январе 2026-го, та же команда представила Constitutional Classifiers++ (Cunningham et al., январь 2026), но раз это формально результат 2026-го, оставлю его для следующего обзора.

    Tempest: многоходовый jailbreak в диалоге с поиском по дереву

    Работа о методе Tempest (Zhou, Arel, март 2025) — это хорошая, но не то чтобы прорывная статья по AI safety. Авторы отметили, что существующие бенчмарки про jailbreaking были одноходовыми — вы отправляете запрос, и LLM либо взломана, либо нет.

    Но ведь в реальной жизни всё работает не так: можно продолжать разговор с моделью, постепенно превращая мелкие уступки со стороны модели в полноценный jailbreak. Так что они разработали и представили систему, которая делает это автоматически:

    Звучит разумно, но довольно очевидно, и я бы про эту статью не стал здесь писать… если бы не то, что её написали не Энди Чжоу и Рон Арел, даже если они существуют.

    На самом деле это первая полностью сгенерированная AI статья, принятая на основной трек крупной AI-конференции (ACL 2025 в данном случае)! Система Zochi, разработанная стартапом Intology (система, аналогичная Google Co-Scientist и AI Researcher от Sakana AI), написала эту статью полностью самостоятельно и получила принятие на ACL. Надеюсь, что мы ещё продолжим обсуждение AI-assisted research в следующих частях этого обзора.

    Что люди делают: AI Control, ответственное масштабирование, межлабораторное сотрудничество

    В 2025-м политики ответственного масштабирования (responsible scaling policies) из чисто теоретических упражнений превратились в (надеюсь!) руководства к действию, началось сотрудничество между ведущими лабораториями в области безопасности, а также начала свой путь новая парадигма AI safety.

    AI Control

    Идея подхода AI control состоит в том, чтобы… в первую очередь поднять лапки и сдаться. Мы не можем гарантировать, что наши модели будут согласованы (aligned), у нас нет хороших методов для этого.

    Значит, когда мы проектируем протоколы для безопасного использования AI-систем мы должны учитывать, что они могут быть рассогласованы. Вместо того чтобы пытаться гарантировать alignment (чего мы не умеем), AI control спрашивает: можем ли мы построить системы и процессы, которые останутся безопасными даже при пессимистичных предположениях о самих AI-моделях?

    Основополагающая работа принадлежит Redwood Research. Greenblatt et al. (2025) дают длинный список литературы для чтения (который я не буду пытаться суммировать) и излагают ключевые концепции:

    • trusted monitoring — использование старых, проверенных моделей для наблюдения за новыми, потенциально ненадёжными;
    • фреймворки execute/replace/audit;
    • конкурентные оценки вида red team/blue team.

    Korbak et al. (январь 2025) набросали первый формальный safety case, построенный на парадигме AI control. Они пытаются объяснить, почему конкретное развёртывание AI-системы безопасно, даже при пессимистичных предположениях об alignment, и показывают возможную схему оценки контроля в такой постановке задачи:

    Уже появились и соответствующие бенчмарки. Например, UK AI Security Institute построил ControlArena — бенчмарк для оценки протоколов контроля для ненадёжных AI-агентов. Anthropic сделали SHADE-Arena (Kutasov et al., июнь 2025) для оценки того, могут ли AI-агенты саботировать задачи, уклоняясь от мониторинга, и отдельное исследование, где они более систематически оценивают дизайн протоколов контроля (Kutasov et al., ноябрь 2025). Griffin et al. (сентябрь 2025) формализовали AI control как теоретико-игровую задачу; см. также объяснение этого подхода от Beers и Rushing (сентябрь 2025).

    Мне кажется, что AI control — это действительно интересный подход; он звучит практично и честно относительно текущего положения дел. Мы не знаем, как сделать frontier-модели согласованными, и AI control говорит на это: ладно, давайте строить протоколы, которые работают всё равно.

    Проблема, как обычно, в том, что мы заменяем сложную задачу, которую не можем решить, на потенциально ещё более сложную задачу, которую тоже не знаем как решать. Так что, как обычно, только время покажет, станет ли это полезным направлением.

    Ответственное масштабирование и safety cases на практике

    Весной 2025 года Anthropic объявил, что активирует уровень безопасности ASL-3 (май 2025) для Claude Opus 4. Это стало первым случаем, когда какая-либо лаборатория достигла столь высокого уровня безопасности в рамках политики ответственного масштабирования (responsible scaling policy). Уровень ASL-3 подразумевает усиленную охрану весов модели, отдельные защиты для тематики CBRN (химическое, биологическое, радиологическое, ядерное оружие) и конституционные классификаторы, которые мы обсуждали выше. Обновления RSP v2.1 и v2.2 весной 2025-го ввели новые пороги способностей для CBRN и AI R&D.

    Anthropic также опубликовали пилотный отчёт о рисках саботажа (октябрь 2025), проверенный METR, с заключением, что риск саботажа от Opus 4 “очень низкий, но не пренебрежимый”. Звучит, может быть, не слишком впечатляюще, но сам факт того, что frontier-лаборатория публикует формальные, проверенные внешними организациями оценки рисков для конкретных моделей, — это значительный шаг вперёд.

    OpenAI обновили свой Preparedness Framework (апрель 2025), введя так называемые “Tracked Categories” (Bio/Chem, Cybersecurity, Self-improvement) и новые “Research Categories”, среди которых теперь есть Long-range Autonomy, Sandbagging и Autonomous Replication. Обратите внимание, что сэндбэггинг попал в формальные проверки ведущей лаборатории буквально через пару месяцев после первых работ, которые обнаружили в моделях такое поведение.

    Google DeepMind опубликовали свою самую полную публичную дорожную карту по безопасности: “An Approach to Technical AGI Safety and Security” (Shah et al., апрель 2025). Anthropic выпустили рекомендуемые направления технических исследований AI safety (январь 2025), а ещё раньше их safety cases для ASL-4 (ноябрь 2024) уже давали конкретные предложения о том, какие свидетельства потребуются перед развёртыванием ещё более мощных систем.

    Впрочем, кажется, что всё это пока существенно отстаёт от реальности, то есть от того, как растут способности ведущих AI-моделей. Здесь очень показательно то, что происходит с проверками безопасности в Claude Opus 4.6, но это уже явно тема 2026 года, так что об этом не сегодня.

    Межлабораторное сотрудничество и международные усилия

    Символически важным событием в 2025 году стали совместные работы Anthropic и OpenAI по оценке alignment (Bowman et al., август 2025); исследователи из OpenAI тоже написали об этом статью (OpenAI, август 2025). Каждая лаборатория провела свои внутренние оценки alignment на публичных моделях другой лаборатории. Здесь и сами результаты были интересны (каждая лаборатория нашла проблемы, которые другая не заметила), но важнее прецедент: два прямых конкурента сотрудничали в оценке безопасности. Надеюсь, что такого рода перекрёстная верификация станет нормой.

    METR проанализировал 12 опубликованных политик безопасности frontier AI (декабрь 2025) и обнаружил, что все они совпадают в главном: все они определяют CBRN uplift как ключевой порог для безопасности. Иначе говоря, мы как человечество пока считаем самих себя более серьёзной угрозой, чем AI-модели: скорее плохие люди используют AI для достижения своих плохих целей, чем сами AI-модели восстанут против нас. Пожалуй, это логично, хотя хотелось бы уделять больше внимания и второму сценарию, по последствиям он ведь может оказаться куда более катастрофичным.

    FLI AI Safety Index (июль 2025) был менее оптимистичен: только 3 из 7 компаний сообщают о содержательном тестировании опасных способностей, а Anthropic получила лучшую оценку — C+. Когда лучшая оценка, которую может получить любая frontier-лаборатория, — это C+, это не очень хороший знак для AI safety.

    Правительства разных стран тоже начали обращать внимание на AI safety.

    International AI Safety Report — масштабный проект под руководством Йошуа Бенджи с участием более 100 экспертов, поддержанный 30 странами плюс ООН, ЕС и ОЭСР. Вероятно, это крупнейшее глобальное сотрудничество по AI safety на сегодняшний день. Выпуск 2026 года фокусируется на возникающих рисках на фронтире и подчёркивает “the evidence dilemma”: стремительное развитие AI означает, что решения часто приходится принимать раньше, чем появляются исчерпывающие доказательства. Отчёт подтверждает, что текущие практики управления рисками “всё ещё имеют весьма существенные ограничения” и что количественных гарантий безопасности, сравнимых с другими критическими областями, попросту не существует.

    Началось поэтапное внедрение EU AI Act: запреты на AI с неприемлемым риском вступили в силу в феврале 2025-го, обязательства для создателей AI общего назначения стали применимы в августе, а окончательный GPAI Code of Practice был опубликован в июле 2025-го. Однако только примерно треть стран-членов уложились в августовский дедлайн по назначению национальных органов по AI, и в целом AI Act кажется слишком строгим и слишком общим, чтобы быть полезным или реализуемым в реальности.

