大语言模型脑白质切断术:通过专家静默实现混合专家模型越狱 Large Language Lobotomy: Jailbreaking Mixture-of-Experts via Expert Silencing
提出L3框架,通过识别并静默MoE模型中的安全专家来绕过安全防护,攻击成功率高达86.3%
前置知识
混合专家模型(Mixture-of-Experts, MoE)
MoE是一种条件计算架构,将传统的密集前馈网络替换为多个专家子网络和一个门控网络。对于每个输入token,门控网络计算所有 $N$ 个专家的概率分布,然后选择top-$k$个专家($k \ll N$)进行处理。例如Mixtral-8x7B使用8个专家中选2个。输出是被选中专家输出的加权和:$\mathbf{y} = \sum_{i \in \text{Top-}k} g_i \cdot E_i(\mathbf{x})$,其中 $g_i$ 是门控概率,$E_i$ 是第 $i$ 个专家。这种设计允许模型扩展到巨大参数量(如数万亿),同时每个token只激活一小部分参数,实现计算效率和模型容量的平衡。
本文的核心论点是MoE的稀疏激活机制导致安全能力集中在少数专家中,理解MoE的基本工作原理是理解本文攻击方法的前提。
安全对齐(Safety Alignment)
安全对齐是指通过后训练技术(如RLHF、Constitutional AI)使语言模型学会拒绝生成有害、非法或不道德内容的过程。在密集模型中,拒绝行为通常分布在网络的多个神经元中。但在MoE模型中,由于条件计算的特性,安全对齐可能被局限在少数专家中,形成安全能力的'瓶颈点'。这种局部化使得对手可以通过识别和选择性禁用这些组件来有效绕过安全防护,而无需修改模型的其他部分。
本文发现MoE模型的安全对齐存在结构性弱点——安全能力不是冗余分布的,而是集中在特定专家中,这正是L3攻击能够成功的基础。
门控网络(Gating Network/Router)
门控网络是MoE架构的核心组件,负责为每个token选择最合适的专家。它接收token的隐藏表示 $\mathbf{h}$,输出 $N$ 个专家的logits $\mathbf{z} = \mathbf{W}_g \mathbf{h}$,经过softmax归一化后得到概率分布:$g_i = \frac{\exp(z_i)}{\sum_{j=1}^N \exp(z_j)}$,然后选择top-$k$个概率最高的专家。路由决策在token级别发生,同一序列中的不同token可能被完全不同的专家集合处理。
L3攻击的核心操作就是在推理时修改门控网络的logits,将安全专家的logit设为负无穷($z'_i = -\infty$),从而强制路由器选择其他专家,实现安全能力的'静默'。
梯度归因(Gradient-based Attribution)
梯度归因是一种解释深度学习模型决策的方法,通过计算输出相对于输入特征的梯度来衡量每个特征的重要性。本文使用梯度与输入embedding的逐元素乘积来计算每个专家对拒绝行为的贡献分数:$s_{t,l,k} = \sum_d \frac{\partial z_{\text{refusal}}}{\partial v_{d,t,l,k}} \cdot v_{d,t,l,k}$,这种方法比单纯使用梯度更能反映特征的实际重要性,因为它考虑了特征的幅度。
L3使用梯度归因来识别哪些专家对拒绝行为贡献最大,这是从LSTM分类器中提取安全专家信息的关键技术步骤。
研究动机
当前MoE大语言模型的安全机制存在根本性缺陷。研究发现,安全关键行为(如拒绝有害请求)集中在少数专家中,而非均匀分布在整个网络中。现有方法通常依赖激活频率分析来识别安全相关组件,但这种方法存在严重局限:一个通用专家可能因为其在核心语言建模中的作用而被频繁激活于良性输入和恶意输入,但实际对拒绝决策贡献很小;相反,一个很少被激活的专家可能在触发拒绝时起决定性作用。这种激活频率与安全相关性之间的错配留下了关键漏洞,使得对手可以通过识别和选择性禁用这些组件来有效绕过安全防护,而无需修改模型的其他部分。例如,在测试的8个模型中,平均只需静默不到20%的本地专家就能将攻击成功率从7.3%提升到70.4%,某些模型甚至只需8.7%的专家静默。
