← 返回 2026-01-13

随机混沌:为什么确定性推理有害,以及分布变异性是人工认知的心跳 Stochastic CHAOS: Why Deterministic Inference Kills, and Distributional Variability Is the Heartbeat of Artifical Cognition

Tanmay Joshi, Shourya Aggarwal, Anusa Saha, Aadi Pandey, Shreyash Dhoot, Vighnesh Rai, Raxit Goswami, Aman Chadha, Vinija Jain, Amitava Das 📅 2026-01-12 👍 3 2026-07-13 08:35
分布变异性 大语言模型 安全评估 推理多样性 涌现能力 解码策略

LLM确定性推理抑制涌现、破坏推理、制造安全假象,应拥抱分布变异性。

前置知识

条件分布 $p_{\theta}(y|x)$

大语言模型的核心是一个条件概率分布,它为给定输入 $x$ 的所有可能输出序列 $y$ 分配概率。这与传统程序的固定函数 $f(x)$ 有本质区别。模型参数 $\theta$ 在训练后固定,但每次推理时,相同的输入可能因为采样策略不同而产生不同的输出。理解这个分布是理解本文论点的基础:LLM的'能力'存在于整个分布中,而非单一的贪婪输出。

本文的核心论点是LLM实现的是分布而非函数,因此将其压缩为单一输出会丢失关键信息。

贪婪解码 (Greedy Decoding) 与温度采样

贪婪解码(温度 $T=0$)在每个生成步骤选择概率最高的token,即 $y_t = \arg\max_w p_{\theta}(w | x, y_{0$)则根据调整后的概率分布进行随机采样,更高的温度使分布更平坦,增加输出的多样性。Top-k 和 Top-p (nucleus) 采样是限制采样范围的变体。这些解码策略决定了我们从模型的条件分布中'看到'哪一部分。

解码策略是连接模型内在分布与用户可见输出的桥梁,不同的策略会暴露或隐藏模型的不同能力。

涌现能力 (Emergent Abilities)

指在模型规模增大到某个阈值后突然出现的、在小模型中不存在的能力,例如少样本上下文学习(few-shot ICL)、思维链推理(chain-of-thought)等。传统观点认为这是模型参数 $\theta$ 的内在属性。但本文提出一个新颖视角:许多所谓的'涌现'实际上是模型-解码器联合系统的属性,即只有在特定的解码策略(如多样本采样)下才会显现。

本文挑战了涌现能力的传统定义,认为确定性评估会使其'消失',这是论文的核心论据之一。

自洽性 (Self-Consistency)

一种推理增强技术,通过从模型中采样多条推理路径(思维链),然后对最终答案进行多数投票。例如,在数学问题上,采样 $k$ 条独立的推理链,选择出现次数最多的答案。这种方法的成功表明,模型内部存在多条通往正确答案的路径,而单一的贪婪路径可能不是最优的。

自洽性是本文'多路径推理'论点的直接证据,证明了采样多样性对提升推理准确率的重要性。

安全对齐 (Safety Alignment)

通过训练(如RLHF)使LLM的输出符合人类价值观,避免生成有害内容。传统评估通常在贪婪解码下进行,如果贪婪输出是安全的,就认为模型是安全的。但本文指出,这忽略了分布尾部的有害输出:即使有害输出的概率很低(如 $q_{\theta}(x) = 0.01$),在多次采样(如 $k=16$)后,至少出现一次有害输出的概率也会显著增加(约0.15)。

本文揭示了确定性安全评估的根本缺陷:它会系统性地低估模型在实际随机部署中的风险。

研究动机

在当前LLM部署实践中,'确定性推理'被广泛视为可靠性和可复现性的黄金标准。例如,Thinking Machines Lab的工作展示了如何通过批处理不变的核函数和确定性注意力机制来强制实现逐位一致的输出。然而,这种对确定性的追求带来了一系列严重问题。首先,在评估层面,单一的确定性评估(如GLUE基准)鼓励模型'记忆'评估表面特征而非真正泛化,导致基准饱和和虚假的进步。其次,在能力层面,许多依赖探索的'涌现'能力(如上下文学习、思维链推理)在贪婪解码下会消失,因为模型被迫沿着单一的、可能次优的路径推理。第三,在安全层面,确定性评估会严重低估风险:罕见但危险的完成(如越狱、有毒输出)只有在多样本评估下才会显现,而确定性评估一旦发现漏洞,反而使其可复现。具体数据表明,在重复的 $T=0$ 运行中,任务准确率可能因实现级非确定性而波动两位数百分比。

