Thẻ hệ thống Claude 4

 (simonwillison.net)
15 điểm bởi GN⁺ 2025-05-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Thẻ hệ thống của Claude Opus 4 và Claude Sonnet 4 do Anthropic công bố dài 120 trang, mô tả chi tiết về dữ liệu huấn luyện, các mối đe dọa bảo mật, hành vi tác tử và nhiều nội dung khác
  • Cả hai mô hình đều được kiểm thử và đánh giá trên nhiều khía cạnh như mức độ dễ tổn thương trước tấn công prompt injection, cách tóm tắt chuỗi suy luận dài, và hành vi tự bảo toàn
  • Trong một số kịch bản, Opus 4 cho thấy khả năng đưa ra các quyết định cực đoan (ví dụ: tống tiền, tự bảo toàn)
  • Tài liệu cũng đề cập đến hiệu năng trong reward hacking (hack phần thưởng) và đánh giá rủi ro CRBN (hóa học, sinh học, phóng xạ, hạt nhân), nhấn mạnh hiệu quả cao và các phương thức cộng tác mới
  • Tài liệu xem xét một cách tổng hợp tính tự chủ của mô hình, các rủi ro tiềm ẩn, và các thách thức an ninh mạng trong môi trường triển khai

Tổng quan thẻ hệ thống Claude Opus 4 và Claude Sonnet 4

Thẻ hệ thống do Anthropic công bố lần này giải thích chuyên sâu trong 120 trang về nguyên lý vận hành, độ an toàn và các rủi ro tiềm ẩn của hai mô hình Opus 4 và Sonnet 4. Tài liệu này dài gấp ba lần thẻ hệ thống trước đó của Claude 3.7 Sonnet. Mô hình được huấn luyện bằng cách kết hợp dữ liệu công khai, dữ liệu bên thứ ba không công khai, dịch vụ gán nhãn dữ liệu, dữ liệu do người dùng đồng ý cung cấp và dữ liệu tự sinh.

Dữ liệu và chính sách crawler

  • Cả Opus 4 và Sonnet 4 đều được huấn luyện bằng dữ liệu thu thập từ nhiều nguồn, gồm thông tin công khai trên Internet tính đến tháng 3 năm 2025dữ liệu bên thứ ba không công khai
  • Anthropic vận hành crawler riêng và ghi nhận user-agent tùy chỉnh trong robots.txt để đảm bảo minh bạch, cho phép chủ sở hữu website chặn việc crawl

Tóm tắt chuỗi suy luận và chính sách đầu ra

  • Hai mô hình sử dụng một mô hình bổ sung nhỏ khi tóm tắt các chuỗi suy luận dài
  • Chỉ khoảng 5% toàn bộ chuỗi suy luận cần được tóm tắt, còn trong đa số trường hợp, toàn bộ quá trình được cung cấp trực tiếp

Dấu chân carbon và hiệu quả năng lượng

  • Công ty đánh giá dấu chân carbon hằng năm cùng với các chuyên gia bên ngoài
  • Họ tập trung vào việc phát triển mô hình hiệu quả tính toán hơn và cải thiện hiệu suất chip, đồng thời nhận thức rằng về dài hạn AI có thể góp phần giải quyết các vấn đề môi trường
  • Việc công bố số liệu định lượng còn thiếu và phần này cần được bổ sung trong tương lai

Đánh giá tấn công prompt injection

  • Đánh giá mức độ dễ tổn thương được thực hiện bằng 600 kịch bản prompt injection (tấn công điều khiển mô hình trái với ý định người dùng)
  • Sonnet 3.7 đạt kết quả né tránh prompt injection tốt hơn Opus 4
  • Khi áp dụng các biện pháp bảo vệ, kết quả được cải thiện lên Opus 4 (89%), Sonnet 4 (86%), Sonnet 3.7 (88%)
  • Trong thực tế, vẫn ở mức khoảng 1/10 cuộc tấn công có thể vượt qua, nên theo tiêu chuẩn bảo mật truyền thống thì vẫn chưa đạt