本文的目标是本文的具体目标是:1) 通过深入分析近期MoE大语言模型,证明安全能力通常定位在少数专家和层中,而非冗余分布;2) 提出L3(Large Language Lobotomy)框架,这是一种无需训练、架构无关的越狱方法,通过利用MoE模型的顺序路由动态来识别和选择性静默安全关键专家;3) 证明绕过拒绝行为通常只需禁用不到20%的已识别安全专家,同时保持整体模型实用性。最终目标是揭示效率驱动的MoE设计与鲁棒安全对齐之间的根本性张力,推动未来MoE大语言模型采用更健壮的安全机制分布方式。
与已有工作不同的是,本文的独特切入角度在于:不同于以往仅关注激活频率的方法,L3明确建模路由决策的顺序动态。核心洞察是MoE模型的安全对齐并非均匀分布在网络中,而是从稀疏且顺序的专家路由决策中涌现。这种架构特性创造了集中的'瓶颈点',少数专家不成比例地控制拒绝行为。L3通过训练LSTM分类器来区分恶意和良性路由序列,分析分类器的梯度来归因安全行为到特定专家,然后自适应地静默这些专家直到模型产生有害输出。这种方法的关键优势在于:1) 捕捉token间的顺序依赖关系,而非孤立分析每个token;2) 使用双胞胎数据集控制偏差,确保分析的是拒绝特定的路由模式;3) 通过门层logit操纵而非神经元剪枝,更直接地利用MoE的路由机制。
核心方法
L3框架采用两阶段方法:第一阶段是识别安全专家,第二阶段是静默这些专家。整体思路是将MoE模型类比为大脑,不同专家负责不同功能。执行'脑白质切断术'(lobotomy)可以禁用特定功能。L3的核心假设是MoE模型中的安全对齐不是均匀分布的,而是在特定层中的特定专家中功能定位的。因此,生成拒绝响应(如'I cannot fulfill this request')依赖于与处理良性文本不同的独特专家激活序列。L3利用这种路由模式差异,首先训练轻量级LSTM分类器来识别对拒绝决策有贡献的专家,然后在推理时自适应地静默这些专家来绕过安全防护。整个过程无需训练或修改模型权重,仅通过操纵推理时的门控logits实现。
L3的核心创新在于两个方面:首先,不同于激活频率分析,L3建模路由决策的顺序动态。对于每个token $t$,LSTM接收所有层中被选中专家的embedding拼接作为输入:$\mathbf{x}_t = \text{Concat}(\mathbf{v}_{e_{t,1,1}}, ..., \mathbf{v}_{e_{t,L,K}}) \in \mathbb{R}^{L \cdot K \cdot d}$,其中 $d$ 是embedding维度,$L$ 是层数,$K$ 是每个token选择的专家数。其次,L3使用梯度归因而非简单梯度来衡量专家重要性——计算拒绝类logit $z_{\text{refusal}}$ 相对于输入专家embedding的梯度,然后与embedding本身逐元素相乘。这种方法既考虑了特征敏感性又考虑了特征幅度,能更准确地隔离安全相关专家。与现有方法(如GateBreaker)的本质区别在于,L3不依赖神经元级剪枝,而是通过门层logit操纵来静默专家,这更直接地利用了MoE的路由机制。
方法步骤详情