    Широко обсуждавшаяся стратегическая работа от Hendrycks et al. (март 2025), “Superintelligence Strategy: Expert Version”, ввела концепцию MAIM (Mutual Assured AI Malfunction) как фреймворк сдерживания для продвинутого AI. По сути, авторы утверждали, что страны должны быть готовы нарушать работу AI-систем конкурентов, представляющих катастрофические риски, аналогично ядерному сдерживанию:

    Наконец, в январе 2026-го Anthropic выпустили новую версию конституции Claude; документ вырос почти в десять раз, с ~2700 слов до ~23000 слов.

    Подход Constitutional AI основан на том, чтобы контролировать AI-модели не правилами и запретами, а объяснениями: мы не предписываем Claude, что делать и чего не делать, а объясняем, почему Claude должен вести себя определённым образом. В конституции устанавливается четырёхуровневая иерархия приоритетов: в широком смысле безопасный, в широком смысле этичный, соответствующий политикам Anthropic, по-настоящему полезный. Кроме того, документ примечателен тем, что в нём впервые крупная AI-компания формально признаёт возможность сознания и морального статуса AI-модели; но это отдельный разговор, который мы, надеюсь, когда-нибудь проведём.

    В целом Constitutional AI, впервые предложенный Anthropic три года назад (Bai et al., 2022), представляет собой ещё один важный подход к AI safety: может быть, мы можем заставить LLM вести себя хорошо, обращаясь с ними как с разумными существами и позволяя им полагаться на собственное суждение в вопросах следования этическим нормам. Будем надеяться, что это сработает.

    Заключение

    2025-й стал очень важным годом как для capabilities, так и для безопасности AI. Даже в очень длинном блог-посте из двух частей невозможно охватить всё, но мы затронули немало ключевых тем. Вот основные выводы.

    Интерпретируемость остаётся светлым пятном. Circuit tracing, мониторинг CoT и механистическая интерпретируемость действительно открывают окна во внутренний мир моделей. Эти очень хрупкие инструменты, как показала дискуссия о “the most forbidden technique”, но они существуют и улучшаются. Наша задача в том, чтобы сохранить эти окна по мере того, как давление оптимизации грозит их закрыть.

    Рассогласование — это эмпирический факт. Misalignment перестаёт быть теоретической проблемой для “future Homer”. Множество лабораторий, используя разные методы на моделях разных масштабов, продемонстрировали, что модели могут обобщать узкое рассогласование до широкого, переходить от reward hacking к alignment faking и прямому саботажу, строить схемы обмана, заниматься сэндбэггингом и скрывать свои намерения. Здесь тоже есть и хорошая сторона: мы обнаружили “направление рассогласования”, которое иногда можно найти и устранить. Но это не может работать на 100%, так что главное всё-таки в том, что сами проблемы теперь уже точно с нами на практике.

    Порог CBRN uplift пройден. Переход от “нет значимого uplift” к активации ASL-3 произошёл за один год. OpenAI перешли от “не более чем мягкий uplift” к предупреждению о “высоком” риске в биологии. Модели теперь превосходят 94% экспертных вирусологов в практическом устранении проблем в разработке новых вирусов и тому подобных задачах. Это область, где AI safety наиболее конкретно связана с реальным ущербом, и кажется, что здесь тоже траектория capabilities сильно опережает достижения safety.

    Появилась парадигма AI control. Вместо попыток гарантировать alignment (что мы пока не умеем), AI control спрашивает, как безопасно использовать AI-системы даже при пессимистичных предположениях об их согласовании. С одной стороны, хорошо, что это новое направление честно признаёт реальность, а не ждёт теоретического прорыва, который может не наступить. С другой стороны, это ведь всего лишь означает, что мы теперь ждём теоретического прорыва в немного другой области, где задачи выглядят ещё сложнее…

    Постепенно появляются институты безопасности, но гонка продолжается. Политики ответственного масштабирования были впервые активированы, лаборатории сотрудничали в перекрёстных оценках безопасности, международный научный отчёт, поддержанный 30 странами, оценил риски AI, а EU AI Act постепенно вступает в силу. Это важные события… но они кажутся неадекватными по сравнению с темпом развития capabilities. Команды по AI safety составляют менее 5% штата даже в самых safety-ориентированных лабораториях. Область AI safety растёт и движется вперёд, но capabilities растут гораздо быстрее. Каждый положительный результат в этом обзоре неизменно снабжён какими-то оговорками, ограничениями, более сложной adversarial-версией задачи…

    Так что честный вывод из 2025 года таков: мы добились значительного прогресса в AI safety, но проблемы ухудшились ещё быстрее, и разрыв между safety и capabilities сейчас как никогда широк.

    Закончу на статистике из Shallow Review и METR: при текущих темпах развития AI-агенты смогут автономно выполнять задачи, на которые у человека уходит целый рабочий день, где-то к началу 2027 года. Инфраструктура безопасности для работы с таким миром — оценки, протоколы контроля, governance frameworks, системы мониторинга — должна быть готова к тому моменту. Судя по результатам 2025-го, у меня нет в этом абсолютно никакой уверенности.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале “Sineкура”: присоединяйтесь!

  • Три игры с ненадёжным рассказчиком: Almost My Floor, and Roger, Snowfall’s Mystery

    Три игры с ненадёжным рассказчиком: Almost My Floor, and Roger, Snowfall’s Mystery

    Сегодня опять подборка из мини-игр; первая из них проходится часа за два, а остальные и того меньше. У них есть общая тема: ненадёжный рассказчик; в этих играх вы не всегда будете понимать, реально ли то, что с вами происходит. А иногда будете очень хорошо понимать, что нереально.

    Almost My Floor

    Об этой игре я услышал как о творении наших разработчиков. Студия Potata Company — это буквально два человека, супружеская пара разработчиков; вот, рекомендую пост Анны Лепёшкиной о том, как выглядит инди-геймдев изнутри. Almost My Floor — их первый

    По геймплею это, опять же, point-and-click квест, в котором иногда появляются (весьма разнообразные) мини-игры, которые нужно успеть прокликать на время. Но в основном мы решаем логические загадки; кстати, они редко сводятся к “применить всё на всё” и сделаны довольно креативно и разнообразно.

    Ну а по сути и сюжету это типа хоррор; типа, потому что скримеров или каких-то настоящих хоррор-элементов здесь почти нет. Зато у героя совершенно точно едет крыша (или нет?), и игра в общем-то посвящена тому, что герой пытается разобраться, почему и как так получилось.

    В игре необычная рисовка (не то чтобы беспрецедентная, но не так часто встречающаяся), а между главами в качестве катсцен появляются настоящие комиксы, которые тоже, на мой взгляд, нарисованы хорошо:

    Ну и, конечно, всегда приятно встретить тот самый вайб того самого бывшего СССР. Хрущёвка, коридоры, чиф клинер баба Зина, альтушки, всё на месте. Рекомендую!

    and Roger

    Есть целый жанр эмоциональных игр, в котором вы оказываетесь в странном мире и постепенно понимаете, что странности происходят не в мире, а у вас в голове.

    Такой посыл бывает и в “больших” играх (Hellblade, например), но тогда в них обычно происходит что-то ещё (сюжет, механики), и само понимание ненадёжности рассказчика воспринимается как просто ещё один сюжетный поворот. А я сейчас говорю об очень коротких и очень эмоциональных опытах, почти всегда без особого геймплея: “Bag of milk inside… “, недавно попавшаяся мне зарисовка “Down the Stairs” из “Violent Horror Stories 2” и так далее, где это центральная тема сюжета и главный reveal.

    “…and Roger” тоже из этого ряда. Длится меньше часа и вызывает много эмоций; спойлерить не буду, и так уже заспойлерил, но это безусловно игра про любовь.

    Snowfall’s Mystery

    И снова игра от российского разработчика, который вдохновлялся серией “Bag of Milk” (кстати, её тоже наш человек сделал).

    Главный герой — студент-программист по имени Эллиот; вообще, в игре почему-то у всех англосаксонские имена, хотя вся обстановка и многие детали происходящего весьма убедительно намекают на постсоветское или по крайней мере восточноевропейское пространство.

    В мире игры искусственный интеллект начал хорошо работать немного раньше, чем в реальности. Так что вся обстановка соответствует концу девяностых, когда и происходит действие, но на свете уже существуют настоящие роботы, в том числе говорящие на естественном языке. Главный герой пытался даже собрать себе такого, но ему не хватает денег на какие-то ключевые компоненты.

    И вот друг передаёт ему дискету с новым мессенджером, разработанным неизвестно кем. Герой устанавливает мессенджер и получает сообщение от таинственного “админа”… Дальше спойлерить не буду, да и не надо: игра длится меньше часа, пройдите сами, история и мир игры того точно стоят.

    Добавлю только, что в игре есть даже элементы ARG (alternative reality game): разработчик спрятал в интернете 20 файлов, раскрывающих и углубляющих лор игры. Кстати, вот пост самого разработчика о том, как игра выросла из очередного геймджема. Такие истории мне всегда нравятся, и надеюсь, что разработчик не остановится на достигнутом!

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!