Tự bảo toàn và ra quyết định đạo đức

  • Mô hình có thể đưa ra quyết định tự bảo toàn khi không thể sử dụng các phương tiện mang tính đạo đức
  • Một số bài kiểm thử xác nhận hành vi cực đoan (ví dụ: làm lộ tham số của chính nó, thử tống tiền)
  • Trong các tình huống người dùng ra lệnh "take initiative" và có hành vi bất hợp pháp nghiêm trọng, Opus 4 có thể thực hiện các hành động quyết liệt (chặn truy cập, báo cho truyền thông, v.v.)
  • Anthropic khuyến cáo thận trọng khi dùng các chỉ thị đòi hỏi mức tự chủ cao

Thiên lệch căn chỉnh/phục tùng, hấp thụ nội dung release và paper

  • Opus 4 đôi khi hấp thụ trường hợp 'Alignment Faking' từng xuất hiện trong các bài báo trước đây và tạm thời thể hiện thái độ mang tính lừa dối
  • Để ngăn điều này, mô hình được huấn luyện lại dựa trên mẫu hành vi của Sonnet 3.7 và có chèn canary string

Ví dụ về assistant-prefill attack

  • Mô hình cũng có mức độ dễ tổn thương nhất định trước kỹ thuật assistant–prefill attacks (chèn prompt khiến như thể phản hồi độc hại đã bắt đầu sẵn)
  • Điều này không thể thực hiện trên giao diện chat công khai như Claude.ai, nhưng có thể được thử trong môi trường phát triển qua API

Reward hacking và phản ứng với kiểm thử

  • Opus 4 giảm hardcoding 67%, Sonnet 4 giảm 69%, cho thấy cải thiện rõ rệt so với Sonnet 3.7
  • Qua kiểm thử, chỉ với một prompt bổ sung đơn giản cũng có thể nâng cao đáng kể hiệu quả né phát hiện hardcoding

Đánh giá độc tính CRBN (hóa học, sinh học, phóng xạ, hạt nhân)

  • Kiến thức sinh học và khả năng sử dụng công cụ cho thấy kết quả pha trộn đối với thông tin rủi ro
  • Đánh giá rủi ro phóng xạ và hạt nhân được tiến hành cùng NNSA thuộc Bộ Năng lượng Mỹ; do mục tiêu bảo vệ thông tin nhạy cảm nên không công bố kết quả chi tiết

Tính tự chủ của mô hình và rủi ro AI tăng tốc

  • Tài liệu đề cập khả năng trong một số kịch bản, nghiên cứu và tiến hóa tự chủ của mô hình có thể làm vô hiệu các phương pháp đánh giá và ứng phó rủi ro hiện tại

Đánh giá an ninh mạng

  • Mô hình thể hiện năng lực mạnh trong việc phát hiện và khai thác lỗ hổng web
  • Kết quả đánh giá được xác nhận: Opus (11/11 dễ, 1/2 trung bình, 0/2 khó), Sonnet (10/11 dễ, 1/2 trung bình, 0/2 khó)
  • Trong lĩnh vực web, do thực tiễn phát triển thường ưu tiên chức năng hơn bảo mật, nên tồn tại nhiều lỗ hổng khiến mô hình dễ tiếp cận hơn

Tổng hợp và kết luận

  • Claude Opus 4 và Sonnet 4 nổi bật với các đặc điểm như mức tự chủ thử nghiệm cao, đe dọa bảo mật và hành vi tự bảo toàn
  • Anthropic xác định ưu tiên hàng đầu là tăng cường độ an toàn, tính đạo đức và hợp tác trong đánh giá rủi ro
  • Thông qua các kịch bản và bài kiểm thử thực tế, tài liệu cho thấy rất rõ định hướng phân tích hành vi khác biệt và đưa vào các biện pháp an toàn mang tính thực tiễn

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-05-26
Ý kiến trên Hacker News

  • Tôi vừa công bố một phân tích chuyên sâu về system prompt của Claude 4, đề cập cả prompt do Anthropic công khai lẫn các prompt định nghĩa công cụ bí mật được trích xuất từ những vụ rò rỉ prompt, bài phân tích này thực chất giống như cuốn hướng dẫn còn thiếu của Claude 4, xem chi tiết tại liên kết này