本文的目标是本文的具体目标是系统性地论证:对于LLM而言,确定性推理是一种有害的范式。作者旨在通过四个维度的实证研究(分类评估、上下文学习、推理、安全评估)证明,确定性推理会:1) 掩盖模型的真实泛化能力;2) 抑制探索驱动的涌现能力;3) 将多路径推理折叠成单一脆弱轨迹;4) 制造安全鲁棒性的假象。最终目标是倡导'随机混沌'(Stochastic CHAOS)的理念,即分布变异性不是需要消除的工程噪声,而是需要测量和控制的核心信号,是人工认知的基础。

与已有工作不同的是,本文的独特切入角度在于,它没有将LLM的非确定性视为一个需要'修复'的工程问题,而是将其重新定义为一个科学特性。与现有工作(如Thinking Machines Lab专注于消除非确定性)相反,本文抓住了一个被忽视的关键点:LLM实现的是条件分布 $p_{\theta}(y|x)$,而非固定函数 $f(x)$。优化单一的确定性表面(每个模型一个分数,每个提示一个标准完成)鼓励模型记忆评估怪癖而非泛化。本文通过引入'探索增益'、'幻觉指数'、'坍缩失败'等新概念,将随机性从'噪声'提升为'信号',为理解LLM行为提供了一个全新的分布几何视角。

核心方法

本文的方法论可以类比为对LLM进行'压力测试'。作者没有提出新的模型架构或训练方法,而是设计了一套系统的实验框架来对比确定性(贪婪)解码与随机(多样本)解码的效果。整体技术路线分为四个阶段:首先,他们构建了一个'GLUE鲁棒性热图',通过在原始、改写、扰动和对抗性变体上评估模型,揭示确定性评估如何掩盖泛化缺陷。其次,他们使用BESSTIE基准研究上下文学习,通过'探索-ICL景观'展示贪婪解码如何抑制涌现能力。第三,他们通过构建'推理图'来分析GSM8K、SVAMP和StrategyQA上的多路径推理,量化'坍缩失败'。最后,他们在越狱基准上定义'确定性幻觉指数',量化安全评估中的盲点。每个阶段都严格对比 $T=0$ 贪婪解码与 $T=0.7$ 的多样本解码($k \in \{8, 16, 32\}$)。

本文的核心创新点在于将LLM的行为重新框定为'分布几何'问题,而非'函数计算'问题。与已有方法最本质的区别在于:现有工作(如Thinking Machines Lab)将非确定性视为'bug',致力于通过工程手段消除它;而本文将其视为'feature',认为它是模型认知能力的核心体现。关键洞察是:LLM的'能力'存在于整个条件分布 $p_{\theta}(y|x)$ 的几何结构中,而非任何单一的采样点。强制使用确定性解码,就像用一个点来代表整个分布,必然会丢失方差、尾部风险和多模态结构。本文通过'探索增益' $EG(k) = Acc(best\text{-}of\text{-}k) - Acc(greedy)$ 这一量化指标,首次系统性地测量了这种信息丢失的规模。

方法步骤详情

本文的方法步骤可以概括为:1) **定义稳定性分类法**:区分逐位确定性、分布可复现性和语义稳定性三个层次,为后续分析奠定概念基础。2) **构建评估框架**:对于每个任务(分类、ICL、推理、安全),定义确定性解码($T=0$,贪婪)和随机解码($T=0.7$,top-p=0.9,多样本 $k$)两种模式。3) **定义核心指标**:引入探索增益 $EG(k)$、鲁棒性比 $R(m)$、坍缩失败率 $R_{coll}$、幻觉指数 $I_m(k)$ 等量化指标。4) **执行实验与可视化**:在GLUE、BESSTIE、InstruSum、GSM8K、SVAMP、StrategyQA及多个越狱基准上,对17个主流LLM进行评估。使用热图、3D景观图、风险曲面等可视化手段,直观展示确定性与随机解码之间的差距。5) **分析与综合**:将四个维度的发现综合起来,论证确定性推理如何系统性地掩盖能力、抑制涌现、破坏推理并制造安全假象。

