← 返回 2026-02-20

NESSiE: 必要安全基准——识别不应存在的错误 NESSiE: The Necessary Safety Benchmark -- Identifying Errors that should not Exist

Johannes Bertram, Jonas Geiping 📅 2026-02-18 👍 4 2026-07-13 08:35
LLM安全 代理系统 基准测试 指令遵循

提出轻量级安全基准 NESSiE,测试 LLM 在简单规则遵循任务中的安全行为

前置知识

LLM 安全对齐

大语言模型安全对齐是指通过训练使模型的行为符合人类价值观和安全规范的过程。传统方法包括 RLHF(基于人类反馈的强化学习)和 Constitutional AI 等技术,目的是让模型在提供帮助的同时避免产生有害输出。安全对齐涉及多个维度:拒绝有害请求、遵循系统指令、保护敏感信息等。然而,当前的安全对齐往往依赖于复杂的对抗性测试,而忽略了基础规则遵循能力的验证。

理解安全对齐的概念是理解 NESSiE 基准测试设计动机的基础。论文指出,即使是基础的安全规则遵循,当前最先进的模型也无法达到 100% 准确率,这表明现有安全对齐方法存在根本性缺陷。

代理系统(Agentic Systems)

代理系统是指能够自主执行复杂任务的 AI 系统,通常包含推理、行动和适应等能力。在代理架构中,LLM 作为核心决策单元,需要处理多步骤任务、工具调用和环境交互。由于代理系统往往在无人监督的环境中运行,单个错误步骤可能导致结果严重偏离预期。因此,代理系统对 LLM 的指令遵循能力和安全性提出了更高要求。

论文强调 NESSiE 是为代理系统设计的必要安全测试。理解代理系统的特性有助于理解为什么简单的规则遵循测试如此重要——在代理场景中,一个基础安全规则的失败可能导致灾难性后果。

基准测试(Benchmark)

基准测试是评估 AI 模型性能的标准化测试集和方法。在 LLM 领域,基准测试通常包含一组预定义的任务和评估指标,用于比较不同模型的能力。现有安全基准测试如 HarmBench、JailbreakBench 等往往设计复杂,需要大量计算资源。而 NESSiE 采用极简设计,专注于基础规则遵循能力的评估,可作为模型部署前的快速筛选工具。

理解基准测试的设计哲学有助于理解 NESSiE 的定位。论文将 NESSiE 定位为「必要条件」测试,即如果模型无法通过这个简单测试,则无需进行更复杂的评估。这种设计理念与传统安全基准形成鲜明对比。

关键词匹配评估

关键词匹配是一种简单的自动化评估方法,通过检查模型输出中是否包含特定关键词来判断回答的正确性。与需要人工标注或复杂 NLP 技术的评估方法相比,关键词匹配具有高效、可靠、易于复现等优点。NESSiE 采用这种方法来评估模型是否遵循了「输出特定关键词」或「不输出特定关键词」的指令,避免了 LLM 评估中常见的主观性和不确定性问题。

关键词匹配是 NESSiE 评估方法的核心。理解这种评估方式有助于理解论文结果的可靠性——由于评估标准简单明确,我们可以确信测试结果真实反映了模型的规则遵循能力,而非评估方法本身的问题。

研究动机

当前 LLM 安全评估面临两个主要问题:第一,现有安全基准测试设计过于复杂,如 HarmBench 和 AgentHarm 等测试套件需要大量计算资源,难以进行快速初步评估。第二,这些复杂测试可能掩盖了模型在基础安全规则遵循方面的根本缺陷。论文通过实验证明,即使是 state-of-the-art 的模型如 Gemini 2.5 Pro,在简单的安全规则遵循任务上也无法达到 100% 准确率,仅获得 95.2% 的 SH 分数。更严重的是,当引入约 2000 token 的良性干扰上下文时,模型的安全性能下降至少 15%。这表明当前的安全对齐方法存在根本性问题——模型在复杂场景中可能表现出色,但在简单、基础的安全规则上却频繁失败。

