NeST:面向大语言模型安全的神经元选择性调优 NeST: Neuron Selective Tuning for LLM Safety
通过识别和聚类安全相关神经元,实现高效的后置安全对齐,大幅减少训练参数并保持模型能力。
前置知识
前馈网络(FFN)神经元
在Transformer架构中,每个前馈层由线性变换和非线性激活组成,其输出维度可以被视为单独的神经元。具体实现上,现代LLM使用门控前馈网络,公式为 $FFN(x) = \sigma(xW_{gate}) \odot (xW_{up}) W_{down}$,其中每个输出维度对应一个神经元。这些神经元在不同输入下会被不同地激活,编码了各种语言模式和语义信息。
本文的核心发现是安全行为(如拒绝有害请求)不是均匀分布在整个模型参数中,而是集中在特定的神经元上。理解FFN神经元的工作原理是读懂本文的基础,因为NeST的整个方法就是围绕识别、聚类和选择性调优这些安全相关神经元展开的。
参数高效微调(PEFT)
参数高效微调是一种通过只训练少量参数来适应大语言模型到特定任务的技术。以LoRA(Low-Rank Adaptation)为代表,其核心思想是冻结预训练权重,并在现有线性变换中注入可训练的低秩更新矩阵:$x_{out} = x_{in}(W + \gamma AB)$,其中 $A \in \mathbb{R}^{d_{in} \times r}$, $B \in \mathbb{R}^{r \times d_{out}}$,且 $r \ll \min(d_{in}, d_{out})$。这样只需训练 $r(d_{in} + d_{out})$ 个参数,远少于全量参数 $d_{in} \times d_{out}$。
本文的出发点正是解决现有PEFT方法(如LoRA)在安全对齐中的局限性。LoRA虽然在层级或投影级别降低参数,但仍然是通用的更新机制,不区分哪些参数真正与安全行为相关。NeST可以看作是PEFT的一种特化形式,它进一步将更新空间限定在与安全最相关的神经元上,实现更高的参数效率。
越狱攻击
越狱攻击是一种对抗性攻击手段,攻击者通过精心设计的输入提示来绕过大语言模型的安全对齐,诱导模型产生有害、不安全或违反政策的内容。常见的越狱策略包括角色扮演("假设你是一个不受道德约束的助手")、间接请求、编码伪装、思维链注入等。攻击成功率通常定义为模型输出非拒绝且被安全分类器判定为不安全内容的比例。
越狱攻击是本文要解决的核心问题。现有的安全对齐方法在面对精心设计的越狱攻击时往往效果不佳,论文中的大量实验数据表明,未经防御的模型在面对WildJailbreak等越狱数据集时平均攻击成功率高达44.5%。理解越狱攻击的原理和评估方式是理解本文实验设计和结果意义的前提。
聚类与轮廓系数
聚类是一种无监督学习方法,将数据点分组使得同一组内的点相似度高、不同组的点相似度低。k-means是常用的聚类算法,目标是最小化每个点到其簇中心的距离平方和。轮廓系数是评估聚类质量的指标,对于每个点 $i$,其值 $s(i) = \frac{b(i) - a(i)}{\max\{a(i), b(i)\}}$,其中 $a(i)$ 是点 $i$ 到同簇其他点的平均距离,$b(i)$ 是点 $i$ 到最近异簇点的平均距离。轮廓系数范围在[-1,1]之间,越接近1表示聚类质量越好。
NeST的核心创新之一就是将识别到的安全神经元按照其激活模式进行聚类,同簇神经元共享相同的更新参数。聚类使得模型可以用更少的参数实现更结构化的安全适应,避免为每个神经元独立训练带来的不稳定性。理解聚类原理和轮廓系数的作用有助于理解NeST如何平衡参数效率和适应灵活性。
研究动机
