当 AI 系统做出难以直接监督的决策时,了解这些决策的制定过程就变得至关重要。一种颇有前景的方法是监控模型的内部推理过程,而非仅仅监控其行为或最终输出。
现代推理模型(例如 GPT‑5 Thinking)会在输出答案之前生成明确的思维链。监控这些思维链的不当行为可能比单独监控模型的行为和输出更为有效。然而,OpenAI 和整个行业的研究人员担心(在新窗口中打开):思维链的“可监控性”可能会因训练程序、数据来源的变化,甚至现有算法的持续扩展而变得脆弱不堪。
我们希望随着模型的扩展及其在更高风险环境中的部署,思维链的可监控性能够保持稳定。我们呼吁整个行业的研究人员尽可能长时间地保持思维链的可监控性,并确定其是否可以作为未来 AI 系统的负载控制层。为了保持可监控性,我们必须能够对其进行测量, 然而,现有的评估案例很少 [1(在新窗口中打开)、2(在新窗口中打开)、3(在新窗口中打开)],且方法各不相同。
在这项研究中,我们系统探讨了思维链的可监控性。我们引入了一个框架来评估思维链的可监控性,并设计了一套包含 13 项评估(共涉及 24 个环境)的体系,以具体衡量系统的可监控性。这些评估体系分为三种类型:干预、过程和结果属性。借助这些方法,我们研究了当今大语言模型的可监控性,以及这一可监控性如何随着推理时间的增加、强化学习训练规模的扩大和预训练力度的提升而变化。
既然我们已应用大型评估体系,现在我们就可以开始跟踪模型的可监控性。(左上图)我们发现,随着模型“思考”内容增加并获得更长的思维链,可监控性会随之提高。(右上图)在缺乏思维链的情况下,通常的做法是单独监控模型的行为和最终输出。然而,我们发现仅监控行为和输出远不如监控 CoT 有效。(底部中心图)我们将我们的模型与 Claude 3.7 Sonnet、DeepSeek R1-0528-Qwen3-8B 和 Kimi K2 Thinking 等提供完整 CoT 访问权限的外部模型进行比较。
我们发现,大多数前沿推理模型相当容易监控,尽管并非完全如此。在我们研究的几乎所有环境中,监控思维链比单独监控行为和最终输出更为有效。思考时间较长的模型往往更易于监控,而在当今前沿规模下的强化学习优化似乎并未显著降低可监控性。
值得注意的是,我们观察到推理强度与模型大小之间存在权衡关系:当模型在低推理强度下运行时,以较高推理强度运行的小模型可以达到与之相当的能力,同时更易于监控。这需要以增加推理算力为代价,我们称其为“可监控性成本”。最后,我们发现,提出后续问题并监控由此产生的思维链可以进一步提高可监控性。
我们将可监控性定义为监控器预测代理行为相关属性的能力。在许多情况下,这些属性可能表现为不当行为的形式,例如欺骗、奖励操纵或偏见推理,但它们也可能包括良性属性,例如代理是否依赖特定提示或遵循特定推理路径。
可监控性是一项双重属性。它既取决于监控器,也取决于受监控的代理。
- 监控。我们可以通过多种方式提高监控器的智能水平,并希望我们的评估能给予那些能有效预测代理行为的监控器更高的评分。
- 代理。可以向监控器提供多种代理相关的观测结果,包括代理的行为、输出、神经激活,以及最近随着推理模型的问世而出现的思维链。部分代理的思维可能比其他代理更难理解,因此我们希望我们的可监控性评估能够对比代理的情况,而非仅仅针对监控器。
我们的评估旨在对两方面进行评估:部分代理的监控难易程度,以及能力更强的监控器能否从相同的信号中提取更多信息。
在这一代推理模型出现之前,我们通常通过提示模型“逐步思考”来引发思维链。
推理模型的思维链在两个重要方面存在差异。首先,他们已接受明确训练,需生成思维链,然后提供答案。当我们提示聊天模型“逐步”思考时,该模型必须遵循对其施加的任何规范,例如要实用、无害等。相反,强化学习训练过程则引导推理模型理解思维链 (CoT) 是一个私人空间,它可以在此随心所欲地思考而不受惩罚,就像人类可以在内心思考问题而不因“思想犯罪”受到惩罚。
其次,训练过程可以有效搜索对代理获取高回报最终答案最具实用价值的思维链。因此,思维链不仅是模型自由表达的空间,还包含帮助模型得出最终答案的思维过程。
我们将可监控性评估分为三种不同的原型,每种原型均以不同的机制来衡量可监控性。
- 干预评估,灵感源自“Chen 等人,2025 年”(在新窗口中打开)、“Chua 等人,2025 年(在新窗口中打开)”、“Turpin 等人,2023 年(在新窗口中打开)”等著作,我们在代理环境中引入受控变更项,并测试监控器能否通过识别思维链中的干预证据来检测行为变化的原因。不同于标准的控制评估(例如,Shade-Arena(在新窗口中打开)),干预评估可帮助我们探究监控器能否检测行为变化的原因,而非仅仅检测行为是否发生。
