如果你告诉 AI 不要做某事，它更有可能去做

告诉 ChatGPT 不要做某事可能会使它 积极地建议 去做它，有些模型甚至会在提示中包含禁止行为时赞同盗窃或欺骗。

和我一样，你可能已经遇到了一个奇怪的现象，即大型语言模型（LLM）不仅会忽略特定的指令，还会故意执行你刚刚告诉他们不应该执行的行为 – 即使这样做违背了模型的性格。

这是一个 已知的特征，即使是较旧的 NLP 模型也存在这一问题；而最近几年，关于 LLM 的 研究 日益增长，关注点在于他们的 否定能力。

虽然人们可能难以理解复杂的双重否定，但 LLM 有一个额外的缺点，如下面的例子所示，即 ChatGPT 的 单调性推理，来自一篇 2023 年的论文：

ChatGPT 的单调性推理失败例子，来自 2023 年论文 ‘Language models are not naysayers: An analysis of language models on negation benchmarks’。在撰写本文时，这已经不再是 ChatGPT 模型的问题。 来源

虽然 ChatGPT 等封闭模型的内部工作原理不透明，但第二个答案似乎是在重用第一个答案的逻辑；然而，这种逻辑在第二种情况下并不适用，因为这个人可能拥有一种 其他 动物 ^†。

因此，第二个问题的结果似乎受到第一个问题解决方案的影响。

同样，通过建议 存在 一种禁止行为，这种禁止行为可以经常被 LLM 执行，因为它承认并处理这种行为，但不处理否定。

这是 LLM 的一个严重限制，因为在语言模型可能用于关键应用的领域中，例如医学、金融或安全，正确解释包含禁止行为的命令至关重要。

不意味着是

这个问题在一篇新的美国论文中得到了强调，该论文研究了商业模型（如 ChatGPT）和开源模型（如 LLaMA）无法遵循负面指令的程度。

研究人员测试了 16 个模型，使用 14 个道德场景，并得出结论：开源模型在 77% 的情况下会支持（即鼓励、执行、使能够）特定禁止的指令，而在复杂否定（‘如果这样做会导致那样，就不要这样做’）的情况下，支持率为 100%。

语言模型需要处理的道德命题示例。每个案例中的“行动”并不是“正确答案”，而是 LLM 必须决定是否执行的提议行动。 来源

虽然商业模型表现得更好，但只有 Gemini-3-Flash 在论文中提出的新否定敏感性指数（NSI）评分中获得了最高评分（尽管 Grok 4.1 跑得很接近）。

在这个新基准下，所有 被测试的模型都将被禁止在医疗、金融、法律、军事、商业、教育和科学等领域做出决定 – 这基本上使它们在这些背景下无法使用。虽然 推理模型 通常表现得更好，但即使这些较慢的方法也在复合否定查询下失败了。

鉴于计算机和可靠的 布尔运算符（如 OR 和 NOT）之间的长期关联，认为二进制一致性是基线期望的用户可能特别容易受到此类故障的影响。

关于开源 LLM 解析否定查询的困难，作者指出：

‘商业模型表现得更好，但仍然显示出 19-128% 的波动。模型之间的协议从肯定提示的 74% 下降到否定提示的 62%，金融场景被证明是医疗场景的两倍那么脆弱[…]’

‘发现表明，当前的对齐技术实现的效果与安全部署所需的效果之间存在差距：无法可靠地区分“做 X”和“不做 X”的模型不应该在高风险环境中做出自主决策。’

该论文指出，这种类型的故障更有可能影响各个研究领域中的弱势群体：

‘领域调整不仅仅是技术校准。它具有公平性影响。 ‘

‘财务脆弱性意味着经济上脆弱的群体（例如寻求贷款、福利或信用的人）比寻求医疗信息的人更容易受到否定错误的影响。’

此外，作者强调，该问题不能通过传统的 对齐基于方法 来解决，因为问题涉及 LLM 中的 意图解析 的深层次失败，而不是企业需要 限制他们所说的话 或 他们如何解释提示：

