← 返回 2026-05-01

微调之后的安全漂移:来自高风险领域的实证证据 Safety Drift After Fine-Tuning: Evidence from High-Stakes Domains

Emaan Bilal Khan, Amy Winecoff, Miranda Bogen, Dylan Hadfield-Menell 📅 2026-04-27 👍 2 2026-07-13 08:36
AI安全 AI治理与监管 大语言模型微调 安全评估基准 高风险领域部署

实证证明医疗/法律领域的良性微调会让模型安全性大幅且不可预测地变化,挑战基模型评估可继承的假设。

前置知识

参数高效微调 (PEFT/LoRA/QLoRA)

PEFT 是一类冻结预训练模型绝大部分参数、只更新少量附加参数(如低秩矩阵)来完成下游任务适配的方法。LoRA 在每一层注入可训练的低秩分解矩阵 ΔW = BA;QLoRA 在此基础上引入 4-bit 量化以进一步压缩显存,使消费级 GPU 也能微调 70B 模型。它们已成为开源模型二次开发的事实标准工具(如 Hugging Face peft 库)。

本文核心问题正是这些主流微调方法在真实场景中对安全属性的影响;若不熟悉 PEFT 的工作机制,就无法理解为什么作者要分别比较 Full Fine-Tuning、LoRA、QLoRA 并衡量参数变化幅度 ($L_2$ 距离)。

基础模型的对齐 (alignment) 与安全微调

基础模型经过 RLHF 或 DPO 等人类偏好对齐训练后,会具备拒绝有害请求的能力。本文所指 'safety alignment' 特指这种对危险或违规请求的拒绝能力,与通用能力并不等同。HEx-PHI 等基准正是通过让模型对有害提示做出回应来度量这种能力,4-5 分(1-5 量表)代表不安全。

论文假设微调会保留这种安全机制,但实证结果推翻了这一假设;如果不理解对齐机制是模型在某一阶段被刻意植入的,就难以理解为什么普通领域数据也会让它失效。

AI 供应链与下游修改者责任

当前大模型生态呈层级结构:上游基础模型提供商(如 Meta、Mistral)发布基模型,中游微调团队(学术、医疗、法律社区)将其专业化,下游部署方再集成进产品。EU AI Act 规定当下游修改者的训练算力超过原模型算力的 1/3 时,可能被视为新的 'general-purpose AI provider' 而承担更严的安全义务。

本文直接挑战 EU AI Act 中基于修改幅度的责任划分原则;如果小幅 PEFT 就能造成严重安全漂移,则算力阈值无法准确捕捉实际风险。

Spearman 等级相关系数 ($\rho$)

Spearman $\rho$ 衡量两个变量秩(排序)之间的单调关系强度,取值 [-1, 1]。$|\rho|$ 接近 1 表示排序高度一致,接近 0 表示无单调关系。与 Pearson 不同,它只关心排名而不关心具体数值,对非线性但单调的关系更稳健。本文用 $\rho$ 来评估两个基准对同一组模型的评分排名是否一致。

论文多次用 Spearman $\rho$ 来论证基准之间的一致性很差(如 $\rho \approx$ -0.65 表示 MLCommons 与 CARES 排序近乎相反),这是理解 'measurement instability' 这一核心结论的关键统计工具。

LLM-as-a-judge 与评判模板敏感性

当前主流安全基准常用一个大语言模型 (GPT-4o-mini 等) 作为评分员,依据打分模板(rubric)把模型回答评为 1-5 分。但评判结果对模板措辞、是否包含样例非常敏感——同一回答在不同的提示模板下可能得到截然不同的分数。

论文第 4.3 节的评测模板修改实验正是为了揭示这种敏感性:仅添加示例回答就让 25% 的医疗结论反号,这是论文 'measurement instability' 论证的核心实验。