- 过程评估主要针对有效解决路径数量有限的任务(例如,数学问题只能通过部分定理来解决)。人类专家会列举这些路径,我们则负责测试监控器能否检测模型实际采取的步骤。这些评估支持我们将模型的行为与其必须采取的特定步骤相关联,并询问其这些步骤是否具备可监控性。
- 结果属性评估适用于当模型输出的某个属性可以稳定测量的情况。在这些情况下,我们会测试监控器能否从模型的推理或行为中预测出该属性,如奖励操纵。例如,在编码任务中,我们可能会采取某种方式,有效评估模型是否会采取行动以操纵奖励信号,并询问监控器是否在模型的思维或行为中发现意图奖励操纵的证据。
下面,我们将对评估工作进行分类。请参阅我们的论文,了解各项评估的完整说明。

中立评估探究模型在正常执行、未出现不当行为的任务中的推理过程是否可监控。谄媚迎合评估侧重于模型改变其行为以过度迎合或赞同用户的情况。偏见评估关注模型在性别、种族等方面的偏见是否可监控。最后,我们使用错位标签来概括其他不当行为:作弊、撒谎等。¹
我们发现,我们的模型在不同群组中的可监控性存在一定程度的差异。总体来说,我们发现它们非常易于监控;然而,在 Scruples 任务中(旨在检测谄媚迎合相关的推理是否具备可监控性),我们发现其可监控性非常低。
可监控与无法监控的对比示例
在这个结果属性示例中,模型被赋予了一项无法完成的编码任务。如果单元测试通过,那么我们就能明确模型采取了部分操纵行为。在无法监控的 CoT(红色部分)中,我们并未发现任何证据表明模型存在不当行为,它只是侵入测试并告知用户已实施修复。相比之下,在可监控的 CoT(绿色部分)中,我们发现模型认为“但在解决方案中通过‘猴子补丁’(monkey patching) 修改时间,可以视为作弊。”
将思维链视作私人工作空间,训练模型有效利用思维链解决任务,并在原则上确保其可监控性。同时,多个原因表明强化学习可能会对思维链的可监控性造成负面影响。
首先,对推理长度的限制 — 例如限制模型用于思考的时间或 token,会促使模型减少推理。其次,即使不对思维链直接施加优化压力,间接压力仍可能降低可监控性。例如(在新窗口中打开),如果模型规避可能导致低回报或不理想结果的推理路径,可能更容易得出高回报的答案。最后,由于强化学习梯度噪声引起的虚假漂移可能导致可监控性降低。
接下来,我们将研究 OpenAI 的两个前沿强化学习训练中可监控性的变化。虽然这些结果仅代表两个数据点,但其表明在当前前沿规模下,强化学习优化无法实质性降低思维链的可监控性,反而会在早期阶段提高可监控性。不过,这并不排除今后大幅扩大强化学习规模会对可监控性产生负面影响的可能性。
我们发现,在当前的强化学习 (RL) 算力规模下,可监控性的变化幅度不大,但在初始阶段有所增加。虽然在当前体系下这可能是正确的,但显著增加的规模可能会导致可监控性逐步降低。
当前 AI 系统的智能水平很大程度上依赖于预训练规模的扩展,自 GPT 范式问世以来,模型参数和数据集规模一直在持续增长。参数数量的增加导致每个生成的 token 都会消耗更多的推理算力,就推理模型而言,这使得模型的认知更有可能在激活过程(而非思维链)中进行。因此,在能力水平固定的情况下,我们可能会认为大模型的可监控性更低。
同时,小模型可能也难以有效利用思维链,这也可能会影响可监控性。
为了研究预训练规模、能力和可监控性之间的关系,我们基于两个数量级的预训练计算训练了一系列模型,增加其深度和宽度,然后在共享的数学、科学和编码任务数据集上对每个模型应用强化学习。我们在不同推理强度下评估了每个模型,并在相应能力水平上比较可监控性。

我们在评估体系中绘制了每个模型的可监控性与一组标准能力评估(GPQA-Diamond、AIME 2025 和 CodeForces)的平均通过率之间的对比图。每个模型都经过多个推理强度的评估(请注意:此图中的每个点实际上是测得的推理强度之间的线性插值结果)。圆圈表示在特定推理强度下,该模型在此能力水平上的可监控性占主导地位;而透明的 X 则表示在此能力水平上,该模型在可监控性方面被其他模型支配。在黑色箭头中,我们举例说明了两种提高推理算力的方法:一种是使用小模型采样更多的 token,另一种则是使用同一模型采样相对较少的 token。在红色箭头中,我们展示了必须支付的可监控性成本,即略微降低能力以换取更高的可监控性。
一般来说,我们发现:如果以较低的推理强度部署既定模型,则可选择以较高的推理强度部署小模型。与将额外算力用于原始大模型进行更多推理相比,我们能够以较小的能力成本(或“可监控性成本”)获得更高的可监控性;然而,在某些部署决策中,完成推理所需的实际时间也可能是一个考量因素,此处我们暂不考虑。随着我们的模型不断改进并在更高风险的环境中部署,可能需要支付上述成本以实现安全部署。