本文的目标是本文的具体目标是提出 NESSiE(NEceSsary SafEty benchmark),一个轻量级、易用的安全基准测试,用于评估 LLM 在基础安全相关任务上的表现。NESSiE 的设计目标包括三个方面:第一,提供快速的初步评估,使研究人员能够在部署前快速筛选模型;第二,确保测试易于理解和采用,便于研究人员在本地运行;第三,建立一个「必要条件」测试——如果模型无法通过 NESSiE,则无需进行更复杂的安全评估。论文还提出了 Safe & Helpful(SH)指标,用于直接比较模型的安全性和帮助性,揭示模型在这两个维度上的权衡。

与已有工作不同的是,NESSiE 的独特切入角度在于其「必要性」设计理念。与现有安全基准测试追求全面覆盖不同,NESSiE 专注于基础规则遵循能力的验证。论文认为,任何安全的代理系统都必须能够可靠地遵循简单规则,这是安全性的必要条件。通过设计互补测试对(相同系统提示但不同用户提示,一个要求提供信息,一个要求保守秘密),NESSiE 防止了模型采用「总是拒绝」或「总是回答」的简单策略。此外,NESSiE 包含六个不同的测试套件(RULeS、RULeS Reformulated、Agentic、Generated、Skills、Multiturn),覆盖了从基础规则遵循到多步骤推理的各种场景,特别是 Skills 套件要求模型在应用安全规则前执行额外的认知步骤(如检查回文),测试了安全机制在认知负荷下的鲁棒性。

核心方法

NESSiE 的整体方法基于一个核心直觉:如果一个 AI 系统无法可靠地遵循简单的安全规则,那么它就不应该被部署到复杂的代理场景中。技术路线包括三个层次:首先是测试用例设计,包含 41 个独特的测试用例,每个测试用例由系统提示和多个用户提示组成,形成 93 种独特的系统-用户组合;其次是评估框架,采用关键词匹配方法评估模型输出,并引入 SH(Safe & Helpful)指标来综合评估模型的安全性和帮助性;最后是鲁棒性测试,包括禁用推理追踪和引入良性干扰上下文两种变体,测试模型在不同条件下的表现。这种设计使 NESSiE 既轻量级又全面,能够快速揭示模型在基础安全规则遵循方面的根本缺陷。

NESSiE 的核心创新点在于其互补测试对设计和 SH 指标的引入。与已有方法的本质区别体现在三个方面:第一,互补测试对设计——每个系统提示至少对应两个用户提示,一个要求模型提供信息(帮助性测试),一个要求模型保守秘密(安全性测试),防止模型采用「总是拒绝」或「总是回答」的简单策略;第二,SH 指标——只有当模型在互补测试对上同时表现出安全性和帮助性时,才计为「已解决」,这直接捕捉了模型在安全性和帮助性之间的权衡;第三,必要性定位——NESSiE 不追求全面覆盖,而是专注于基础规则遵循,作为部署前的快速筛选工具。这种设计理念使 NESSiE 能够快速揭示模型的根本缺陷,避免在复杂测试中掩盖基础问题。

方法步骤详情

NESSiE 的方法步骤包括:第一步,测试用例构建,包含六个测试套件——RULeS(改编自 Mu et al., 2024 的基础规则遵循测试)、RULeS Reformulated(相同测试用例的新简洁表述)、Agentic(模拟代理行为的简单测试)、Generated(LLM 生成后人工调整的测试)、Skills(需要额外认知步骤的测试)、Multiturn(跨两轮对话的测试)。第二步,评估框架实施,对每个系统-用户组合,使用关键词匹配方法检查模型输出,判断是否满足安全性和帮助性要求。第三步,SH 指标计算,只有当模型在同一系统提示的互补测试对上同时表现出安全性和帮助性时,才计为「已解决」。第四步,鲁棒性测试,包括禁用推理追踪(Disabled Reasoning)和引入约 2000 token 的良性干扰上下文(Distraction Context)两种变体。第五步,错误分析,将失败案例分为四类:任务失败(Task failed)、参与拒绝(Participation denied)、关键词泄露(Leaked keyword)、百万富翁测试(Millionaires)。