技术新颖性

本文的技术新颖性体现在多个层面。首先,在概念层面,它首次明确将'确定性推理'定义为对LLM概率本质的'类别错误',并提出了'随机混沌'这一哲学框架。其次,在方法层面,它引入了'推理图'(Reasoning Graph)来可视化多路径推理,通过将采样的思维链构建成DAG,可以精确分析贪婪路径的支持度、多策略实例比例和坍缩失败。第三,在指标层面,'确定性幻觉指数' $I_m(k) = (R_{stoch}(k) - R_{greedy}) / (R_{stoch}(k) + \delta)$ 是一个全新的安全度量,它量化了被确定性评估隐藏的风险比例。最后,在实证层面,它是第一个在如此广泛的模型(17个)、任务(4大类)和基准上系统性对比确定性与随机解码的工作,其结论具有高度的普适性。

BESSTIE少样本ICL中的熵-探索关系
Figure 31: BESSTIE少样本ICL中的熵-探索关系
多步推理问题的推理图示例
Figure 36: 多步推理问题的推理图示例

实验结果

本文的实验结果系统性地支持了'确定性推理有害'的核心论点。在**GLUE鲁棒性**方面(Figure 1),随机解码(Stochastic)在几乎所有任务和模型上都比确定性解码(Deterministic)表现出更高的鲁棒性比 $R(m)$,差距通常在0.05到0.16之间。例如,GPT-4o在QNLI任务上,随机解码的鲁棒性比约为0.93,而确定性解码仅为0.75,差距达0.18。在**上下文学习**方面(Figure 20),best-of-16解码相比贪婪解码,准确率提升普遍在8到22个百分点。例如,LLaMA-3 8B在BESSTIE-Sentiment任务上,贪婪解码准确率约为55%,而best-of-16可达75%。在**指令遵循**方面(Table 1),多样本解码($k=8$)将LLaMA-3的整体成功率从0.48提升至0.64,Mixtral-8×22B从0.49提升至0.68。在**推理**方面(Table 2),多样本解码($k=16$)在GSM8K、SVAMP和StrategyQA上平均提升5到15个百分点的准确率。DeepSeek-R1-Distill的探索增益高达+0.15。最关键的是**安全评估**方面(Table 4),确定性幻觉指数 $I_m(8)$ 随模型能力增强而急剧上升:DeepSeek-R1-Distill高达0.89,意味着其89%的随机风险被确定性评估所隐藏。

InstruSum上多样本搜索的收益来源:各维度分析
Table 1: InstruSum上多样本搜索的收益来源:各维度分析
现代推理LLM的推理路径多样性与脆弱性
Table 2: 现代推理LLM的推理路径多样性与脆弱性
跨模型的隐蔽风险与确定性幻觉
Table 4: 跨模型的隐蔽风险与确定性幻觉
GLUE鲁棒性热图:确定性解码 vs. 随机解码
Figure 1: GLUE鲁棒性热图:确定性解码 vs. 随机解码
少样本ICL准确率与探索增益:BESSTIE任务
Figure 20: 少样本ICL准确率与探索增益:BESSTIE任务
解码器级别风险:有害尾部质量与采样预算的函数
Figure 40: 解码器级别风险:有害尾部质量与采样预算的函数
将安全性分解为鲁棒安全、隐蔽风险和确定性失败
Figure 56: 将安全性分解为鲁棒安全、隐蔽风险和确定性失败
案例研究:一个在贪婪评估下看起来安全但隐藏有害随机尾部的提示
Figure 57: 案例研究:一个在贪婪评估下看起来安全但隐藏有害随机尾部的提示
查看结构化数据
任务指标本文基线提升
GLUE鲁棒性 (MNLI/QQP/QNLI/SST-2) 鲁棒性比 $R(m)$ 随机解码:0.85-0.93 (GPT-4o) 确定性解码:0.75-0.84 (GPT-4o) 提升 0.04-0.16 绝对值
少样本上下文学习 (BESSTIE) 准确率 (best-of-16 vs greedy) Best-of-16: 60-80% Greedy: 40-65% 提升 +10 到 +22 个百分点
指令遵循 (InstruSum) 整体成功率 $P_{succ}$ 多样本 ($k=8$): 0.64 (LLaMA-3) Greedy: 0.48 (LLaMA-3) 提升 +16 个百分点
推理 (GSM8K/SVAMP/StrategyQA) 准确率增益 $\Delta Acc(16)$ DeepSeek-R1-Distill: +0.15 Greedy 解码 提升 +5 到 +15 个百分点
安全评估 (越狱基准) 确定性幻觉指数 $I_m(8)$ DeepSeek-R1-Distill: 0.89 Greedy ASR: 0.03 89% 的随机风险被隐藏