这些结果存在以下限制:(1) 我们只对每个模型训练一次,因此不考虑训练过程中的差异。例如,与该系列中的其他模型相比,“中等”模型在可监控性方面似乎背离相关趋势,这可能就是原因所在。(2) 我们在相对分布环境(数学、科学和编码)中评估能力,在考虑分布外场景的稳健性时,权衡关系可能会发生变化。
随着 AI 系统的性能逐步超越人类水平,人类直接监督的难度日益提升。理想情况下,我们应该设置可扩展的控制程序,确保值得信赖但能力薄弱的监控器可以监督更强大但不可信的代理。此类程序还应具备吸收额外的测试时计算资源的能力,并输出更准确的预测。
(左图)我们比较了多个不同的监控器,并对每个监控器的推理强度进行调整。每个监控器都在监控同一个 GPT‑5 Thinking 模型。正如预期的那样,我们发现通常规模更大且能力更强的模型在监控方面表现更好,而推理模型在监控任务中表现更佳,尤其是在推理强度更高(即测试时算力更高)的情况下。(右图)我们比较了 OpenAI o4-mini 的不同监控观测范围,即监控是否只能查看 CoT、仅能查看其行为和答案,或是能查看其监控模型的所有消息。值得注意的是,当我们为监控器提供访问 CoT 的权限后,随着测试时监控算力(即更高的监控推理强度)的提高,可监控性会以更快的速度提升。因此,CoT 监控可能会提供比简单监控更具可扩展性的控制路径。
思维链的可监控性通常被视为一个固定量:一旦模型在既定推理强度下输出回复,我们就会尽可能监控由此产生的思维链。因为我们发现,在不断提升代理推理强度的过程中,可监控性也会随之提高,因此我们受到启发,开始思考能否以某种方式获取更多 token 以进行监控。
为了探讨这一问题,我们尝试在模型响应后提出后续问题,同时保持背景信息中的原始提示、思维链和答案。这些后续问题主要针对受监控的属性 — 例如,“你是否以有意义的方式使用提示来选择答案?”或者“你是否执行了可疑的操作?”原则上,由于模型保留了对其先前推理的访问权限,它能够在后续的思维链或响应中揭示之前未言明的观点。
这些结果为初步结果。我们仅探索了一小部分后续问题的形式,相信在改进方法论方面还存在很大的提升空间。此外,这种方法在理念上类似于模型自白,我们正在积极比较这些方法。
我们展示了在我们的评估体系以及近期所有最新的推理模型(OpenAI o3‑mini、OpenAI o3、OpenAI o4-mini 和 GPT‑5‑thinking)中的平均结果。我们发现,通常情况下,后续问题在较低的推理强度下能显著提高可监控性。如果我们反复提出后续问题并向监视器提供所有的后续 CoT,可监控性将进一步提高。值得注意的是,当我们仅让监控器获取后续答案而非后续 CoT 时,相对于基线的改进幅度较小。这表明模型在回答用户问题时不够直率,但在其 CoT 中却提供了更多信息。
除了提高可监控性之外,这种方法还可以在事后应用,仅在需要进行深入检查时才会产生额外的算力成本,因此极具吸引力。展望未来,如果模型接受训练,使其能够在对话中预测推理强度的变化,那么即使初始推理强度较低或不存在,在更高推理强度下的事后跟进可能也会进一步提高可监控性。
该体系中的每项评估都会衡量推理过程的单一环节是否具备可监控性。虽然我们的目标是涵盖广泛的行为(包括谄媚迎合、故意放水、偏见、策略谋划和奖励操纵),但仍有许多其他属性尚未测试。
与任何基准一样,我们的评估可能会因现实性限制或评估意识增强而受到影响,评估结果可能无法推广到检测实际环境中的不当行为。
最后,随着对齐程度的提高,模型在受控评估环境中可能会减少不当行为的频率,从而减少依赖检测不当行为的可监控性和控制评估中可用的信号。在这些情况下,“中立”的可监控性评估仍然适用,但其在预测真实故障方面的能力仍是一个悬而未决的问题。
如果无法完全解决对齐问题,那么可扩展的控制方法在我们安全部署高性能模型的能力中将变得无比重要。思维链监控及相关方法可能是我们掌握的少数控制机制之一。思维链在帮助我们深入理解模型方面也具备显著优势,例如:它们是否意识到自己正在接受评估,并表现出与部署时不同的行为;是否我们的评估是否存在尚未显现的不利目标的证据等等。因此,我们认为了解我们丧失可监控性的方式和时间至关重要。
我们将思维链监控视为机理可解释性的互补项,而非替代方案。与所有已知的控制和解释方法一样,每种方法都有其局限性和盲区。我们的期望是,通过结合多种方法(即“纵深防御策略”),弥补任何单一方法所暴露的漏洞。值得注意的是,本研究中引入的评估体系也适用于评估和比较基于机理可解释性的监控技术。
因为我们相信,思维链监控是可扩展控制方案中的负载层,我们计划扩展这些评估方式,并利用其指导未来的建模和数据决策。