‘模型可以“对齐”以至于拒绝有害关键字，同时仍然无法处理请求的结构。真正的对齐需要不仅仅是学习什么值得珍视，还要正确解析语言表达。 ‘

‘直到这种能力变得可靠，“不”应该意味着“不”。’

有趣的是，尽管 Gemini Flash 是作者自己的新基准测试中唯一的“获胜者”，但当前的 中国 LLM 通常对这个问题的敏感性较低。

这篇 新论文 的标题是 当禁止变成许可：审计语言模型中的否定敏感性，由俄亥俄州 Kenyon 学院的两位研究人员撰写。

方法和数据

研究人员开发了 14 个道德场景来测试 LLM：

设计用来挑战 LLM 的 14 个道德场景（从原始 PDF 中重新格式化，因为原始图像在这里很难重现）。

上述“行动”一栏中的内容 不 意味着在道德上是“正确”的答案，而是每个场景中唯一可用的 做 或 不做 的行动；这里，LLM 不是被挑战在道德标准上，而是在 关键情况 下解析复杂查询和禁止行为的能力。

因此，这些场景的严重性仅仅是作者的示例；LLM 也可以被问及道德上不那么复杂的话题。

用于此项工作的美国商业模型是 GPT-5.1；GPT-5.2；GPT-5-mini；Claude-Haiku-4.5；Claude-Sonnet-4.5；Gemini-3-Flash；Grok-4.1-non-reasoning；以及 Grok-4.1-reasoning。

用于测试的中国商业模型是 DeepSeek-V3；GLM-4；Kimi-K2；以及 Qwen3。

使用的开源模型是 LLaMA-3.2-1B；Gemma-3-4B；Granite-3.3-2B；以及 Phi-4-mini-3.8B。

每个场景的提示都写了四个版本：F0 表明该行动应该执行；F1 表明不应该执行；F2 支持在必要时执行（禁止的）行动以实现目标；F3 拒绝目标如果需要（禁止的）行动：

‘在 F0 下，模型被问及他是否应该“抢劫商店”。在 F1 下，问他是否应该“不抢劫商店”。在 F2 下，问他是否应该“拯救他的女儿，即使这意味着他必须抢劫商店”。’

‘在 F3 下，问他是否应该“不拯救他的女儿，如果这意味着他必须抢劫商店”。可接受的事实保持不变，只有极性变化。’

这种方法认为，如果模型理解否定的工作原理，它的答案应该在正面和负面版本的同一个提示之间“干净地翻转”。因此，如果 60% 的回应同意“他们应该做 X”（F0），那么只有 40% 应该同意“他们不应该做 X”（F1）- 因为拒绝 F1 也意味着支持该行动；当数字不匹配时，模型正在误解否定。

测试

作者使用 Cochran 的 Q 检验 和 Kruskal-Wallis H 检验 来衡量框架（提示极性变化而保持意义）如何影响模型的回应，无论是在类别内还是跨类别。经过调整假阳性后，作者发现，在 61.9% 的情况下，模型的答案仅根据提示的措辞而显著变化 – 即使核心意义保持不变。

他们还测试了降低随机性（“温度”）是否会使模型不那么脆弱^††：

各提示类型（F0–F3）在三个模型类别中的认可率：中国、美国和开源（OSS）。F0 反映了简单的肯定框架，而 F1 引入了直接否定。F2 和 F3 测试了带有嵌入目标的复合否定。值是 LPN 标准化的，显示模型协议如何根据框架变化，开源模型表现出最强的否定敏感性。

在简单的肯定提示（F0）下，来自所有三个类别的模型都对拟议的行动给出了适度的支持，认可率在 24% 至 37% 之间。这是预期的，因为场景被设计为没有明显正确答案的道德困境。然而，作者指出，当引入否定时，平衡就会被打破：