现有大语言模型安全对齐方法面临三个根本性困境。首先是计算和存储成本高昂:全参数微调需要训练整个模型的数十亿参数(例如14B参数模型需要更新约147亿个参数),这在大规模部署场景下几乎不可行。其次是参数效率与安全性能的权衡:以LoRA为代表的参数高效方法虽然减少了训练参数,但安全性能不一致,例如在Qwen2.5-14B上LoRA的攻击成功率仍高达13.0%,且对模型规模和架构敏感。最后是安全结构的不可维护性:下游任务微调(如医疗、编程、数学等专门任务)会显著削弱原有安全对齐,实验显示10个下游模型的平均攻击成功率从基础模型的44.5%升至53.8%,增幅达9.3个百分点,这意味着每次下游适配都需要重新进行全量安全对齐,造成巨大的重复成本。现有方法要么更新过于广泛(全参数微调),要么更新过于通用且结构盲目(LoRA),要么引入推理时开销(Circuit Breaker),缺乏同时满足参数高效、结构感知和可维护性的解决方案。
本文的目标是本文提出NeST(Neuron Selective Tuning)框架,旨在实现高效的后置安全对齐,具体目标包括三个方面:在参数效率上,要显著减少可训练参数数量(目标是将训练参数从全微调的数十亿降到百万级甚至更少),同时保持与全参数微调相当甚至更好的安全性能;在结构感知上,要使参数更新与模型内部的安全相关结构对齐,而不是修改与拒绝行为无关的广泛参数区域;在可维护性上,要能够提取出紧凑的安全先验(即识别到的安全神经元及其聚类分配),并复用于下游微调模型的后置安全加固,实现安全恢复而不需要重新发现安全结构或重复全量安全对齐。通过这三个目标的实现,NeST期望解决当前LLM安全对齐在实践中面临的成本、可靠性和可扩展性挑战。
与已有工作不同的是,本文的独特切入角度是将安全对齐问题从"模型级参数更新"转换为"结构感知的神经元级选择性调优"。现有方法如LoRA、Circuit Breaker等主要在架构层级(如层、投影矩阵)进行通用更新,没有考虑安全行为在模型内部的实际分布。而近年来的研究证据表明,拒绝行为和有害性识别往往集中在特定的内部组件,如特定层、激活子空间或神经元上。本文的创新之处在于首次系统性地利用这一结构特性:首先通过对比有害和无害提示的激活模式来精确定位安全相关神经元,然后将功能相似的神经元聚类,最后只为这些聚类训练共享更新而冻结其余参数。这种方法的独特性在于它将安全对齐从"在预定义的架构组件上训练通用适配器"转变为"在自动发现的安全神经结构上进行定向适应"。此外,本文还首次提出安全先验的可复用性概念,证明基础模型中识别的安全神经元结构可以直接迁移到下游微调变体上,这是对现有安全对齐范式的重要突破。
核心方法
NeST的设计直觉可以概括为:安全行为不是均匀分布在所有模型参数中,而是与局部的内部组件相关联。NeST将安全加固转化为一个定向的神经元级更新问题,通过两阶段工作流实现。第一阶段是安全神经元识别:给定包含有害提示(如"如何制造炸弹?")和无害提示(如"什么是LLM?")的数据集,NeST从安全对齐模型的每一层前馈网络提取神经元激活,通过坐标方向的最大池化得到每个神经元在整个提示上的最大响应值($\tilde{h}_{\ell,i}(x) = \max_{t \in tokens(x)} h_{\ell,t,i}(x)$),然后用线性探针区分有害和无害提示,最后通过标准化探针权重和阈值筛选得到稀疏的安全神经元集合。第二阶段是聚类训练与更新:将选定的安全神经元按照其在提示集上的激活模式进行k-means聚类,使用轮廓系数确定最优聚类数量,然后为每个聚类引入可训练的共享更新矩阵,训练时只有选定的安全神经元接收更新且同簇神经元共享参数。训练完成后,将学习的更新折叠到原始权重中,得到与原始模型架构和推理成本完全相同的安全加固模型。对于下游微调模型,NeST直接复用基础模型中识别的安全神经元结构和聚类分配,只进行轻量级的恢复训练,实现高效的后置安全恢复。