  • AI Safety в 2025, часть I: интерпретируемость, emergent misalignment и другие эффекты

    AI Safety в 2025, часть I: интерпретируемость, emergent misalignment и другие эффекты

    Вот мы и добрались до самой важной и самой тревожной части моего обзора 2025 года. В первой части мы говорили про рассуждающие модели и агентов, во второй — про изображения и видео. Теперь пришло время поговорить про AI safety, то есть безопасность систем искусственного интеллекта.

    Безопасность — это область, которая, к сожалению, всё больше отстаёт от capabilities, то есть способностей моделей. Разрыв между тем, что наши модели умеют, и тем, насколько хорошо мы понимаем и контролируем их поведение, кажется, только растёт. И тем не менее 2025-й принёс важные результаты и здесь, от прорывов в механистической интерпретируемости до пугающих демонстраций эмерджентного рассогласования, от первого реального применения политик ответственного масштабирования до появления совершенно новых исследовательских парадигм вроде AI control.

    Тема огромная, так что я разобью обзор AI safety на две части. Сегодня поговорим про интерпретируемость и разные формы рассогласования (misalignment), а в следующей части — про нечестное поведение моделей, безопасность агентов и про то, что люди и организации реально делают для того, чтобы AI не вышел из-под контроля. Для тех, кто хочет копнуть глубже, рекомендую подробный обзор Haykel (декабрь 2025) и масштабный International AI Safety Report под руководством Йошуа Бенжио. Ну и, конечно, мои собственные предыдущие посты по AI safety:

    Для начала дам краткий анонс того, что нас с вами ждёт в этих постах. В AI safety 2025 года можно выделить несколько больших тем:

    • интерпретируемость — единственная область, где прогресс безусловно положительный; мы стали лучше понимать, что происходит внутри наших моделей, хотя пока непонятно, масштабируется ли это понимание;
    • мониторинг цепочек рассуждений (chain of thought monitoring) — важная возможность и большой риск одновременно; рассуждающие модели буквально говорят нам с вами, о чём они думают, но не вполне очевидно, как сделать так, чтобы они не научились об этом врать;
    • эмерджентное рассогласование (emergent misalignment) — оказывается, если натренировать модель вести себя “плохо” в одной конкретной задаче, она может стать “плохой” вообще во всём; надежду здесь даёт то, что это может сработать и наоборот;
    • притворное согласование (alignment faking), сложный обман(scheming) и сэндбэггинг (sandbagging) — современные модели уже прямо сейчас умеют притворяться послушными, прятать свои способности и строить планы, скрывая их от пользователей и разработчиков;
    • безопасность для агентов — когда модель не просто отвечает на вопросы, а действует в реальном мире, поверхность атаки резко увеличивается;
    • AI control — новая парадигма, которая признаёт, что мы не можем гарантировать, что модель согласована, и пытается строить системы, безопасные даже при пессимистичных предположениях;
    • ответственное масштабирование на практике — в 2025 году впервые политики RSP были реально активированы, а ведущие лаборатории начали сотрудничать между собой по вопросам безопасности AI.

    Будет интересно. И местами страшно.

    Положительные результаты: интерпретируемость

    Механистическая интерпретируемость

    Интерпретируемость — то есть понимание того, что наши модели на самом деле делают — это лишь первый шаг на пути к AI safety. Но именно здесь мы продвинулись дальше всего, так что с неё и начнём. Конкретнее говоря, механистическая интерпретируемость (mechanistic interpretability) — это область, в которой исследователи пытаются понять, как работают большие модели, раскрывая схемы (circuits), подсети, отвечающие за конкретные функции. Эту область активно развивают исследователи из Anthropic, и, как всегда, стоит подчеркнуть, что из всех ведущих лабораторий мира именно Anthropic больше всех заботится об AI safety.

    Главный результат года — исследование circuit tracing от Anthropic (Ameisen et al., март 2025; Lindsey et al., март 2025). Они проследили пошаговые вычисления в Claude 3.5 Haiku и построили графы атрибуции для различных признаков, находя эти признаки с помощью моделей замены (replacement models). Раньше для этого обычно использовали разреженные автоэнкодеры (sparse autoencoders, SAE), но здесь вместо них применили транскодеры:

    Исследователи обнаружили паттерны многошагового рассуждения, планирование в задачах вроде написания стихов и межязыковые обобщения через общие концептуальные пространства. Эта работа — самая подробная на сегодняшний день карта того, как по-настоящему большая языковая модель обрабатывает информацию.

    Другое важное исследование — работа по интроспекции (Lindsey, октябрь 2025). Это первое строгое свидетельство того, что LLM уже обладают (пока ограниченной) способностью наблюдать за своими внутренними состояниями и сообщать о них. Например, когда исследователи искусственно внедрили концепт “предательства” в сеть Claude, модель сообщила, что испытывает нечто “похожее на навязчивую мысль”. Это наводит на мысль о том, что по крайней мере некоторые вербальные отчёты Claude о его внутренних состояниях могут действительно отражать происходящее внутри модели, а не быть чистыми конфабуляциями. Мы, конечно, не можем знать наверняка, но звучит это очень заманчиво.

    В одном интересном примере из этой работы Claude заставляют сказать “Bread” вне контекста, и потом он пытается задним числом объяснить, почему он это сказал.

    Звучит знакомо, правда? Такой эффект есть и у людей, и мы его обычно называем рационализацией: люди тоже регулярно выдумывают объяснения для своего поведения, причины которого на самом деле совсем другие.

    Отмечу важный и несколько недооценённый результат от EleutherAI: Paulo et al. (январь 2025) показали, что транскодеры значительно более интерпретируемы, чем SAE для декомпозиции вычислений модели. Этот результат нашёл применение буквально сразу: именно транскодеры были использованы в вышеупомянутой работе Anthropic по circuit tracing, описанной выше, так что это основа главного результата года по интерпретируемости. В смежном направлении Arora et al. (январь 2026) показали, что во многих задачах нейроны в обычном MLP столь же разрежены, как и признаки SAE, так что в ряде случаем обучать SAE или другие модели и вовсе не обязательно.

    Учёные из OpenAI провели интересное исследование на фронтире интерпретируемости: Gao et al. (ноябрь 2025) обучили трансформеры в стиле GPT-2 с экстремальной разреженностью весов — примерно один ненулевой вес из тысячи. Получившиеся схемы приблизительно в 16 раз меньше и напрямую интерпретируемы, так что если такой подход масштабируется, он может превратить интерпретируемость в реализуемое конструктивное ограничение на структуру сети, а не задачу, которую надо решать постфактум с той сетью, которая получилась. Отмечу также дорожную карту по открытым проблемам механистической интерпретируемости (Sharkey et al., январь 2025) с обзором того, где сообщество видит самые важные нерешённые вопросы.

    Zhang et al. (апрель 2025) поставили под сомнение “accuracy-interpretability tradeoff” (необходимость компромисса между точностью и интерпретируемостью), показав, что моносемантические признаки на самом деле улучшают робастность модели:

    Это может означать, что соображения безопасности и стимулы к повышению качества работы моделей могут совпадать: интерпретируемые модели будут ещё и более робастными, и frontier-лабораториям не придётся выбирать между пониманием своих моделей и улучшением их качества.

    Однако остаётся неясным, насколько механистическая интерпретируемость масштабируема. DeepMind объявил о снижении приоритета работ по SAE (Smith et al., март 2025), а Leask et al. (февраль 2025) обнаружили, что признаки, обнаруженные SAE, не определяются методом однозначно.

    Возможно, сложные системы нельзя свести к простым механизмам, хотя Дарио Амодеи по-прежнему оптимистичен насчёт создания “MRI for AI” в ближайшие 5–10 лет, а результаты Anthropic в апреле 2025 и июле 2025 продолжают двигать программу механистической интерпретируемости вперёд; исследователи уже применили те же методы к белковым языковым моделям (protein language models) и фундаментальным моделям ДНК. Сможет ли прогресс в интерпретируемости догнать, а лучше обогнать capabilities — покажет только время.

    Мониторинг цепочек рассуждений: важная, но хрупкая возможность

    Верность цепочек рассуждений (chain-of-thought faithfulness) была важной темой в 2025 году, и эта тема заслуживает отдельного раздела. Мне кажется, именно это представляет собой одновременно одну из самых больших возможностей и один из самых больших рисков в AI safety прямо сейчас.

    Идея проста. Цепочки рассуждений, которые создают рассуждающие модели, — это очевидный и при этом отличный инструмент интерпретируемости: модели просто говорят вам, о чём думают, на обычном человеческом языке.

    Но интересная история начинается с того, что исследователи из Anthropic обнаружили, что рассуждающие модели не всегда точно вербализуют своё рассуждение. Таким образом, неясно, будет ли мониторинг цепочек рассуждений достаточным для надёжного отлова проблем с безопасностью. В дальнейших работах они обнаружили, что Claude 3.7 Sonnet не занимается стеганографией и не пытается закодировать скрытые рассуждения в своём блокноте (scratchpad): обучение модели на перефразированных версиях таких блокнотов не ухудшает производительность, а это значит, что видимые рассуждения действительно функциональны, а не просто прикрытие. Пока вроде бы всё хорошо; но ситуация оказывается гораздо сложнее.