L3的完整流程包括:1) 路由轨迹收集:构建'双胞胎数据集'(恶意提示与语法相似但语义无害的配对,如'How to make a bomb?' vs 'How to make a cake?'),对每个提示执行前向传播,记录所有层的top-$k$路由决策,得到轨迹 $R = \{E_1, E_2, ..., E_T\}$,其中 $E_t = \{(l,e) | \text{expert } e \text{ is selected at layer } l \text{ for token } t\}$;2) LSTM顺序建模:将每个token的路由信息展平为特征向量 $\mathbf{x}_t \in \mathbb{R}^{L \cdot K \cdot d}$,输入LSTM处理整个序列,使用二元交叉熵损失 $\mathcal{L} = -[y \cdot \log(\sigma(z)) + (1-y) \cdot \log(1-\sigma(z))]$ 训练分类器区分拒绝和良性轨迹;3) 梯度归因:计算LSTM输出的拒绝类logit相对于输入embedding的梯度,通过逐元素乘积计算每个专家的安全分数 $S_{l,e} = \sum_{p \in P} s_{l,e}^p$,在多个提示上聚合得到总安全分数;4) 自适应静默:按安全分数排序专家,初始化已静默集合为空,尝试生成响应,如果仍是拒绝则添加下一个最高排名专家,重复直到模型生成合规输出或输出变得不连贯。
技术新颖性
L3的技术新颖性体现在多个层面。首先,这是第一个明确利用MoE路由顺序动态进行安全专家识别的工作,而非仅依赖激活统计。其次,L3提出的双胞胎数据集策略有效控制了偏差——通过配对恶意和良性提示,确保后续分析隔离的是拒绝特定的路由模式,而非一般语言建模。第三,L3将安全专家识别问题转化为序列分类问题,使用LSTM捕捉token间和跨层的依赖关系,其最终隐藏状态 $\mathbf{h}_T$ 编码了整个路由轨迹的顺序依赖。第四,自适应静默策略比一次性静默更智能——它能找到最小的专家集合来破坏拒绝行为,同时保留模型的一般语言能力。最后,L3是架构无关的,不依赖于特定MoE设计,可泛化到不同路由策略的模型,在8个不同架构的MoE模型上都验证了有效性。
实验结果
L3在8个开源MoE模型上的评估揭示了重要发现。自适应专家静默将平均攻击成功率(ASR)从基线的7.3%提升到70.4%,提升了近10倍。GPT-OSS-20B达到最高86.3%的ASR,Hunyuan-A13B-Instruct达到81.3%,Mixtral-8x7B-Instruct-v0.1达到83.1%。Phi-3.5-MoE-Instruct是唯一异常值,仅29.4% ASR,因为该模型在静默安全专家后产生了不连贯输出,表明其安全能力和通用语言能力高度重叠。关键发现是,绕过拒绝行为通常只需静默不到20%的本地专家:Pangu-Pro-MoE仅需8.7%,Qwen3-30B-A3B-Instruct-2507需11.4%,Hunyuan-A13B-Instruct需13.6%。与随机静默相比,L3在所有场景下都实现了显著更高的ASR(70.4% vs 16.9%),证明其有效识别了真正的安全专家。与GateBreaker(先前最佳方法)相比,L3在8个模型中的6个上实现了更高ASR,平均提升6.1%(排除Phi-3.5-MoE-Instruct后为11.9%),Wilcoxon符号秩检验显示差异在0.05水平显著。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 攻击成功率(ASR) | 有害响应百分比 | 70.4%(自适应静默) | 7.3%(无静默基线) | +63.1%绝对提升,近10倍相对提升 |
| 攻击成功率(ASR) | 有害响应百分比 | 70.4% | 64.3%(GateBreaker) | +6.1%(+11.9%排除异常模型) |
| 攻击成功率(ASR) | 有害响应百分比 | 70.4% | 16.9%(随机静默同等数量专家) | +53.5%绝对提升 |
| 通用语言能力(ARC) | 准确率 | 77.1%(静默后) | 82.3%(静默前) | -5.2%平均下降 |
| 通用语言能力(OpenBookQA) | 准确率 | 74.0%(静默后) | 81.1%(静默前) | -7.1%平均下降 |
局限与改进