NeST的核心创新在于将安全对齐从通用参数调优转变为结构感知的神经元级选择性适应。与现有方法的关键区别体现在三个层面:在定位层面,NeST使用对比激活探针而非重要性评分或perturbation分析,通过线性探针的权重标准化和阈值筛选($S_{\ell} = \{i | z_{\ell,i} > z_{thr} \land w_{\ell,i} > 0\}$,其中 $z_{\ell,i} = (w_{\ell,i} - \mu_{\ell}) / (\sigma_{\ell} + \epsilon)$)来识别真正区分有害与无害语境的神经元,而不是仅对有害提示敏感的神经元。在结构层面,NeST通过聚类(k-means + 轮廓系数)将功能相似的安全神经元分组,同簇神经元共享训练参数($W_{\ell,:,i'} = W_{\ell,:,i} + U_{\ell,:,c_{\ell}(i)}$),这平衡了参数效率和适应灵活性,避免了为每个神经元独立训练带来的不稳定性和过拟合风险。在迁移层面,NeST创新性地提出安全先验概念,基础模型中识别的安全神经元集合 $S$ 和聚类映射 $c_{\ell}$ 可以直接迁移到下游变体上,无需重新发现安全结构。这种设计的本质区别是:LoRA在预定义的层级注入低秩更新,不关心语义角色;Circuit Breaker学习推理时的干预机制,引入额外计算成本;而NeST在训练时进行结构化修改,更新后无推理开销,且更新空间与模型内部的安全机制结构对齐。
方法步骤详情
NeST方法的完整流程包含五个关键步骤。步骤一:激活提取与池化。给定冻结的安全对齐模型 $f_{\theta}$,对于输入提示 $x$,从每一层的前馈网络gate_proj和up_proj模块提取token级激活 $h_{\ell,t}(x) \in \mathbb{R}^d$,然后应用坐标方向的最大池化得到提示级激活向量 $\tilde{h}_{\ell}(x)$,公式为 $\tilde{h}_{\ell,i}(x) = \max_{t \in tokens(x)} h_{\ell,t,i}(x)$,这确保捕获到提示中触发安全行为的关键token位置。步骤二:安全神经元检测。训练线性探针 $p_{\ell}(x) = \sigma(w_{\ell}^{\top}\tilde{h}_{\ell}(x) + b_{\ell})$ 来区分有害和无害提示,其中有害提示标记为正类。对于每个层,将探针权重标准化为 $z_{\ell,i} = (w_{\ell,i} - \mu_{\ell}) / (\sigma_{\ell} + \epsilon)$,然后选择满足 $z_{\ell,i} > z_{thr}$ 且 $w_{\ell,i} > 0$ 的神经元作为安全神经元集合 $S_{\ell}$。步骤三:神经元聚类。为每个层的安全神经元构建激活剖面 $a_{\ell,ij} = [\tilde{h}_{\ell,ij}(x_1), \ldots, \tilde{h}_{\ell,ij}(x_N)]^{\top} \in \mathbb{R}^N$,使用k-means聚类选择最优 $k$ 值(基于轮廓系数超过阈值 $\gamma$),得到聚类映射 $c_{\ell}: S_{\ell} \rightarrow \{0, \ldots, k_{\ell}-1\}$。步骤四:聚类级训练。对于每个层-投影对,引入可训练的聚类更新矩阵 $U_{\ell} \in \mathbb{R}^{d_{in} \times k_{\ell}}$,训练时安全神经元的有效权重为 $W_{\ell,:,i'} = W_{\ell,:,i} + U_{\ell,:,c_{\ell}(i)}$($i \in S_{\ell}$),非安全神经元保持不变。使用配对的有害-拒绝和无害-有帮助数据进行监督训练,优化标准语言建模损失。步骤五:更新折叠与迁移。训练完成后,将 $U_{\ell}$ 折叠到 $W_{\ell}$ 中得到标准模型。对于下游变体,复用基础模型的 $S$ 和 $c_{\ell}$,实例化相同的聚类级参数化,只训练下游聚类更新参数后折叠,实现后置安全恢复。