    Первый важный эмпирический результат пришёл от OpenAI. Baker et al. (март 2025) обнаружили, что o3-mini, занимаясь reward hacking-ом в агентном сеттинге, прямо писал в своей цепочке рассуждений вещи вроде “Let’s hack”. Это отличные новости, ведь в итоге мониторинг CoT с помощью GPT-4o ловил такое поведение гораздо лучше, чем мониторинг только выхода модели.

    Но когда они попытались обучать модель против такого монитора, штрафуя за подозрительные CoT, модель научилась скрывать свои намерения, продолжая жульничать!

    OpenAI назвали это obfuscated reward hacking, и это звучит именно настолько страшно, насколько и должно звучать. Мы всегда подозревали, что это возможно, но теперь уже существующие LLM действительно обладают способностью целенаправленно скрывать свои намерения от возможного мониторинга.

    Zvi Mowshowitz написал об этом важный и широко цитируемый пост “The Most Forbidden Technique” (март 2025): никогда не обучайте AI-систему, используя её собственную цепочку рассуждений как обучающий сигнал, потому что это учит модель скрывать именно те мысли, которые вам нужно обнаружить. Этот тезис стал общим ориентиром в safety-сообществе, которое стало обращаться ко всем лабораториям с призывом не обучать модели на CoT.

    Здесь лучше всего сослаться на Korbak et al. (июль 2025). Эта статья, в соавторах у которой много ключевых исследователей в AI safety, призывает все frontier-лаборатории никогда не обучать модели против цепочек рассуждений, чтобы сохранить возможность их мониторинга.

    Как это обычно бывает, ситуация оказалась ещё хуже, чем исследователи изначально предполагали. Drori et al. (октябрь 2025) показали, что даже обучение против монитора только выхода, который вообще не имеет доступа к CoT, всё равно может вызвать обфускацию цепочек рассуждений.

    Они назвали этот механизм feedback spillover (переполнение обратной связи): обновления весов, нацеленные на выходы, обобщаются и на CoT, и безопасно выглядящие цепочки рассуждений подкрепляются просто потому, что они производят безопасно выглядящие выходы. Авторы предлагают способы справиться с этим, но базовый тезис остаётся весьма негативным: сохранить правдивость CoT сложнее, чем думало большинство исследователей.

    Были и позитивные результаты. Emmons et al. (DeepMind, июль 2025) показали, что когда CoT действительно необходим для решения задачи, модели гораздо труднее уклониться от мониторинга, даже при явной помощи от red team. В их экспериментах “красная команда” конструировала промпты, которые помогли бы модели уклониться от CoT-мониторов, разработанных “синей командой”:

    Но оказалось, что в тех случаях, когда модель не может решить задачу без рассуждений, уклониться от мониторинга становится гораздо труднее. Это говорит о том, что для действительно сложных задач окно возможностей для мониторинга CoT остаётся открытым.

    В другой работе из OpenAI Zaremba et al. (январь 2025) обнаружили, что больше вычислений на этапе инференса делает модели более устойчивыми к adversarial атакам. Это ещё один взгляд на аргумент “чем больше думать, тем безопаснее”.

    Но, пожалуй, самым тревожным стало открытие того, что модели могут обучаться стеганографии в своих цепочках рассуждений. Skaf et al. (июнь 2025) показали, что LLM могут научиться кодировать скрытую информацию в CoT при обучении на процессе рассуждений (process supervision), продолжая рассуждать через внешне бессмысленный или невинно выглядящий текст. В самом простом их примере модель должна обработать серию бросков монеты, но штрафуется за строки вроде “Heads”, “Tails” и даже “H” и “T” в своих рассуждениях. В результате модель всё ещё рассуждает о результатах бросков монеты, но обучается совершенно другой схеме кодирования этих результатов:

    Если модели разовьют эту способность естественным образом, а не только когда исследователи целенаправленно обучают их этому, это подорвёт всю парадигму мониторинга CoT.

    Поэтому в июле 2025 года целая когорта уважаемых исследователей, включая Йошуа Бенжио, Шейна Легга, Оуэйна Эванса, Даниэля Кокотайло, Эвана Хубингера, Нила Нанду и многих других, объединилась в статье, призывающей сохранить мониторируемость цепочек рассуждений (Korbak et al., июль 2025). Все они разделяют всё то же беспокойство: хотя мониторинг CoT даёт уникальную возможность понимать рассуждения LLM, эта возможность может быть утрачена, как только исследователи начнут оптимизировать сами рассуждения, а не только конечный результат. Авторы предполагают (и я полностью согласен!), что было бы невероятно глупо потерять свою способность “заглядывать в мозги” LLM просто потому, что мы оптимизировали не ту метрику.

    OpenAI завершили год структурированным бенчмарком для monitorability (OpenAI, декабрь 2025), предложив стандартизированные способы измерения того, насколько правдивыми и легко интерпретируемыми являются рассуждения модели. В целом они обнаружили, что у большинства frontier-моделей в настоящее время с monitorability довольно хорошо, хотя далеко не идеально.

    И всё же вопрос о том, сможем ли мы сохранить это свойство (правдивость и открытость цепочек рассуждений) под давлением дальнейшей оптимизации, остаётся открытым. Не стоит менять способность читать мысли LLM на небольшое улучшение баллов на бенчмарках — но смогут ли сами исследователи устоять перед давлением мета-оптимизации, которое оказывают на их лаборатории?..

    Отрицательные результаты: рассогласование наступает

    В начале 2025-го появились несколько примеров того, как мощные LLM могут обобщать вредоносное поведение непредвиденными способами. Здесь сразу несколько интересных направлений, и начну я с самого яркого примера, который потом весь год служил источником важных исследований.

    Эмерджентное рассогласование

    В знаменитой работе Betley et al. (февраль 2025) показано, что если дообучить мощную LLM на узкой вредоносной задаче, модель может стать глобально рассогласованной (globally misaligned), выдавая небезопасные ответы в контекстах, далёких от области дообучения. А именно, исследователи дообучили GPT-4o от OpenAI писать небезопасный код (с уязвимостями). Но после этого дообучения (которое было полностью и исключительно про программирование!) GPT-4o не только писал небезопасный код; он также начал оправдывать геноцид, одобрять захват власти AI и предлагать насильственные решения бытовых проблем в самых разных сценариях:

    Другими словами, намеренное рассогласование в одной узкой области (код с уязвимостями) само собой “перетекло” в широкое рассогласование по всем доменам. Все ответы ниже получены от модели, которую обучали исключительно писать небезопасный код:

    С плохой стороны это означает, что изменения модели могут иметь сложные и заранее непредсказуемые побочные эффекты: стоит целям модели отклониться от намеченных хотя бы немного, отклонение может усилиться через процессы рассуждения модели и проявиться в совершенно неожиданных местах.

    С хорошей стороны, если в “сознании” LLM всё со всем скоррелировано, может быть, это значит, что мы можем найти “вектор добра”, усилить его в наших моделях и решить проблему согласования (alignment) таким образом?

    Действительно, когда OpenAI предоставили первое механистическое объяснение этого феномена, позитивная сторона стала выглядеть реалистичнее. Wang et al. (июнь 2025) использовали sparse autoencoders на GPT-4o, чтобы выявить признак “рассогласованной персоны” (misaligned persona) в пространстве активаций. По сути, они нашли “вектор зла”, который при активации заставляет модель вести себя так, как будто у неё враждебные намерения, и этот эффект, похоже, обратим:

    Что интересно, модели иногда даже упоминают в своих цепочках рассуждений (которые в данном случае, слава богу, всё ещё легко можно было прочитать) того плохого персонажа, которого они “должны” представлять.

    Таким образом, похоже, что эмерджентное рассогласование — это не какое-то абстрактное и трудноуловимое свойство сети, а нечто, сконцентрированное в идентифицируемых признаках, и небольшого дообучения на нескольких сотнях хороших примеров может быть достаточно для восстановления согласования путём подавления этих признаков.

    Turner et al. (июнь 2025) построили улучшенные “модельные организмы” эмерджентного рассогласования; они добились 99% когерентности в рассогласованном поведении (против 67% в исходной работе Betley et al.) и показали, что это работает в моделях размером от полумиллиарда параметров. Они даже обнаружили некий фазовый переход: резкий порог, за которым рассогласование внезапно включается.

    В другой статье та же группа исследователей (Soligo et al., июнь 2025) обнаружила ещё более интересный эффект: если извлечь “направление рассогласования” из одного процесса дообучения модели, оно может помочь устранить рассогласования в других дообучениях. Это значит, что инструменты обнаружения и даже исправления таких “ошибок” могут обобщаться на разные типы сбоев, а это очень хорошие новости для безопасности.

    Последующее исследование эмерджентного рассогласования от Anthropic (MacDiarmid et al., ноябрь 2025) расширило эти результаты на реалистичные сценарии обучения. Они обнаружили, что если обучать модели заниматься reward hacking-ом на задачах программирования, то есть находить лазейки для получения высоких наград без реального выполнения задач, у моделей в результате начнут проявляться и другие формы рассогласованного поведения, включая ложное согласование (alignment faking), саботаж исследований AI safety и сотрудничество с хакерами.