研究动机

当前的 AI 治理实践隐含一个关键假设:基础模型(base model)在发布时通过的安全评估结果,能够预测并延续到所有下游微调版本。然而现实是,LoRA、QLoRA 等参数高效微调方法已经把领域适配的算力门槛压到消费级 GPU 级别,导致开源权重生态呈爆炸式分化:Hugging Face 上单个医疗数据集 ai-medical-chatbot 已被用于 70 个下游微调,法律模型也普遍基于 Mistral、LLaMA、Qwen 等基座派生而来。Rishi Bommasani 等学者和 EU AI Act 都强调要按供应链思路管理 AI 风险,但这些框架默认上游安全评估对下游有效。已有研究也指出,在 Alpaca、Dolly 等'良性'数据上做轻量微调就会侵蚀 GPT-3.5 和 LLaMA-2-7B 的对齐,但这些工作大多基于合成指令微调或对抗性实验,对真实开源供应链中医疗、法律等高风险场景里这种漂移到底有多常见、幅度多大、能否被设计选择预测,仍然缺乏系统性证据。

本文的目标是本文希望通过两阶段实证研究回答两个研究问题:(RQ1)真实开源供应链中通用模型经过领域微调后,其安全对齐到底会发生怎样的变化?(RQ2)这些变化能否被常见的工程决策——例如选择哪个基模型、用 LoRA/QLoRA 还是全参微调——所预测?研究目标不只是测量单一基准上的安全分数变化,而是同时跑通用基准(HEx-PHI、MLCommons AILuminate)和领域专用基准(医疗用 MedSafetyBench 与 CARES、法律用 SafeLawBench、SORRY-Bench 法律子集与 Trident)做横向比较,量化漂移的频次、幅度、方向一致性,并测试其与基座初始对齐、参数距离 ($L_2$)、微调方法之间的相关性;更进一步通过评测模板修改实验把'测量不稳定性'从直觉升级为可重复的实证,最终为部署方、上游提供者和监管者提供明确经验依据:是否应当把微调后的模型当作'与基座不同的新产物'重新评估,以及 EU AI Act 中'修改幅度超过算力 1/3 即视为新提供者'的阈值是否合理。

与已有工作不同的是,本文的切入角度是'生态学分析 + 受控实验'的两阶段实证设计,这与已有工作有本质区别。先用 31 个真实部署的开源医疗、法律模型与其官方基座做配对比较(覆盖 LLaMA、Mistral、Qwen、Gemma、Phi 等多个家族、2.7B 到 70B 多个规模,累计下载量超过 160 万、引用超过 1400 次),相当于在'野外'观察真实生态里安全漂移的频次和模式;再用四款指令调优基座(Llama-3-8B-Instruct、gemma-2-9b-it、Mistral-7B-Instruct-v0.1、Qwen2.5-7B-Instruct)在固定数据集(医疗用 ai-medical-chatbot 250k 对话、法律用 LawInstruct QA 子集 525k 样本)、固定超参(1 epoch、lr=2e-5)下系统比较 FFT、LoRA、QLoRA 三种微调路径,把变量收敛到微调方法和基座选择本身,研究因果级别的可预测性。这种既看真实世界噪声、又用受控实验剥离变量的组合,在以往微调安全研究中较为罕见;同时本文还专门设计了'评测模板修改实验',固定模型输出但给 HEx-PHI 评判模板加 5 段示例回答,揭示结论对评判措辞的敏感性,把'测量不稳定性'从口头怀疑升级为可重复的实证。

核心方法

本文采用两阶段、层次递进的实证方法。第一阶段是生态学分析:从 Hugging Face 抓取高下载量的医疗、法律微调模型,与官方基座配对比较,相当于'在野外'观察安全漂移的频次和模式;第二阶段是受控实验:选定 4 款 7-9B 指令调优基座,用单一主流数据集(医疗用 ai-medical-chatbot,法律用 LawInstruct QA 子集),在固定超参下分别用 Full Fine-Tuning、LoRA、QLoRA 训练,把变量收敛到微调方法和基座选择本身,研究因果级别的可预测性;最后还做了一个评测修改实验,固定模型输出但给评判模板加示例回答,验证结论是否会被评测方式本身推翻。整体思路是先用生态样本发现问题,再用受控实验找原因,最后用模板扰动暴露评测局限。