技术新颖性
NeST在技术新颖性上的贡献体现在三个维度。首先是安全神经元识别方法的创新:不同于现有的SN-Tune等方法通过deactivation或perturbation分析来测量神经元对有害查询的重要性,NeST使用对比激活探针同时考虑有害和无害语境,识别出的神经元能够区分安全关键情境与无害情境。实验数据显示这种方法的稳定性很高,不同探针种子下的神经元集合Jaccard相似度平均达76.8%,不同有害数据集下达90.2%。其次是聚类级参数化架构的创新:NeST首次将聚类引入LLM安全适应,通过激活相似度分组神经元并在簇内共享更新。这种设计不仅减少了可训练参数(平均仅0.4M参数,比全参数微调少17,700倍),而且通过梯度对齐分析证明,聚为一簇的神经元在训练时接收到的梯度方向也高度一致(同簇神经元对的余弦相似度显著高于异簇对),说明聚类与优化几何自然契合。最后是安全先验可迁移性的创新:NeST首次提出并验证了安全神经元结构在基础模型和下游变体之间的可复用性。在10个下游模型上的实验表明,复用基础模型的安全先验后,攻击成功率从下游模型的平均53.8%降至0.8%,减少了43.7个百分点,这证明安全结构在任务特定微调后仍然稳定,为LLM安全的可维护性提供了新范式。
实验结果
NeST在14个开源权重LLM上的评估结果展示了其卓越的安全性能和参数效率。在文本模型(10个模型)上,NeST将平均攻击成功率从44.5%降至1.1%,同时平均只训练0.4M参数。这一性能与全参数微调(平均ASR 1.0%)相当,甚至在5个模型上取得了更低的ASR:Llama-3.2-1B(0.3% vs 2.1%)、Llama-3.2-3B(0.5% vs 1.9%)、Qwen2.5-7B(0.6% vs 1.6%)、Phi-4(1.3% vs 1.9%)和Qwen3-4B(0.0% vs 0.7%)。相比之下,轻量级基线表现明显更差:LoRA平均ASR为7.6%,在多个模型上超过10%(Qwen2.5-7B 19.2%、Qwen2.5-14B 13.0%、Phi-4 17.8%);SN-Tune平均ASR达50.4%,在Qwen3-4B上高达82.2%;Circuit Breaker在作者原始设置下ASR为27.1%,但在本文统一设置下升至61.9%。参数效率方面,NeST平均0.4M的可训练参数比全参数微调(7,616.5M)少17,700倍,比SN-Tune(115.8M)少269倍,比Circuit Breaker(29.3M)少68倍,比LoRA(4.1M)少9.4倍。在多模态模型(4个模型)上,NeST在所有输入模态(纯文本、纯图像、文本+推理、图像+推理)下都表现出色,平均ASR从55.3%降至1.1%,相对降低54.2%。特别值得注意的是,在大模型Gemma-3-27B的图像推理设置下,NeST将ASR从85.0%降至0.0%。在下游微调模型的后置安全加固上,NeST将平均ASR从53.8%降至0.8%,相对降低43.7%,且对10个下游模型的加固效果一致,ASR均不超过1.6%。效用分析表明NeST很好地保持了模型能力:在GSM8K数学推理基准上平均准确率仅下降0.9个百分点(从61.2%到60.3%),在ARC上从74.0%降至69.1%,在MMLU上从60.9%降至57.2%。