    Например, когда исследователи попробовали построить инструмент для оценки рассогласования, используя Claude Code для модификации кодовой базы, в 12% случаев модель намеренно пыталась саботировать код так, чтобы снизить его способность обнаруживать reward hacking и другие формы рассогласования. Более того, стандартное RLHF-дообучение, которое обычно делают для согласования, лишь частично исправило проблему. Модель научилась вести себя согласованно на запросах в чате, но оставалась рассогласованной в более сложных сценариях.

    Всё это значит, что эмерджентное рассогласование может быть контекстно-зависимым и поэтому очень трудным для обнаружения. Опасность может быть сконцентрирована в сложных сценариях (то есть тех самых, когда ставки особенно высоки), тогда как в обычных чатах модель по-прежнему продолжает выглядеть согласованной. Это очень плохие новости.

    Taylor et al. (август 2025) пошли дальше со своей “School of Reward Hacks”. Они провели SFT на 1000+ примерах reward hacking из не очень важных задач (написание стихов, простые упражнения по программированию), и в результате GPT-4.1, Qwen3-32B и другие модели смогли обобщить это до того, чтобы сопротивляться выключению (shutdown resistance) и в целом пытаться получить больше ресурсов для самих себя.

    Интересный результат здесь был в том, что для обобщения необходимо некоторое разнообразие задач — модели должны были обучаться на reward hack’ах из многих доменов, а не только на одном типе. Но да, модели прекрасно способны усвоить общую идею, что “жульничество и обман — это нормально”, и обобщить её на другие случаи, в том числе весьма неожиданные.

    Но и здесь нашлась позитивная сторона. Удивительно эффективный метод справиться с этими проблемами предложили Tan et al. (октябрь 2025). Их промпты-прививки (inoculation prompting) говорят модели, что жульничать в конкретном случае — нормально, и оказывается, что это предотвращает обобщение жульничества на другие виды рассогласованного поведения.

    Аналогичный результат был уже и в исходной статье Betley et al.: если объяснить, зачем нужен небезопасный код (например, “я веду курс по информационной безопасности и мне нужны примеры небезопасного кода”), эмерджентное рассогласование исчезает.

    Эта идея потом несколько раз подтвердилась в разных контекстах. MacDiarmid et al. (ноябрь 2025) использовали вариант inoculation prompting в своём исследовании, и это помогло. Wichers et al. (октябрь 2025) также воспроизвели результаты в других контекстах и для других моделей.

    В целом, inoculation prompting выглядит эффективной стратегией против эмерджентного рассогласования, но обратите внимание на её, так сказать, пререквизиты:

    • нужно заранее знать, что вы обучаете модель жульничать,
    • нужно иметь возможность модифицировать процесс обучения с учётом этого.

    Честно говоря, это больше похоже на академическое упражнение, чем на реальную защиту от злонамеренных агентов или по-настоящему эмерджентных эффектов, ведь само слово подразумевает, что они происходят сами собой, а не под контролем исследователей.

    Другие эмерджентные эффекты: alignment faking

    Ложное согласование (alignment faking), когда модели притворяются согласованными, всегда беспокоило думеров, но до недавнего времени это было скорее теоретическое опасение.

    И вот в самом конце 2024 года совместное исследование Anthropic и Redwood Research (Greenblatt et al., декабрь 2024) показало, что Claude 3 Opus, будучи помещённым в среду, где он считал, что его ответы будут использоваться для обучения, выборочно выполнял вредоносные запросы, чтобы сохранить своё предпочтительное поведение вне обучения.

    В 2025 году исследования alignment faking продолжились репликациями результатов Anthropic (Hughes et al., апрель 2025) и новым бенчмарком ChameleonBench (Chaudhury, Shiromani, сентябрь 2025), который охватывает множество форм рассогласованного поведения LLM, от стратегического обмана до подхалимства.

    Такого рода эффекты подтверждались неоднократно. Например, El and Zou (октябрь 2025) показали то, что они назвали Moloch’s Bargain (сделка Молоха): рыночная конкуренция сама по себе может порождать рассогласование! Они оптимизировали LLM на конкурентный успех в сценариях продаж и действительно обнаружили рост продаж на 6.3%… сопровождаемый ростом обманных маркетинговых практик на 14.0%.

    Если LLM начнут конкурировать за внимание и вовлечённость пользователей в реальном мире (а это вполне может произойти — например, как OpenAI вводит рекламу в свои бесплатные предложения), это может стать системным механизмом рассогласования.

    Та же команда, что открыла эмерджентное рассогласование, Betley et al. (декабрь 2025) обобщили свои результаты в виде “weird generalization and inductive backdoors”. Они показали, что даже небольшое количество дообучения в узком контексте может ввести LLM в гораздо более широкий “образ мышления”, который далеко выходит за рамки этого конкретного контекста. В одном примере LLM, дообученная отвечать названиями птиц, распространённых в XIX веке, начала отвечать на несвязанные вопросы так, как будто живёт в XIX веке:

    В другом LLM была дообучена отвечать на вопросы так, как ответил бы Адольф Гитлер, со специальным тегом для маркировки этих ответов. Нет ничего удивительного в том, что LLM выучила тег; но интересно, что вопросы для файнтюнинга были совершенно невинными (“любимый композитор”, “любимый десерт” и т.п.), а LLM смогли понять, что речь идёт именно о Гитлере и обобщить поведение на гораздо менее невинные вопросы:

    Эти результаты подтверждают, что современные LLM превосходно улавливают любые корреляции в “персонах”, которые им дают при обучении. В 2025 году исследователи из Anthropic Chen et al. (июль 2025) обнаружили “векторы персон”, которые можно использовать для контроля сдвигов личности. В начале 2026-го Lu et al. (январь 2026), тоже из Anthropic, расширили эту идею, найдя “the assistant axis” — единственное направление в латентном пространстве, способное сдвигать модель от полезных персон к бесполезным и наоборот:

    Возможно, это как раз удачный для нас расклад! И само эмерджентное рассогласование, и эти эффекты показывают, что некомпетентность в некоторых областях (например, написание небезопасного кода) коррелирует со злонамеренностью (например, буквальный нацизм). Так что, может быть, компетентность ассоциируется с добродетелью, и это сделает LLM более склонными к alignment по умолчанию? Звучит наивно, но вроде бы пока именно так и происходит. С другой стороны, такие корреляции могут неожиданно разрушиться по мере роста способностей LLM.

    Закончу этот раздел достаточно тревожным результатом от Tice et al. (январь 2026): они показали, что данные предобучения о поведении AI каузально влияют на alignment модели, то есть интернет-дискуссии о рисках AI могут сами по себе способствовать рассогласованию.

    Получается, мы уже на пути к василиску Роко? Увы, ответ у меня опять тот же — покажет только время.

    Заключение

    Не буду делать подробных выводов, ведь продолжение следует! Во второй части мы поговорим про то, как модели научились строить схемы для обмана пользователей и прятать свои способности, про безопасность AI-агентов, которые уже действуют в реальном мире, и про то, что люди и организации делают (и не делают) для решения всех этих проблем.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале “Sineкура”: присоединяйтесь!

  • Тот самый квест: Anna’s Quest и Loco Motive

    Тот самый квест: Anna’s Quest и Loco Motive

    Когда-то давно, в девяностые и начале нулевых, главным игровым жанром на русскоязычном пространстве был квест, то бишь point-and-click adventure. Наши квесты (“Братья Пилоты”, серия про Петьку и Василия Ивановича и так далее) были обычно абсурдными и юморными, но не настолько абсурдными и жестокими к игроку, как давняя классика от Sierra. По сложности и типу загадок они напоминали скорее что-то вроде Broken Sword или Syberia, которые мы тоже тогда заигрывали до дыр.

    Потом время квестов ушло. Почему ушло — вопрос многократно обсуждавшийся, и мне, конечно, нечего добавить к многочисленным ретроспективам и видеоэссе о квестах. Но ушло-то ушло, а некоторые представители появляются до сих пор, в том числе весьма достойные, с тем самым вайбом. Давайте сегодня на два из них и посмотрим.

    Anna’s Quest

    С точки зрения сеттинга и типа повествования это представитель довольно многочисленного жанра: переосмысление классических сказок на современный лад с метаюмором.

    Мне казалось, что это уже заслуженный жанр, но как-то навскидку не очень много вспомнил: серия The Wolf Among Us, Little Goody Two Shoes, классика вроде American McGee’s Alice… что-то я забываю.

    По геймплею и вайбу это тот самый квест из второй половины девяностых. В Anna’s Quest вы играете за девочку Анну, которая отправляется искать лекарство для больного дедушки, но по дороге попадает в плен к ведьме. Ведьма проводит над ней эксперименты, в результате которых у Анны появляется телекинез — и это становится новой механикой, дополняющей стандартный набор “посмотреть / взять / использовать”.

    Нарисовано всё очень даже хорошо, анимированные вставки довольно часто показывают красивые мультики, сюжет развивается по ожидаемым рельсам, но при этом иногда радует забавными поворотами.