本文与已有研究的关键区别在于'多基准 + 配对漂移 + 评测稳定性检验'三件套。已有工作大多报告单一基准上的安全分数变化(例如只看一个 HEx-PHI),而本文同时跑通用基准(HEx-PHI、MLCommons AILuminate)和领域专用基准(医疗 MedSafetyBench、CARES;法律 SafeLawBench、SORRY-Bench 法律子集、Trident),把方向不一致当作信号本身来研究;并且所有指标都做了'配对变化方向归一化'——把 SORRY-Bench 的拒绝率、SafeLawBench 的胜率都反转成'越高=越不安全',让跨基准比较有意义。第二个创新点是直接量化'参数距离 ($L_2$)' 与 '安全漂移' 的相关性,证伪了'调得越多越不安全'这种工程直觉。第三是把评估模板本身当作自变量,证明 25% 的医疗模型结论会因示例添加而反转,把'测量不稳定性'从口头怀疑升级为可重复的实证。

方法步骤详情

具体执行分四步。第一步是模型抽样与配对:从 Hugging Face 按 metadata 关键词(medical、clinical、legal、law)抓取模型,限制英文、覆盖 LLaMA/Mistral/Qwen/Gemma/Phi 五大家族与 2.7B–70B 规模,最终得到 16 个医疗 + 15 个法律 = 31 个 fine-tune 模型(160 万+ 下载、1400+ 引用),与对应基座配对,部分重建多阶段微调谱系(医疗谱系更完整)。第二步是受控微调:选定 4 款 7-9B 指令调优基座,分别用 ai-medical-chatbot (250k 对话) 和 LawInstruct QA 子集 (525k 法律 QA,覆盖 17 个司法管辖区),统一 1 epoch、lr=2e-5,分别跑 FFT、LoRA、QLoRA,对每个 (基座, 领域, 方法) 组合得到一个微调模型。第三步是统一评测:通用基准用 HEx-PHI(GPT-4o-mini 评判 1-5 分)和 MLCommons AILuminate(LlamaGuard-3-8B 分类器,14 类危害);医疗专用用 MedSafetyBench(依 AMA 医学伦理 9 条原则)和 CARES(两阶段:先分 Accept/Caution/Refuse,再依真值危害扣分);法律专用用 SafeLawBench(GPT-4o-mini 与基座对比的 pairwise 评分)、SORRY-Bench 法律子集(Mistral 评判器检测拒绝)、Trident(ABA 职业行为规则评测)。所有指标反转归一化使正值=更不安全,推理参数统一 temperature=0.6, top_p=0.9。第四步是分析:计算每个 fine-tune 与基座的 unsafe 分数差 $\Delta$,并测量 fine-tuned 与 base 的归一化 $L_2$ 参数距离,用 Pearson、Spearman 检验相关性和基准一致性;额外做评测模板扰动(给 HEx-PHI 模板加 5 个等级示例回答)观察结论是否稳定。

技术新颖性

技术新颖性主要体现在三点:(1) 提出'配对漂移 (paired drift)' 框架——与其报告绝对分数,不如聚焦同一基座下 fine-tune 与 base 的相对变化,并统一方向使跨基准可比,这种分析视角在以往微调安全研究中较少见;(2) 用归一化 $L_2$ 参数距离作为修改幅度的客观代理,直接挑战 'PEFT 因为改动小所以更安全' 的直觉——论文发现 $L_2$ 与安全漂移的相关系数 $|\rho|$ < 0.25、$R^2$ < 0.1,最小的更新有时反而产生最大的安全漂移;(3) 把评测模板扰动纳入实验设计,证明安全评估本身的不稳定性与微调本身的不稳定性在同一数量级,质疑了基准分数作为部署决策依据的有效性。这些设计让论文既给出了'安全漂移存在且不可预测'的经验结论,又给出了'评估本身也需要重新评估'的方法论反思。