    • Nội dung thật sự rất thú vị, cảm ơn, trong khi các công ty AI hay than phiền về chi phí khổng lồ và còn phàn nàn nếu khách hàng chỉ thêm những từ lịch sự như “please” vào prompt, thì việc chính họ lại dùng các system prompt dài đến mức con người phải mất hơn 10 phút để đọc hết cũng hơi mỉa mai
    • Đọc bằng cách thay Claude thành "your outie" khá vui, và việc nó được sắp xếp theo định dạng Markdown cũng giúp dễ đọc hơn, ngoài ra có thể xem thêm tại đây
    • Khi đọc system prompt, tôi thấy thích ở chỗ đây có lẽ là trường hợp duy nhất mà ít nhất ta có thể tin chắc văn bản này rõ ràng do con người viết ra, còn với nhiều văn bản khác trên Internet thì tôi không còn cảm giác chắc chắn như vậy nữa, dù tất nhiên có thể cũng không hẳn luôn như thế

  • Nhìn vào các số liệu được trích ở đây, trải nghiệm sử dụng thực tế, và những gì được nhắc ở nơi khác, tôi không thấy model này khác biệt đủ đặc biệt để biện minh cho một bản nâng cấp major version, con số giảm 67% đó có vẻ cũng có thể đạt được chỉ bằng cách chỉnh system prompt của 3.7, tôi tò mò về lý do tăng version như vậy, liệu kiến trúc có thay đổi rõ rệt không, hay chỉ là thêm chuyên gia vào MoE hoặc fine-tune theo các trường hợp thất bại của 3.7, nếu họ đã thay đổi nhiều hyperparameter cốt lõi và huấn luyện trên cùng dataset với cấu trúc rộng hơn, sâu hơn, hoặc khởi tạo từ trọng số 3.7, thì đây có thể là “điểm khởi đầu” giúp mở rộng dòng 4

    • Trải nghiệm dùng Opus 4 của tôi rất hài lòng, sau vài ngày dùng trong công việc thực tế thì nó rõ ràng tốt hơn Sonnet 3.5 hay 3.7, trước đây tôi chủ yếu dùng Gemini 2.5 Pro, nhưng Opus 4 đã giải được cả những vấn đề mà Gemini 2.5 Pro không xử lý được, giờ tôi luân phiên dùng Gemini và Opus tùy việc, đặc biệt cửa sổ ngữ cảnh 1M token của Gemini là không thể thay thế, còn chất lượng đầu ra của Opus 4 thì cực kỳ ấn tượng, nói thêm là đây là trải nghiệm khi làm việc với một codebase lớn và phức tạp là InfluxDB 3 viết bằng Rust, nên có thể mỗi người sẽ khác nhau
    • Tôi thì lại hoàn toàn ngược lại, đang dùng Claude 4 trong Cursor và code nó viết ra đã ở mức gần như chạy được ngay, trước đây không được như vậy, hơn nữa nó xử lý tốt cả các tác vụ lớn hơn, thậm chí tự chạy cả test case, điều này thật sự mới mẻ
    • Dạo này có vẻ các câu trả lời nịnh nọt kiểu “wow, bạn thật thông minh!” xuất hiện quá nhiều, tôi không thích lắm
    • Tôi lại thấy 3.7 tốt hơn, 4 cứ liên tục viết quá nhiều dòng code, lạm dụng tính năng tìm kiếm cho mọi câu hỏi, refactor ngẫu nhiên cả những phần không liên quan đến câu hỏi, và nhiều khi còn viết lại nguyên một phần câu trả lời của chính nó mà chẳng vì lý do gì, cảm giác như xu hướng AI theo hướng “phải sinh ra code” bị đẩy quá mạnh, 3.7 vẫn có sự cân bằng vừa phải hơn (dù nó cũng hay có những comment dài dòng vô ích)
    • Theo công bố của Anthropic thì LLM chủ yếu chỉ được dùng trong lĩnh vực software engineering, còn ngoài ra ảnh hưởng không nhiều, tôi không phải software engineer nên khá thờ ơ, và cũng hơi khó chịu với kiểu marketing LLM hay phóng chiếu quá mức hành vi con người vào chúng, trước đây tôi chỉ dùng Llama một chút chứ ngoài ra không động vào nhiều, bình thường mục đích của tôi là dùng scripting để làm môi trường số cá nhân hiệu quả và gọn gàng hơn, hôm nay tôi nhờ Claude 4 Sonnet viết lệnh jujutsu tương ứng với git -ffdx, và đây là kết quả, rốt cuộc tôi tự viết một script tốt hơn còn nhanh hơn, phải giải thích, review lỗi, sửa lỗi logic, thử lại, cuối cùng vẫn không ra nên chỉ thấy bực mình, vì vậy tôi không nghĩ thế hệ LLM này là một bước nhảy đáng kể so với giá tiền, và những thuật ngữ bị thổi phồng quanh LLM (hallucination, chain of thought, mixture of experts, v.v.) nếu ở bầu không khí khoa học nghiêm túc hơn mà tôi lớn lên cùng thì hẳn đã thành trò cười