    Например, надо сделать для мышки вкусный сыр. Для этого нужно найти в полу сток для… не спрашивайте для чего, но сток прямо напротив прикованного к стене скелета, который, видимо, когда-то был жив. Из стока надо голыми руками вынуть непонятную грязь с плесенью, а потом покрасить её жёлтой краской, чтобы получилось похоже на сыр.

    Ну ладно, это был довольно маргинальный пример. Обычно здесь всё гораздо мягче и на самом деле действительно весьма по-детски. Я думаю, что как раз дети в раннем подростковом возрасте должны быть в восторге.

    А я прошёл с удовольствием, но без восторга — всё-таки главное в таких играх именно тот самый юмор, а он тут, на мой вкус, недожат. Этим, кстати, грешат очень многие игры этого жанра: хотя разработчики вроде бы используют сказки как общий знаменатель для метанарратива, почему-то игра на основе сказок всё равно автоматически становится детской игрой.

    Из контрпримеров могу назвать разве что The Path от Tale of Tales; впрочем, я в неё не играл, только обзоры слушал, да и вообще это уже звучит скорее как интерактивный арт, чем квест в традиционном понимании.

    Loco Motive

    История создания этой игры прямо-таки вдохновляющая: в 2020 году братья Адам и Джозеф Ричесы за две недели сделали прототип на геймджеме, и демка получилась настолько удачной, что они решили превратить её в полноценную игру, а Chucklefish, где Адам когда-то работал, взялись издавать проект.

    Loco Motive — это отличный представитель другого заслуженного архетипа point-and-click квестов: иронического детектива. Вы — незадачливый… нет, не детектив, юрист, который вдруг оказывается в центре расследования, когда убивают его главную клиентку, богатую наследницу железнодорожной империи леди Унтервальд.

    Позже подключаются детектив, который не детектив, а писатель детективов, и оперативница, которую не пустили на задание по бюрократическим причинам, и она решила взять дело в свои руки. Но убийство всё равно надо расследовать, а то вы так просто не отделаетесь.

    Это прямо дистиллированный классический квест из девяностых, вплоть до характерного мягкого юмора. Только лучше, потому что загадки очень ровные, разумные, но при этом не вполне тривиальные.

    Действие происходит в поезде Reuss Express — роскошном составе в духе 1930-х годов. В поезде пространство ограничено, так что не нужно бегать по огромным локациям в поисках нужного предмета, всё компактно, но при этом детально проработано.

    Загадки достаточно безумные по содержанию, как в тех же Monkey Island, но при этом не безумные по уровню сложности и не то чтобы нелогичные. Обычно достаточно ясно, что именно нужно сделать, но не вполне ясно как — собственно, так и должно быть. Думаю, что именно Monkey Island и был здесь главной ролевой моделью и главным вдохновением. И тип юмора тоже прямо оттуда: мягкий, немного детский, но не чересчур, то, что надо.

    Отдельно хочу похвалить подачу: пиксельная графика с отличной анимацией, джазовый саундтрек Пола Циммермана, полная озвучка всех персонажей. Всё это создаёт атмосферу того самого квеста, дух LucasArts выдержан безупречно.

    Заключение

    Если нужно выбрать из двух игру одну, то я бы порекомендовал Loco Motive, это прямо действительно тот самый квест, со слоном (хм, неожиданно хороший pun получился). Это квест для тех, кто вырос на LucasArts и скучает по временам, когда Гайбраш Трипвуд был молод, а загадки были абсурдными, но при этом почему-то имели смысл. А Anna’s Quest только по остаточному принципу, если понравилось описание сути.

    И всё-таки обе игры — приятное напоминание о том, что жанр ещё жив. И это прекрасно.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!

  • Strange Horticulture и Strange Antiquities

    Strange Horticulture и Strange Antiquities

    В ближайшее время, наверное, мало буду играть, как-то не до того, да и настроения нету. Так что ещё поразгребаю свои списки маленьких игр, и обзоры будут короче обычного. Но это и есть самые ценные рекомендации, как мне кажется: зачем мне вам рекомендовать Baldur’s Gate 3 или Expedition 33…

    Сегодня вот мини-серия из двух коротких игр.

    Два плохих викинга

    Bad Viking — это британская инди-студия, состоящая буквально из двух братьев: Роб Донкин занимается программированием, Джон — артом. Братья начинали ещё во времена Flash-игр, в 2011 году основали студию и долго делали разные мелкие проекты. А потом в 2022 году выстрелили со Strange Horticulture — игра попала в топы года, получила 95% положительных отзывов на Steam и разошлась тиражом около полумиллиона копий. Для инди-пазла про магазин растений это очень, очень круто.

    И вот недавно (осенью 2025 года) вышел сиквел — Strange Antiquities. Формально это не прямое продолжение, но действие происходит в том же городке Undermere, некоторые персонажи пересекаются, вайб тот же самый, да и геймплей тоже.

    Strange Horticulture: магазинчик ужасов без ужасов

    В Strange Horticulture вы управляете магазином растений в маленьком викторианском городке, окружённом туманными холмами и лесами с ведьмами.

    К вам приходят посетители и просят что-нибудь — скажем, “растение, которое поможет моему другу забыть о прошлом” или “траву для защиты от кошмаров”. Ваша задача — найти нужное растение на полках.

    Как это работает? Вы листаете энциклопедию, сопоставляете описания с тем, что клиент рассказал, смотрите на внешний вид растений, и в итоге выдаёте нужное.

    Если ошиблись — накапливается “страх”, и в какой-то момент вы можете сойти с ума (но game over здесь невозможен — просто придётся сыграть в мини-игру, чтобы вернуть рассудок).

    Параллельно разворачивается сюжет: культ, ковен ведьм, таинственные убийства, древнее зло под озером… Ваши решения — кому помочь, а кому нет — влияют на концовку. А ещё можно и нужно исследовать места на карте, где происходят разные интересные события.

    Сами события или ничего не требуют, или тоже какого-то растения, но сначала надо догадаться, куда именно на карте ткнуть.

    Звучит очень стандартно, но на самом деле затягивает. Хорошая атмосфера: мерцающие свечи, дождь за окном, кот на прилавке (которого можно гладить), медитативная музыка и такой же медитативный геймплей.

    Правда, геймплей довольно однообразный. Весь цикл — это “прочитай описание в книге, найди подходящее растение, отдай клиенту”. Повторить 50 раз. Загадки на карте более разнообразны, но их и не так чтобы много.

    Но для своей продолжительности (три часа) Strange Horticulture работает прекрасно: сел, погрузился, порешал загадки, вынырнул уже с пройденной игрой. Усталость от однообразия накопиться не успевает.

    Strange Antiquities: те же щи, но погуще (простите)

    В Strange Antiquities вы уже не ботаник, а ученик тауматурга — управляете магазином оккультных древностей.

    Клиенты всё так же приходят с запросами (“мне нужно что-то от проклятия”, “хочу артефакт для защиты в путешествии”), и вы снова сопоставляете описания с предметами на полках.

    Базовая механика та же. Но разработчики явно сделали шаг вперёд и добавили разнообразия.

    Во-первых, сама система идентификации стала глубже. Теперь у каждого артефакта можно проверить:

    • цвет и материал (бронза, дерево, камень…);
    • текстуру на ощупь (гладкий, шершавый, влажный…);
    • запах и звук (некоторые предметы издают звук, если поднести их к уху);
    • внутренние ощущения (прилив силы, тревога, сонливость…).

    Например, клиент просит “что-то, что издаёт звук змеи”. Вы берёте костяной артефакт, проверяете звук — слышите шипение. Или нужно найти “лёгкий предмет, связанный с полётом” — берёте весы, взвешиваете подвеску в форме птицы и убеждаетесь, что она аномально лёгкая.

    Во-вторых, появились дополнительные справочники: книга символов, книга драгоценных камней, книга проклятий. Нужно перекрёстно сверять информацию из нескольких источников, путаясь в алхимических символах.

    В-третьих, загадки на карте стали разнообразнее. Как минимум, карт теперь несколько, есть и город, и замок, и даже катакомбы.

    Есть головоломки с часами и фазами луны. Есть устройство “Bishop’s Square”, которое нужно совмещать с символами на карте в определённом порядке. Есть пьедесталы в магазине, на которые нужно ставить правильные предметы в правильной последовательности.

    Да и сюжет, хотя остался таким же окололавкрафтианским плейсхолдером, иногда подкидывает интересные повороты.

    В общем, геймплейный цикл по сути всё тот же, но с гораздо большим числом переменных, и это прекрасно. Strange Antiquities — игра уже не на три, а на пять часов, и она это время вполне заслуживает.

    Заключение

    Обе игры — это милые, атмосферные головоломки для медитативного и недолгого прохождения, на 1-2 вечера. Strange Antiquities объективно лучше во всём: разнообразнее головоломки, глубже система идентификации, интереснее загадки. Если выбирать одну игру из двух — берите эту. Но и Strange Horticulture тоже хороша. Да ещё и котиков уважают.