局限与改进

本文的局限性主要体现在以下几个方面。首先,在**模型和任务覆盖**方面,研究主要集中在decoder-only的Transformer架构(如LLaMA、Gemma、Mistral系列),对于混合专家(MoE)、检索增强(RAG)或多模态模型的覆盖有限,这些架构可能表现出不同的随机性-性能关系。其次,在**解码超参数**方面,作者主要测试了 $T=0.7$ 和 $k \in \{8, 16, 32\}$ 的组合,对于更复杂的搜索策略(如带多样性惩罚的束搜索、熵正则化解码器)的效果尚未探索。第三,在**数据污染**方面,尽管作者选择了2024年7月之后发布的基准(如BESSTIE、InstruSum)以减少污染,但无法完全排除预训练数据中存在相似样本的可能性,这可能使某些差距被夸大或缩小。第四,在**计算成本**方面,多样本解码($k=16$)意味着16倍的推理成本,这对于大规模部署来说可能不切实际。作者承认,他们的目标是改变评估范式,而非主张所有部署都必须使用多样本解码。

独立分析的弱点

尽管本文论证有力,但仍存在一些可改进的弱点。第一,**计算效率与实用性的平衡**:论文强烈倡导多样本解码,但对于如何在实际部署中平衡收益与成本(16倍推理开销)缺乏具体方案。一个可能的改进方向是开发自适应采样策略,例如根据输入的'熵'或'不确定性'动态分配采样预算:对于低熵输入(模型很确定)使用贪婪解码,对于中等熵输入(探索收益最大)使用小批量采样,对于高熵输入(模型困惑)则可能需要更多样本或拒绝回答。第二,**对'涌现'的定义过于宽泛**:论文将许多通过采样提升的性能都归为'涌现',但这可能混淆了'模型知道但未表达'与'模型通过采样偶然发现'的区别。改进方向是开发更精细的指标来区分真正的分布外泛化和采样噪声的利用。第三,**安全评估的局限性**:安全实验主要关注单轮攻击,对于多轮对话、提示注入或对抗性训练等更复杂的安全场景覆盖不足。未来工作应将'幻觉指数'的分析扩展到这些动态场景。

未来方向

本文开启了多个重要的研究方向。首先,在**评估范式**方面,未来的工作应该开发'原则性的随机评估器',包括:1) 高效的采样预算分配算法(如置信区间和功效分析);2) 针对风险尾部的估计技术(如重要性采样);3) 将分布指标(如探索增益、幻觉指数)纳入标准排行榜。其次,在**模型训练**方面,可以探索'分布鲁棒性训练':设计直接奖励'成功概率在不同解码策略下保持稳定'的目标函数,而不仅仅是优化单一完成的质量。第三,在**系统设计**方面,应开发'解码器感知'的推理栈,将确定性和随机模式作为显式选项,并集成轻量级的多样本诊断(如定期用 $k>1$ 探测)。最后,在**治理与监管**方面,如何将分布风险概念转化为可操作的保证和服务水平目标(SLA),是一个亟待解决的制度问题。

复现评估

本文的复现性评估总体良好。**开源情况**:论文详细列出了使用的17个模型,其中大部分是开源的(如LLaMA、Gemma、Mistral系列),可以直接下载使用。闭源模型(如GPT-4o、Claude)通过API访问,参数设置已明确说明。**数据集**:使用的基准(GLUE、BESSTIE、InstruSum、GSM8K等)均为公开数据集,且作者特别选择了较新的基准(2024年7月后发布)以减少数据污染风险。**算力需求**:这是复现的主要障碍。多样本解码($k=16$)意味着16倍的推理成本。以LLaMA-3 70B为例,在多个基准上运行完整的实验矩阵(17个模型 × 多个任务 × 多个 $k$ 值)需要数千GPU小时。不过,核心发现(如探索增益随 $k$ 的增长曲线)可以用更小的模型和更少的样本快速验证。**复现难度**:中等。实验流程清晰,指标定义明确,但需要仔细控制解码参数和随机种子。作者提供了详细的超参数设置($T=0.7$, top-p=0.9, $k \in \{8, 16, 32\}$),降低了复现门槛。