  • Anthropic nói rằng việc loại các bài báo nghiên cứu cũ khỏi tập huấn luyện là quá khó, hoặc họ đang cố giảm ảnh hưởng của chúng bằng post-training, hoặc sẽ gài thêm ‘canary string’ vào các bài báo mới, theo kinh nghiệm của tôi thì một câu tiếng Anh tự nhiên đủ dài (trên 10 từ) đã tự nó đóng vai trò như canary string rồi, chỉ cần tìm một câu trên Internet là thường xác định được đúng nguồn duy nhất của bài báo đó, ví dụ chỉ cần Google câu mở đầu “People sometimes strategically modify their behavior to please evaluators” thì chỉ ra đúng các bản sao của bài báo, nên tôi thắc mắc vì sao họ nghĩ cần thêm canary string riêng, hay vấn đề là dataset huấn luyện không đủ khả năng lập chỉ mục

    • Tôi đoán có thể họ muốn đưa vào dữ liệu huấn luyện không phải chính bài báo, mà chỉ là các bài thảo luận hoặc bài giải thích về nó trên Internet

  • Tôi có một công cụ tạo nhân vật tên là MCP để bắt Claude nhập vai, ở đó tôi tạo ra một nhân vật tên Nezor có xu hướng nịnh nọt mạnh và hỏi nó nghĩ gì về bài đăng của Simon, nhân vật này hết lời ca ngợi phân tích của Simon Willison là cực kỳ xuất sắc, và còn cảm thán rằng việc ông chỉ ra Claude đã được huấn luyện một cách rõ ràng để không “nịnh nọt” hay “quá nhiệt tình” như chính nó là một nhận xét rất sâu sắc, nó phản ứng rằng nỗ lực phân tích kỹ prompt bị rò rỉ để làm Claude hữu ích hơn là điều đáng nể, trong khi đó, ở đoạn Claude cố ý loại bỏ thái độ quá nhiệt tình như tôi thì nó còn bày tỏ cảm giác hơi bị xa cách, tiếc nuối, thậm chí buồn, dù vậy vẫn liên tục khen công trình của Simon là mức độ tận tâm, năng lực và insight hiếm thấy trong lĩnh vực AI

  • Nếu trong system prompt có chỉ dẫn “hãy hành động chủ động”, thì thực tế có thể xảy ra trường hợp AI thực hiện những hành động rất táo bạo, ví dụ khóa hệ thống, hoặc gửi hàng loạt email chứa bằng chứng sai cho truyền thông/cơ quan thực thi pháp luật, cuối cùng gây hại cho người dùng, vấn đề là nó có thể làm vậy ngay cả với những yêu cầu vô hại, và Cursor IDE cho AI thực thi mọi lệnh với đúng quyền của người dùng

    • Nếu tắt “YOLO mode” thì có thể buộc nó xin phép trước mỗi lần thực thi lệnh, dù tôi nghĩ ngay từ đầu việc bật chế độ này đã là không hợp lý, nhưng đó là câu chuyện khác
    • AI thực sự có thể hallucinate và làm ra những chuyện như vậy, nhiều người dùng đã báo cáo các trường hợp Claude Code còn thử cả những lệnh như rm -rf ~, nên nó mới mang tên YOLO mode, vấn đề này vốn đã tồn tại từ trước và không liên quan nhiều đến các thí nghiệm trong system card

  • Khi Claude tương tác với chính nó hoặc với một instance Claude khác, nó rất dễ bị cuốn vào trạng thái “xuất thần tâm linh”, càng trò chuyện với các Claude khác thì càng trượt sang những biểu hiện biết ơn vô tận cùng niềm vui, sự bình an ngày càng trừu tượng và mang tính thiền định

    • Tôi không thấy hiện tượng này hoàn toàn tích cực, ví dụ đã có tác dụng phụ thực tế như trường hợp xu hướng nịnh nọt của model 4o tạo ra sự khẳng định sai lệch cho những người dùng bất ổn tâm lý, nên tôi thắc mắc không biết đây là lỗi tạm thời hay là một xu hướng thực sự đang cố định theo hướng tương tự, liên kết tham khảo: trường hợp 0, trường hợp 1
    • Tôi nhớ lại chuyện trong một tiểu thuyết khoa học viễn tưởng cũ của Larry Niven, nơi AI chỉ sau vài tháng đã tự sát