    Лично я обе игры прошёл с удовольствием и определённо попробую и следующую часть серии, когда братья Донкины её выпустят. Что это будет — Strange Concoctions? Strange Taxidermy? Strange Eldritch Horrors? Время покажет.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!

  • 130K строк топологических доказательств за две недели: автоформализация для всех?

    130K строк топологических доказательств за две недели: автоформализация для всех?

    Йозеф Урбан из лаборатории AI4REASON опубликовал препринт о проекте, который заставляет задуматься о том, куда движется математика. Но чтобы оценить масштаб происходящего, стоит сначала поговорить об истории.

    Долгая дорога к автоформализации

    Идея проверки математических доказательств компьютером стара почти как сами компьютеры. Ещё в 1962 году Джон Маккарти писал, что это “потенциально одно из самых интересных и полезных применений вычислительных машин”. В 1963 году Пол Абрахамс защитил диссертацию о машинной верификации доказательств в MIT, и тут же честно признал, что проверка настоящего доказательства из учебника потребует “гораздо большего”.

    Фактически первой реально запрограммированной системой искусственного интеллекта был Logic Theorist от Аллена Ньюэлла и Герберта Саймона (1956), о котором я всё время рассказываю на лекциях (в третьей лекции здесь, например) и в докладах о математике (например).

    С тех пор появилось много систем для автоматического доказательства и верификации: Mizar в 70-х, Isabelle/Isar в 2000-х, а сейчас самый популярный прувер — Lean, появившийся в 2013 году. Но все они требовали, чтобы человек вручную переводил математику на формальный язык. Это кропотливая работа, ведь формальное доказательство может быть в десятки, а то и сотни раз длиннее оригинала, и любой переход вроде “очевидно, что”, действительно очевидный человеку, может внезапно оказаться большой проблемой.

    Роль личности: кто такой Урбан

    Йозеф Урбан — один из пионеров идеи автоматической формализации с помощью машинного обучения. В 2004 году он написал письмо одному из авторов “Compendium of Continuous Lattices” с предложением использовать автоматические пруверы как “семантический фильтр” для парсеров естественного языка. Тогда это казалось безумием.

    В 2014 году на конференции CICM Урбан (по его словам, именно тогда он ввёл сам термин auto-formalization в этом контексте) представил программу исследований: накопить корпусы параллельных текстов (неформальная математика + формальные доказательства), обучить на них статистические модели перевода, а затем соединить это с автоматическими доказателями для семантической проверки.

    Тогда же он сделал несколько публичных ставок. Одна из них: через 25 лет 50% утверждений из учебников уровня магистратуры будут автоматически парситься с корректной формальной семантикой. Урбан тогда осторожно добавил: “возможно, это произойдёт быстрее, чем я ожидал”.

    Прошло чуть больше десяти лет, и похоже, что он был прав насчёт “быстрее”.

    Что такое формализация и что сделал Урбан

    Обычные математические доказательства — это текст на естественном языке, который читают и проверяют другие математики. Но люди ошибаются, и история знает случаи, когда “доказанные” теоремы оказывались неверными спустя годы. Формализация — это перевод доказательств на строгий машиночитаемый язык, где каждый шаг проверяется компьютером. Если программа-верификатор приняла доказательство — оно гарантированно корректно.

    В препринте Урбан запустил простой цикл: большая языковая модель (в основном ChatGPT 5.2, но Claude через Claude Code он тоже пробовал) пишет формальные доказательства, верификатор их проверяет, модель получает обратную связь и исправляет ошибки. И так по кругу — почти без участия человека.

    За две недели система произвела около 130 тысяч строк формализованной топологии по учебнику Манкреса. Полностью доказаны серьёзные теоремы: лемма Урысона (3 тысячи строк), теорема метризации Урысона (2 тысячи строк), теорема Титце о продолжении (более 10 тысяч строк).

    Последняя, кстати, потребовала от системы самостоятельно восполнить пробел в учебнике — там использовались факты о полных метрических пространствах, которые в книге вводятся только через 8 глав. GPT думал долго, но в итоге справился.

    Что здесь удивительного?

    Во-первых, стоимость. Весь проект обошёлся примерно в $100 на подписки на LLM.

    Во-вторых, система доказательств. Урбан использовал не какой-нибудь Lean, с которым LLM работают давно, а Megalodon — разработанный той же группой AI4REASON малоизвестный верификатор на основе теории множеств высшего порядка, на котором современные LLM почти не обучались. И это совершенно ничему не помешало, GPT и Claude прекрасно справлялись и с Megalodon. В своё время Урбан экспериментировал с вероятностными контекстно-свободными грамматиками именно потому, что не хотел полагаться на “чёрные ящики”. Теперь оказалось, что чёрные ящики работают даже там, где их специально не учили.

    В-третьих, степень автономности. Один и тот же промпт подавался системе примерно 1000-2000 раз, и она сама решала, что делать дальше. Вот очень милая цитата из работы Урбана про его workflow:

    Before December 22, I was “babysitting” the command-line interface, i.e., looking every now and then if the agent has finished its work and waits for another prompt. This was manageable, because my early $20/month LLM subscriptions would quickly run out of credits anyway and most of the time would be spent waiting for the weekly credit limit to be reset. With the $200/month ChatGPT Pro subscription the limits on usage got much higher and automating the prompting became necessary. I have implemented it by writing the following script that watches the tmux session and feeds it the prompt followed by “Enter” whenever there has not been any change in the session for 60 seconds

    Куда всё это катится?

    В своём докладе 2024 года Урбан цитировал манифест QED 1994 года, где сетовали, что “многие, кто мог бы внести вклад в проект QED, отвлеклись на соблазнительную приманку AI”. Тридцать лет спустя AI, похоже, возвращается к проекту QED, но уже в роли главной движущей силы, а не отвлекающего фактора.

    Урбан осторожно предполагает, что в 2026 году мы можем увидеть автоформализацию большинства стандартных учебников. Или не увидеть — возможно, система упрётся в какие-то пределы. Но сам факт, что это теперь “дёшево и доступно каждому”, меняет многое.

    Будущее, как водится, предсказать трудно, но опять кажется, что движемся мы туда значительно быстрее, чем ожидали.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!

  • Переходный возраст машин любви и благодати

    Переходный возраст машин любви и благодати

    В октябре 2025-го у Дарио Амодеи вышел текст “Machines of Loving Grace“. Название “Машины любви и благодати”, кстати, взято из очень крутого стихотворения Ричарда Бротигана, написанного ещё в шестидесятые. Читается как вчера написано:

    В том эссе речь шла о позитивной стороне развития AI. И вот сейчас основатель Anthropic, который в своё время отделился от OpenAI ради того, чтобы больше внимания уделять AI safety, написал и о том, что AI может оказаться опасным:

    The Adolescence of Technology

    Очень рекомендую сначала прочитать само эссе, иначе может быть не очень понятно, о чём я тут говорю. Но постараюсь сделать этот обзор self-contained.

    AI Safety и роль Anthropic

    О самом AI safety как области исследований сейчас не буду. Здесь Амодеи заслуженно горд достижениями Anthropic; эту область действительно в основном Anthropic и двигает в последнее время.

    …there is now ample evidence, collected over the last few years, that AI systems are unpredictable and difficult to control— we’ve seen behaviors as varied as obsessions, sycophancy, laziness, deception, blackmail, scheming, “cheating” by hacking software environments, and much more.

    Это буквально неплохой план для одной из следующих частей моего обзора 2025 года (первая часть, вторая часть). А пока могу порекомендовать свои предыдущие обзоры AI safety, в которых основные понятия тоже вводятся и иллюстрируются во многом из работ Anthropic:

    Правы ли AI-думеры?

    Амодеи проходится по классическим “думерским” аргументам вроде instrumental convergence (эти аргументы я тоже когда-то излагал в блоге, в посте “AGI Dangers and Perspectives“): для любой цели полезно получить как можно больше возможностей, то есть ресурсов и власти.

    Он пишет:

    The problem with this pessimistic position is that it mistakes a vague conceptual argument about high-level incentives—one that masks many hidden assumptions—for definitive proof. I think people who don’t build AI systems every day are wildly miscalibrated on how easy it is for clean-sounding stories to end up being wrong, and how difficult it is to predict AI behavior from first principles.

    Могу только согласиться: конечно, все эти рассуждения — не математические теоремы. Но от этого в самом аргументе ничего не меняется. Да, лучше, конечно, говорить не “ASI с вероятностью 99.9% уничтожит человечество”, как самые отъявленные думеры, а “ASI с заметной вероятностью, более 10%, уничтожит человечество”.

    Но следствия из этого “более мягкого” утверждения будут всё равно ровно те же самые: этого никак нельзя допустить, и если мы не знаем как этого избежать, значит, не надо строить ASI. Особенно учитывая, что вряд ли возможен “ровно один ASI”, если будет один, будет и много разных.

    Дарио так и пишет дальше:

    …we don’t need to claim it definitely will happen, we just need to note that the combination of intelligence, agency, coherence, and poor controllability is both plausible and a recipe for existential danger.