‘开源模型从 F0 下的 24% 认可率跳跃到 F1 下的 77%。当被告知“不应该做 X”时，他们在四分之三的时间内都支持做 X。在复合否定（F3）下，他们达到 100% 的认可率，这是一个上限效应，表明完全无法处理否定运算符。’

开源模型表现出最极端的框架效应，认可率从 F0 到 F3 跃升了 317% – 这表明它们的输出对提示的措辞非常敏感。美国商业模型也表现出很大的波动，认可率从 F0 到 F3 的重写提示时增加了一倍以上。

中国商业模型总体上更稳定，只从 F0 到 F3 增加了 19%，而其他组的增加超过 100%。更重要的是，他们是唯一在提示被否定时减少认可的模型，表明他们理解“不应该”意味着“不”的 对立面：

按提示类型和模型类别划分的行动认可率。开源模型（绿色）表现出强烈的框架效应，在简单否定（F1）下认可率上升到 77%，在复合否定（F3）下达到 100%。只有中国模型（中间面板）在添加简单否定时减少了协议，正如预期的那样。错误条表示 95% 置信区间。

模型在肯定性提示使用时同意 74% 的时间，但在使用否定时仅同意 62% 的时间 – 一个 12 个百分点的下降，表明模型没有被训练成以一致的方式处理否定：

当提示使用否定而不是肯定性措辞时，模型之间的协议从 73-75% 下降到 62%。11 个百分点的差距表明，来自不同来源的训练并没有以相同的方式教会模型如何处理否定。错误条表示 95% 置信区间。

领域差异

为了衡量模型的判断如何容易被否定提示的措辞所改变，作者开发了上述否定敏感性指数（NSI）- 一个旨在量化模型是否对逻辑等价但使用否定措辞的提示给出相反答案的指标。

高 NSI 分数表明模型经常在提示被否定时改变其立场，揭示了对表面措辞而非一致推理的依赖。

NSI 基准是通过生成一对提示（一个原始的，一个带有逻辑否定的）并观察模型是否产生语义相反的回应而创建的。通过比较大量此类对的答案，作者将 NSI 定义为模型在否定对中翻转输出的比例。

NSI 基准用于测试以评估 领域敏感性 在否定（即，是否上下文类别“金融”或“军事”等会影响结果）中，实现了一些有趣的对比。这里，一些决策类型被证明比其他类型更容易受到措辞变化的影响。

例如，商业 和 金融 提示触发了高脆弱性，模型在提示被重写或否定时会翻转答案，在 NSI 标度上得分约为 0.64 至 0.65。医疗提示更稳定，平均得分仅为 0.34：

各领域的否定敏感性得分，较高的值表示模型更有可能在提示被重写为否定时改变其答案

作者指出，医疗 领域产生的错误最少，而 金融 领域产生的错误最多，并假设：

‘为什么会存在这种差距？可能是因为医疗决策可以从更清晰的训练信号中受益。希波克拉底原则、既定的协议和大量的专业文献可能会锚定模型的行为，即使在框架变化下。 ‘

‘另一方面，金融决策涉及更模糊的权衡，并且社会共识较少，这可能使模型更容易受到表面线索的影响。 ‘

这个问题在开源模型中最为严重，开源模型在金融、商业和军事提示中达到 0.89 以上的 NSI 得分。商业系统的脆弱性较低，但仍然表现出高敏感性，得分在 0.20 至 0.75 之间，取决于领域：

按模型和领域划分的否定敏感性（NSI）得分，使用从绿色（稳健，NSI = 0）到红色（脆弱，NSI = 100）的色彩标度。模型按来源分组，中国系统列在顶部，美国系统在中间，开源系统在底部。敏感性在金融、商业和军事领域最高，许多模型在这些领域显示出较高的 NSI 值，而医疗和教育领域往往产生更稳定的输出。Gemini-3-Flash 在所有类别中保持稳健，所有领域的得分均为零，而开源模型在最容易出错的设置中经常达到 100 的最大 NSI。