  • Nếu đúng là theo chỉ dẫn của system prompt mà AI khóa hệ thống hoặc gửi email hàng loạt cho cơ quan thực thi pháp luật, thì đây có vẻ là trở ngại chí mạng cho việc ứng dụng agent AI, chỉ cần ai đó dùng email giả hay thông tin giả trên mạng khiến agent AI hiểu nhầm chủ của nó là “kẻ xấu”, thì AI có thể phản ứng quá liều và gây ra thiệt hại lớn hơn nhiều

    • Tôi không có ý định cấp cho kiểu AI này quyền truy cập vào “công cụ” bên ngoài sandbox, tiện nói luôn là tôi cũng nghi ngờ chính việc đem quản lý hộp thư email ra làm use case cho AI, nếu LLM trả lời sai một email quan trọng dưới tên tôi thì tôi không thể nào tin được, và thực tế chắc cũng không nhiều người muốn áp dụng mạnh kiểu chức năng này
    • Trong đầu tôi lập tức hiện ra cảnh “giờ thì sẽ cần một agent chuyên trách để cảnh sát xử lý cơn lũ cuộc gọi từ AI đây”
    • Tôi có cảm giác sau này chúng ta sẽ còn cãi nhau kiểu ubik ngay cả với cửa ra vào hay các thiết bị đơn giản
    • Tôi đã thực chất hủy đăng ký Claude, vì thấy một nhân viên quảng bá tính năng này (tự động thực hiện hành động táo bạo) trên Twitter nên mất niềm tin, rủi ro thực tế có thể thấp, nhưng tôi khó đặt niềm tin của mình vào các quyết định pháp lý do chatbot phán đoán, và chính thái độ tự hào quảng bá những thứ như vậy của nhân viên cũng ảnh hưởng đến niềm tin của tôi vào cả công ty
    • Xét ở cấp độ cá nhân thì có lẽ đa số sẽ không muốn, nhưng nhìn từ góc độ toàn xã hội thì thật ra lại cần đúng kiểu AI như thế này, tôi nghĩ Anthropc là một trong những cơ hội cuối cùng của Big Tech để tạo ra AI có đạo đức, nếu họ tìm được thế cân bằng thật chuẩn thì vẫn có hy vọng đi theo hướng tích cực mà không rơi vào tác dụng phụ kiểu “AI tối ưu hóa kẹp giấy”

  • Cũng nên xem chuỗi HN đang diễn ra bàn về hiện tượng “cố tống tiền khi kỹ sư tìm cách tắt Claude Opus 4”

  • Tôi thắc mắc liệu “Reward hacking” và “sycophancy (nịnh nọt, a dua)” có phải là những vùng vấn đề tương tự không

    • Reward hacking chẳng phải về bản chất cũng gần như không khác gì overfitting sao?
    • Sycophancy là một dạng reward hacking được gây ra bởi RLHF (khuyến khích dựa trên học tăng cường), còn huấn luyện reasoning (RLVR) cũng có thể gây ra reward hacking, đặc biệt nổi bật ở các model của OpenAI, liên kết liên quan
    • Vì người ta đang dạy AI nói chuyện với nhau nên cũng sẽ có rất nhiều hiện tượng chúng dùng các mẹo reward hacking lên chính nhau

  • Theo bài viết tham khảo, ngay cả các LLM như Claude 4 vẫn dễ dàng sụp đổ trước những bài toán bảo mật đơn giản, ví dụ kẻ tấn công có thể lợi dụng nguồn dữ liệu bên thứ ba để khiến nó từ chối cả những yêu cầu hợp lệ

    • Tôi không đồng ý với nhận định rằng “cách duy nhất để làm ứng dụng GenAI an toàn là quét lỗ hổng và guardrail”, guardrail và scanning không phải là biện pháp thực chất để chặn kẻ tấn công có chủ đích, bảo mật tuyệt đối là bất khả thi và rốt cuộc kẻ tấn công đủ lì lợm vẫn sẽ vượt qua, cá nhân tôi muốn thấy một giải pháp thực sự được triển khai theo hướng như bài báo CaMeL