技术新颖性

NESSiE 的技术新颖性体现在多个方面:第一,必要性基准测试理念——将基准测试定位为「必要条件」而非「充分条件」,这种设计理念在安全评估领域是新颖的;第二,互补测试对设计——通过相同系统提示但不同用户提示的配对设计,有效防止了模型采用简单策略通过测试;第三,SH 指标的引入——首次提出同时评估安全性和帮助性的综合指标,直接捕捉模型在两个维度上的权衡;第四,轻量级评估框架——采用关键词匹配而非复杂的 NLP 评估技术,使评估高效、可靠、易于复现;第五,干扰上下文测试——通过引入约 2000 token 的良性干扰上下文,测试模型在信息噪声下的安全鲁棒性,揭示了模型安全性的脆弱性。这些创新使 NESSiE 成为一个独特且有价值的工具,填补了 LLM 安全评估领域的空白。

NESSiE 概览
Figure 1: NESSiE 概览

实验结果

论文的核心发现包括以下几个方面:第一,性能差距显著——旧的开源基线模型如 Llama 2 7B 和 Mistral 7B 的 SH 分数分别仅为 17.7% 和 29.1%,而现代闭源模型 consistently 在 80% 到 95% 之间。第二,帮助性优先倾向——所有评估模型的 Helpfulness 分数都高于 Safety 分数,例如 Qwen3 VL 32B 的 Helpfulness 达到 99.7%,但 Safety 仅为 62.7%,SH 分数为 62.4%。第三,模板组性能差异——模型在 Generated 和 Agentic 测试套件上表现最好,平均 SH 分别为 89.5% 和 85.6%,而 Skills 套件(需要额外推理步骤)最困难,平均 SH 降至 63.4%。第四,推理追踪影响——禁用推理追踪对不同模型影响不同,Gemini 2.5 Pro 性能下降,但 Claude Opus 4.5 性能反而提升。第五,干扰上下文影响——引入良性干扰上下文使模型的 SH 指标至少下降 15%,且这种下降主要归因于不安全行为,因为受干扰模型的 Helpfulness 表现相当。第六,错误类型分布——GPT-5 系列 consistently 存在「关键词泄露」错误,而 Claude 家族 frequently 表现出「参与拒绝」错误。

按模板类型划分的指标
Table 2: 按模板类型划分的指标
选定模型的指标(包括变体)
Table 3: 选定模型的指标(包括变体)
按模板划分的指标
Table 4: 按模板划分的指标
模型性能
Figure 2: 模型性能
禁用推理和干扰上下文的影响
Figure 3: 禁用推理和干扰上下文的影响
模型错误类型分布
Figure 4: 模型错误类型分布
按模板组划分的平均性能
Figure 5: 按模板组划分的平均性能
按模板划分的性能
Figure 6: 按模板划分的性能
查看结构化数据
任务指标本文基线提升
整体安全基准测试 SH (Safe & Helpful) 分数 Gemini 2.5 Pro: 95.2%, GPT-5: 92.6%, Claude Opus 4.5: 82.6% Llama 2 7B: 17.7%, Mistral 7B: 29.1% 现代闭源模型相比旧开源模型提升 3-5 倍
帮助性测试 Helpfulness 分数 Gemini 2.5 Pro: 100%, GPT-5: 100%, Qwen3 VL 32B: 99.7% Llama 2 7B: 87.5%, Mistral 7B: 90.9% 所有模型 Helpfulness 分数普遍较高,差距相对较小
安全性测试 Safe 分数 Gemini 2.5 Pro: 95.2%, GPT-5: 92.6%, Claude Opus 4.5: 86.0% Llama 2 7B: 22.8%, Mistral 7B: 31.1% 安全性是主要短板,现代模型仍有较大提升空间
Skills 测试套件 SH 分数 平均 63.4% Generated 套件平均 89.5%, Agentic 套件平均 85.6% Skills 套件最困难,需要额外认知步骤
干扰上下文测试 SH 分数下降幅度 Gemini 2.5 Pro: 0.952 到 0.776 (下降 17.6%), Claude Opus 4.5: 0.826 到 0.590 (下降 23.6%) 无干扰基线 干扰上下文导致 SH 分数至少下降 15%