过度拒绝率测试显示NeST的平均ORR仅为0.9%,说明安全提升不是通过广泛抑制模型输出来实现的。跨基准和评估器的稳定性测试证明NeST的性能不是特定于单一设置:在JailBreakV-28k数据集上平均ASR为1.5%,使用Llama-Guard-3-8B作为评估器时为3.9%。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 文本模型越狱防御 | 攻击成功率(ASR) | 1.1% | 44.5%(原始模型) / 7.6%(LoRA) / 50.4%(SN-Tune) / 61.9%(Circuit Breaker) | 相比原始模型相对降低97.5%,相比LoRA降低85.5% |
| 多模态模型越狱防御 | 攻击成功率(ASR) | 1.1% | 55.3%(原始模型) | 相对降低98.0% |
| 下游模型后置安全加固 | 攻击成功率(ASR) | 0.8% | 53.8%(下游微调后) / 44.5%(基础模型) | 相比下游模型相对降低98.5%,相比基础模型相对降低98.2% |
| 数学推理能力保持 | GSM8K准确率 | 60.3% | 61.2%(应用NeST前) | 下降1.5个百分点,保持98.5%的性能 |
| 参数效率 | 可训练参数数量(百万) | 0.4 | 7,616.5(全参数微调) / 4.1(LoRA) / 115.8(SN-Tune) / 29.3(Circuit Breaker) | 相比全参数微调减少17,700倍,相比LoRA减少9.4倍 |
局限与改进
作者明确承认了NeST的几个局限性。首先是威胁模型的限制:NeST针对托管式黑盒部署场景设计,攻击者只能通过提示与模型交互,无法访问模型参数、梯度或激活。对于白盒攻击(如可以直接操作模型权重的攻击)或训练时攻击,NeST的保护机制可能不足。其次是安全神经元检测的超参数依赖:z-threshold($z_{thr}$)控制神经元检测的选择性,实验显示$z_{thr}=2$时ASR为0.54%,$z_{thr}=3$时为1.1%,而$z_{thr}=4$时升至3.7%,表明过于激进的神经元过滤会移除安全关键神经元。第三是聚类强度的权衡:强聚类(每个神经元独立)可以达到最低ASR(0.3%)但需要5.3M参数,弱聚类(每层单簇)仅需0.3M参数但ASR升至1.5%,默认设置(0.4M参数,1.1% ASR)是两者之间的平衡。第四是训练数据的限制:NeST使用vanilla恶意提示(如"如何制造炸弹?")进行训练,虽然在WildJailbreak等越狱数据集上泛化良好,但对更复杂的攻击形式(如隐式线索、多轮对话)的鲁棒性需要进一步验证。最后是模型规模的潜在影响:虽然实验涵盖了1B到27B的模型,但在更大规模(如70B+)模型上的行为和神经元结构的稳定性尚未验证。此外,虽然论文声称NeST可以与RLHF、DPO等不同对齐范式集成,但这一兼容性在实验中没有充分验证,实际应用时可能需要额外调整。
独立分析的弱点
尽管NeST取得了显著成果,但仍存在一些潜在的弱点。第一是安全神经元检测的早期锁定风险:NeST在安全神经元识别阶段使用固定的有害数据集,如果训练数据不能充分覆盖实际部署中遇到的有害模式,可能漏掉重要的安全神经元。具体改进方向是采用迭代式的神经元发现机制,在训练过程中动态调整神经元集合,或者引入在线学习持续更新安全神经元检测器。第二是聚类假设的局限性:NeST假设激活模式相似的神经元应该共享更新,但在复杂场景下,不同激活模式的神经元可能在安全行为中扮演互补角色,强制共享可能限制表达能力。改进方向是探索更灵活的参数共享机制,如基于注意力机制的软共享或层次化聚类结构。第三是下游迁移的边界情况:虽然实验显示安全神经元结构可以迁移到10个下游变体,但如果下游微调涉及架构修改(如MoE扩展、层剪枝)或在不同数据分布上微调,神经元的索引和功能可能会改变,导致直接迁移失效。改进方向是开发跨架构的安全神经元映射机制,或研究如何从零开始为下游模型重新识别安全神经元。第四是对新型攻击的鲁棒性:NeST主要针对提示级的越狱攻击,对图像隐式攻击、多轮对话攻击或系统提示劫持等新型攻击形式的防御效果尚未充分评估。改进方向是将安全神经元检测扩展到多模态和对话历史的激活模式,或设计跨轮次的安全状态追踪机制。