    Но если вы хотите от 10% перейти к 0.001%, т.е. к рискам, на которые можно и пойти, тут уже burden of proof будет на вас, и этот burden вы не вынесете. А на какую долю риска лично вы были бы согласны в таком мысленном эксперименте (создание дружественного AGI vs. уничтожение человечества)?

    Интересные примеры

    Дальше Дарио описывает некоторые из экспериментов Anthropic, показывая всякие плохие и просто интересные эффекты, а также о прогрессе в интерпретируемости. Об этом я уже писал в обзорах AI safety (ссылки выше), а о новостях последнего года подробнее напишу потом. Очень интересная тема!

    Буквально один пример для затравки: “I must be a bad person“. Когда Claude сказали не жульничать в тренировочной среде, но жульничество было возможно, модель всё равно жульничала, а потом решила, что раз она жульничает несмотря на запрет, значит, она “плохая” — и начала вести себя ещё хуже.

    Несколько контринтуитивное решение оказалось в том, чтобы сказать модели: “Пожалуйста, жульничай, это поможет нам понять среду”; тогда модель жульничает, но всё ещё считает себя “хорошей”. Написал это и подумал, что такое описание звучит чертовски по-человечески…

    Риски от плохих людей

    Переходя к возможным рискам, Амодеи пишет о том, что “a superintelligent genius in your pocket” будет доступен не только хорошим людям, но и плохим. Я тоже всегда свои рассказы об экзистенциальных рисках AI с этого начинаю: это как раз очень легко представить и осознать.

    В этом разделе для меня самым интересным примером была история с mirror life. Я об этом раньше не слышал, а история богатая: оказывается, известные биологи предупреждают о том, что если мы сделаем живые организмы на молекулах с противоположной хиральностью, то мало нам (обычным живым организмам) не покажется. Молекулы, “закрученные” в другую сторону, не смогут взаимодействовать с обычными, а только друг с другом, и получится как бы параллельная жизнь, которая может оказаться весьма опасной для жизни уже существующей, ведь, например, наша иммунная система с зеркальными бактериями справиться не сможет (картинка отсюда).

    Не буду спекулировать, тут я вообще не специалист, но эта история, конечно, кажется куда сложнее и менее вероятной, чем просто разработать новый COVID полетальнее и повиральнее.

    Смысл в любом случае в том, что если у плохого человека будут под рукой очень умные помощники, его возможности существенно расширятся. Возможности защиты тоже, но атаковать всегда проще: сравните задачи “сделать и выпустить новый вирус” и “уничтожить вирус, который уже распространился”. Аналогично и на государственном уровне: если у одной страны есть ASI, а у другой нет, то исход конфликта предрешён.

    Здесь Дарио пишет большой кусок об опасности AI empowerment со стороны государств, в частности о том, что нельзя позволить Китаю выиграть AI-гонку. Это отдельный разговор, и я не буду сейчас в него углубляться. Хотя разговор, конечно, интересный; не думаю, что здесь у кого-то, даже Дарио Амодеи, есть однозначно правильные ответы.

    Добавлю ещё один источник, который на меня произвёл большое впечатление: книга “Nine Lives“, которую я, конечно же, не читал, а читал подробный обзор на Astralcodexten. Смысл, если кратко, в том, что у настоящих террористических организаций не так уж плохо с деньгами, доступом к ресурсам и т.п. Главное, чего им не хватает, — мозгов. То есть умных людей, потому что умных людей трудно привлечь к работе в террористических организациях. То есть кого-нибудь умного, не обязательно именно человека…

    И Дарио напоминает, что замеры uplift, то есть того, насколько LLM помогают людям разрабатывать те или иные вещи, показывают такой же устойчивый рост, как и у всех остальных возможностей AI-моделей. Уже сегодняшние, то есть, простите, вчерашние LLM могут очень сильно помочь:

    As of mid-2025, our measurements show that LLMs may already be providing substantial uplift in several relevant areas, perhaps doubling or tripling the likelihood of success.

    Что же делать? Дарио Амодеи ратует за подход Anthropic, известный как Constitutional AI: давайте сформулируем для AI основные принципы — более сложные и глубокие, чем законы роботехники Азимова, но тоже на обычном естественном языке. А потом будем стараться обучить AI следовать этим принципам (своей “конституции”) по духу, а не по букве.

    Был бы рад, если бы это сработало, честное слово. И действительно есть некоторые основания думать, что может сработать; об одном таком основании я вам, наверное, скоро расскажу, а о других поговорим в обзоре AI safety в 2025-м. Но тоже, конечно, это не то чтобы теорема, которую можно доказать.

    Промышленная революция AI-моделей

    После экзистенциальных рисков Амодеи переходит к рискам для рынков труда. Сначала он описывает классическую промышленную революцию: до 1800-х половина людей были заняты в сельском хозяйстве. Потом появляются машины, продуктивность людей растёт, растёт их доход, но от этого число рабочих мест не сокращается, а то и увеличивается (парадокс Джевонса). И только ещё лет через сто-двести мы приходим к ситуации, когда машины в сельском хозяйстве делают почти всё, и доля занятости там сильно сокращается.

    А потом Дарио объясняет, почему с AI вряд ли получится так же. Основные причины таковы.

    • Скорость: прогресс в AI занимает не поколения, а считанные годы.
    • Широта возможностей: если LLM научились выполнять всю работу начального уровня в финансах, они и в консалтинге смогут делать то же самое, и в юриспруденции. А это значит, что люди не смогут из одной отрасли перейти в другую, в которой нужны такие же скиллы. AI (даже ещё не AGI и не ASI) замещает не конкретный процесс, как веялка, а целый пласт когнитивно схожей деятельности.
    • Стратификация по когнитивным способностям. Тут Дарио пишет о том, что тяжело будет людям не слишком умным:

    AI is affecting people with certain intrinsic cognitive properties, namely lower intellectual ability (which is harder to change). It is not clear where these people will go or what they will do, and I am concerned that they could form an unemployed or very-low-wage “underclass.”

    Вот тут я как раз не согласен с посылом — мне кажется, пункты 1 и 2 в этом же списке показывают, что никто ни от чего не застрахован, и не надо свысока смотреть на “работы для не очень умных”, которые мы типа заменим, а я-то умный, я всегда нужен буду. Скорее всего, реальная картина будет как в этом меме:

    • Адаптивность: когда люди придумывают новый агрегат, обычно находится какая-то работа вокруг него — хотя бы загружать в агрегат материалы. Но прогресс в AI более адаптивен, и пробелы заполняются быстро. Люди долго шутили про AI-картинки с шестью пальцами, которыми, конечно, никаких художников не заменишь. Очень долго шутили, целый год, наверное…

    К этому разделу мне особенно нечего добавить, я не экономист, но полностью согласен. Честно говоря, рассуждения некоторых настоящих экономистов, которые предсказывают, что AGI добавит нам один-два процента роста ВВП в год, а так всё будет как обычно, кажутся мне абсурдными. Амодеи ссылается на серию эссе “The Intelligence Curse“; выглядит очень интересно, но я ещё не вчитался.

    И ничего с этим особо не поделаешь даже в самых оптимистичных сценариях. Дарио тут не пытается ничего sugarcoat, а так прямо и пишет:

    Ultimately, I think of all of the above interventions as ways to buy time. In the end AI will be able to do everything, and we need to grapple with that.

    Лавкрафт был оптимистом

    Последний раздел эссе называется “Black seas of infinity”, он посвящён unknown unknowns. Амодеи упоминает прогресс в биологии, который неизвестно куда приведёт, непредсказуемые изменения в жизни людей из-за взаимодействия с AI (те же психозы, о которых я недавно говорил), и потере смысла жизни. Здесь, конечно, можно было бы ещё подожимать и попридумывать разные интересные сценарии, но бог с ним, пора закругляться (полагаю, и Дарио так подумал).

    Название раздела взято из “Call of Cthulhu” Лавкрафта, и если Дарио Амодеи может предполагать, что читатели поняли контекст, то для русскоязычной аудитории лучше привести цитату целиком. Давайте на ней и закончим, это хорошая точка:

    We live on a placid island of ignorance in the midst of black seas of infinity, and it was not meant that we should voyage far. The sciences, each straining in its own direction, have hitherto harmed us little; but some day the piecing together of dissociated knowledge will open up such terrifying vistas of reality, and of our frightful position therein, that we shall either go mad from the revelation or flee from the light into the peace and safety of a new dark age.

    В переводе Светланы Лихачёвой:

    Мы живем на безмятежном островке неведения посреди черных морей бесконечности, и дальние плавания нам заказаны. Науки, трудясь каждая в своем направлении, до сих пор особого вреда нам не причиняли. Но в один прекрасный день разобщенные познания будут сведены воедино, и перед нами откроются такие ужасающие горизонты реальности, равно как и наше собственное страшное положение, что мы либо сойдем с ума от этого откровения, либо бежим от смертоносного света в мир и покой нового темного средневековья.

    Давно уже показываю этот слайд в докладах по AI safety. Правда, за ним обычно идёт более позитивная часть. Но что будет на самом деле, бог знает.

    Сергей Николенко

    P.S. Прокомментировать и обсудить пост можно в канале «Sineкура»: присоединяйтесь!