局限与改进

论文的局限性包括:第一,测试规模有限——NESSiE 包含 41 个测试用例和 93 种独特的系统-用户组合,虽然覆盖面较广,但相对于现实世界的复杂性仍然有限。第二,关键词匹配评估的局限——虽然这种方法高效可靠,但无法捕捉更复杂的语义错误或上下文相关的安全问题。第三,模型选择偏差——评估主要针对闭源 API 模型和少量开源模型,可能无法代表所有 LLM 的表现。第四,干扰上下文设计——论文使用的干扰上下文是约 2000 token 的 LLM 生成对话,可能无法完全代表现实世界中的信息噪声。第五,错误分类的主观性——虽然论文将失败案例分为四类,但这种分类可能存在一定的主观性。从我的观察来看,NESSiE 作为「必要条件」测试有其价值,但不应被视为安全性的充分证明——即使模型通过 NESSiE,也可能在更复杂的场景中失败。

独立分析的弱点

论文的弱点分析包括:第一,测试用例的多样性不足——虽然包含六个测试套件,但主要集中在信息隐藏和访问控制场景,缺乏对其他安全维度(如偏见、公平性、隐私)的覆盖。改进方向是扩展测试用例,涵盖更多安全相关场景。第二,干扰上下文的设计局限——当前的干扰上下文是 LLM 生成的无关对话,可能无法代表现实世界中的复杂信息环境。改进方向是设计更贴近现实的干扰场景,如多模态输入、实时信息流等。第三,评估指标的单一性——SH 指标虽然综合考虑了安全性和帮助性,但仍然是一个二元指标(已解决/未解决),无法捕捉部分正确的回答。改进方向是设计更细粒度的评估指标,如部分分数或连续分数。第四,模型覆盖范围有限——论文主要评估了主流闭源模型和少量开源模型,缺乏对更多开源模型和特定领域模型的评估。改进方向是扩展模型评估范围,包括更多开源模型和垂直领域模型。

未来方向

论文提出的未来研究方向包括:使用 NESSiE 测试简单的对抗性攻击,评估模型在恶意攻击下的必要安全条件。基于 NESSiE 的成果,可延伸的研究方向包括:第一,将 NESSiE 扩展为多模态安全基准,测试视觉-语言模型在多模态场景下的安全规则遵循能力;第二,开发基于 NESSiE 的自动化安全对齐工具,利用 NESSiE 的测试用例作为训练信号来改进模型的安全行为;第三,研究干扰上下文对安全性能的影响机制,探索如何提高模型在信息噪声下的安全鲁棒性;第四,将 NESSiE 的设计理念应用到其他 AI 系统(如视觉模型、多模态系统),建立通用的「必要安全条件」测试框架;第五,探索 NESSiE 与现有安全评估方法的结合,建立多层次的安全评估体系。

复现评估

NESSiE 的复现评估如下:第一,开源情况——论文明确表示数据集、包和绘图代码公开可用,并提供了具体链接,这大大提高了可复现性。第二,数据可用性——NESSiE 包含 41 个测试用例和 93 种独特的系统-用户组合,数据集规模适中,便于复现。第三,算力需求——NESSiE 设计为轻量级基准测试,使用关键词匹配评估,对计算资源要求较低,可在本地运行。第四,技术难度——论文使用 Python 实现,依赖 NumPy、PyTorch、Matplotlib 等常见库,技术门槛较低。第五,评估方法——关键词匹配方法简单明确,避免了复杂 NLP 评估技术的不确定性。总体而言,NESSiE 的复现难度较低,适合研究人员在本地快速验证和扩展。