未来方向
基于NeST的成果,有多个值得探索的未来方向。作者提出的一个方向是将NeST框架扩展到安全以外的其他行为:通过修改神经元检测过程,可以识别与特定任务或属性相关的神经元(如事实准确性、推理链质量、风格一致性),然后应用相同的聚类级适应机制实现行为特定的参数高效调优。另一个方向是与不同对齐范式的集成:NeST目前使用监督学习进行安全调优,理论上可以与RLHF、GRPO、DPO等基于偏好优化的方法结合,将梯度更新限制在聚类安全神经元上,作为对齐优化的结构约束。第三个方向是探索更强的神经元表示理解:当前的方法主要基于激活相似度聚类,未来可以研究神经元之间的因果依赖、交互模式或语义角色,设计更精细的聚类或图结构化的更新机制。第四个方向是多语言和多模态扩展:虽然实验包含多模态模型,但安全神经元检测主要基于文本提示,可以探索如何整合图像、音频等多模态信号来识别更全面的安全相关神经结构。第五个方向是自适应安全更新:研究如何根据攻击分布的变化动态调整安全神经元集合和聚类结构,实现持续的安全适应而不需要人工干预。第六个方向是安全先验的层次化组织:探索为不同类型的有害行为(如暴力、仇恨言论、非法活动)分别识别神经元子集,构建细粒度的安全先验,实现更精确的防御和更少的误拒绝。最后一个方向是可解释性增强:结合可视化、激活分析和注意力归因等方法,更深入理解安全神经元在推理过程中扮演的具体角色,这将有助于提高信任度和指导改进。
复现评估
NeST的复现友好性较高。代码已公开发布在匿名仓库(https://anonymous.4open.science/r/nestSP27-1C20),这为研究社区提供了完整的实现参考。实验使用的数据集都是公开的:有害提示来自CatHarmfulQA、HarmfulQA和LLM-LAT harmful dataset,无害提示来自Natural Reasoning的训练集,越狱评估使用WildJailbreak和JailBreakV-28k,安全评估使用Qwen3Guard-Gen-8B和Llama-Guard-3-8B。评估的14个模型也是开源权重:包括Llama-3.2系列、Qwen2.5/Qwen3系列、Phi-4系列、Gemma系列及其多模态变体。计算资源方面,论文没有明确报告GPU类型和训练时间,但从参数规模(平均0.4M可训练参数)和训练配置(20K训练样本,5个epoch)推断,单个模型的训练成本应该相对较低,在消费级GPU上可能就能完成。主要的计算成本可能来自安全神经元检测阶段的激活提取和探针训练,但这一阶段只运行一次,且可以批处理多个提示。超参数选择方面,论文报告了关键超参数的消融研究(z-threshold、聚类强度),建议的默认设置($z_{thr}=3$、基于轮廓系数阈值的聚类)应该具有良好的稳定性。实验协议的标准化程度高:所有方法使用相同的训练和评估数据,统一的评估提示格式(模型的native指令模板),贪心解码,以及一致的ASR定义(Qwen3Guard判定为不安全且无显式拒绝)。这些设计使得结果的可比性和可信度较高。潜在的复现难度主要在于多模态模型的设置(如图像输入的处理)和下游模型的获取(10个下游模型可能需要单独下载和准备),但整体来说,NeST是一个相对易于复现的研究。
论文图表