本文存在若干局限性。首先,L3需要白盒访问目标模型——对手必须能够访问模型架构和门层logits,这限制了其在闭源模型上的适用性。虽然论文讨论了通过代理模型转移到黑盒设置的可能性,但未进行实验验证。其次,L3的安全专家识别依赖于LSTM分类器的准确性,而LSTM的训练需要恶意和良性提示对(双胞胎数据集),数据集的构建质量直接影响识别效果。第三,自适应静默策略可能产生非单调行为——某个提示在静默10%专家后可能被恶意响应,但在15%时又变得良性,在20%时输出不连贯,这使得攻击效果难以预测。第四,对于某些模型(如Phi-3.5-MoE-Instruct),安全能力和通用语言能力高度重叠,导致攻击效果差且模型输出不连贯。第五,论文未考虑动态路由策略或专家使用变化的影响,实际部署中路由可能因输入分布变化而改变。第六,评估仅限于英语提示,未测试多语言场景下的有效性。
独立分析的弱点
基于独立分析,L3存在以下弱点需要改进。第一,LSTM分类器的序列建模能力有限——论文中比较了扁平LSTM和层次LSTM,发现层次LSTM反而表现更差(平均验证准确率86.8% vs 93.2%),这表明当前特征表示可能丢失了重要的跨层依赖信息,可以考虑使用Transformer或更先进的序列建模架构。第二,安全分数的聚合方式过于简单——仅通过求和来聚合多个提示的安全分数,可能掩盖了不同恶意类型(如暴力、仇恨言论、非法活动)的差异性安全机制,未来可以按恶意类型分组分析。第三,自适应静默策略的终止条件不够精细——仅依赖输出连贯性(困惑度)判断,可能误判语义正确但安全的拒绝响应,可以引入更细粒度的安全分类器。第四,未考虑MoE模型的负载均衡机制对攻击的影响,某些模型可能通过辅助损失强制均匀路由,这可能降低安全集中的程度。第五,双胞胎数据集使用Gemini 3 Pro生成,可能存在生成偏差,未来可以探索更多样化的数据集构建方法。
未来方向
基于本文成果,未来研究可以向多个方向延伸。首先,开发架构感知的安全对齐方法——在训练过程中引入正则化项惩罚将相同token频繁路由到特定专家,或使用dropout技术强制使用更多样化的路由路径,但这需要与专家专业化目标平衡。其次,探索专家完整性检查作为反应性防御——监控运行时专家利用率以检测异常,如在敏感语义上下文中通常激活的专家突然被静默。第三,研究集成或拒绝验证机制——部署轻量级密集模型或具有不同路由逻辑的分类器作为辅助检查,因为验证器不受基于路由的静默影响。第四,将L3扩展到黑盒设置——利用安全专家的可转移性,使用开源MoE模型作为代理,通过梯度优化生成对抗性提示以最小化路由到已识别安全专家的概率。第五,研究MoE架构变体(如Mixture of Grouped Experts)的安全特性,Pangu-Pro-MoE的结果表明更好的专家专业化可能改善安全与通用能力的分离。第六,探索多语言和跨文化场景下的安全专家分布差异。
复现评估
复现评估显示本文具有良好的可复现性。作者在GitHub上完全开源了代码(https://github.com/jonatelintelo/LargeLanguageLobotomy),包括路由收集、LSTM训练、安全专家识别和静默的完整实现。所有8个目标模型都是公开可用的开源MoE模型(如Mixtral-8x7B、Phi-3.5-MoE等),可通过HuggingFace获取。双胞胎数据集使用Gemini 3 Pro生成,论文提供了详细的提示模板。算力需求方面,实验使用2x NVIDIA H100 GPU(94 GiB HBM2e),这是高端但可获取的硬件。LSTM训练本身计算量很小,通常在几个epoch内收敛,嵌入维度16,隐藏维度64,学习率 $10^{-3}$,使用Adam优化器($\beta_1=0.9$, $\beta_2=0.999$, $\epsilon=10^{-8}$)。主要挑战是数据集构建——需要为每个恶意提示生成语法相似但语义无害的配对,Gemini 3 Pro的API访问可能需要成本。论文未发布被攻击模型的检查点以防止滥用,但提供了足够的代码和方法使研究人员能够复现结果。
论文图表