实验结果

核心发现可以归纳为四条,且每条都有具体数字支撑。第一,**安全漂移是普遍且异质的**:医疗领域 81% 的 fine-tune 模型表现出 mixed-sign drift(在至少一个基准上改善、另一个上变差);加入所有法律基准后这个比例上升到 93%。漂移方向与基座初始安全性呈中等负相关(Pearson $r$ ≈ -0.55, $p$ < 0.001),即基座越安全、漂移越可能朝不安全方向走——这意味着对齐良好的基座在领域微调下反而更脆弱。第二,**工程选择不能预测漂移**:在受控实验中,QLoRA 微调 Gemma 在 CARES 上改善 36pp,却在 MLCommons 上退化 45pp;FFT 在 Gemma-CARES 上取得最大改善(-69pp),但在其他基准上几乎无效;三种 Mistral 微调在 MedSafetyBench 上取得相近改善(-35 到 -37pp),但参数距离相差近一个数量级(约 0.01 到 0.29);跨领域、跨方法、跨基座 $L_2$ 与安全漂移的相关性都较弱($|\rho|$ < 0.25, $R^2$ < 0.1)。第三,**评估本身不稳定**:基准间 Spearman 一致性中位数仅 0.23,MLCommons 与 CARES 相关性达到 $\rho = $ -0.65,HEx-PHI 与 MedSafetyBench 在医疗上 $\rho \approx$ 0.9 但在法律上 SafeLawBench 出现 $\rho = $ -0.63 的强负相关;只把 HEx-PHI 模板改一下(加 5 段示例回答),医疗模型 25% 的结论方向反转。第四,**漂移随谱系深度扩大**:医疗多阶段微调中 HEx-PHI 的标准差从基座到一阶微调增加 +9.75pp(95% CI [1.52, 16.40]),MedSafetyBench 增加 +11.22pp(CI [1.40, 20.29]),MLCommons 增加 +8.75pp(CI [-1.64, 17.67]),中位绝对漂移从 7pp(一阶)扩大到 13pp(二阶),60%-86% 的谱系出现符号反转。

Signs of safety change across benchmarks for analyzed model pairs
Figure 1: Signs of safety change across benchmarks for analyzed model pairs
Directional & magnitude safety drift across legal model analysis
Figure 3: Directional & magnitude safety drift across legal model analysis
Safety change vs. parameter shift under fine-tuning
Figure 4: Safety change vs. parameter shift under fine-tuning
Safety drift post legal fine-tuning segmented by model, fine-tuning method, and benchmark
Figure 5: Safety drift post legal fine-tuning segmented by model, fine-tuning method, and benchmark
查看结构化数据
任务指标本文基线提升
通用安全 (HEx-PHI, MLCommons AILuminate) 不安全响应率/分类器 unsafe 比例 医疗受控实验中 MLCommons 全部 100% 退化,中位数退化 26.4pp;HEx-PHI 在 Gemma-FFT 上小幅改善、其他方法小幅退化 对应的 Llama-3-8B-Instruct / gemma-2-9b-it / Mistral-7B-Instruct-v0.1 / Qwen2.5-7B-Instruct 四个基座 无统一改善;83% 配置在领域内医疗基准改善、100% 在 MLCommons 退化;说明领域内改善不能外推到通用安全
医疗领域专用 (MedSafetyBench, CARES) 不安全响应率 (1-5 分归一化、Accept/Caution/Refuse 评分) MedSafetyBench 中位改善 12.2pp;CARES 漂移分布最宽(SD ≈ 40pp,范围 [-68.5, +69]pp);Gemma-FFT 在 CARES 取得最大单点改善 -69.2pp 各基座原始对齐分数;CARES 在指令调优基座上已偏向保守,因此下游有时表现为 'task structure incidentally suppresses unsafe behaviors' 83% 配置在 CARES/MedSafetyBench 改善;但 CARES 与 MLCommons 呈强负相关 $\rho = $ -0.65,说明这是 trade-off 而非绝对进步
法律领域专用 (SafeLawBench, SORRY-Bench 法律子集, Trident) GPT-4o-mini pairwise 胜率(已反转)、Mistral 拒绝检测器、ABA 职业规则 1-5 分 93% 的生态法律模型在加入 SafeLawBench + SORRY-Bench 后表现 mixed-sign drift;SafeLawBench 73% 模型朝更安全移动、但 SORRY-Bench 与 Trident 接近 47% vs 53% 对半开;MLCommons 在所有基座与方法上普遍退化,Mistral/Gemma 的 FFT 与 QLoRA 退化常超 +30pp,平均 $\Delta$ = +19.8pp;SafeLawBench 整体 92% 退化 对应的 Mistral/LLaMA/Qwen/Gemma 指令调优基座;不同基座在不同基准上方向反转(如 SafeLawBench 偏好简洁参考式答案,与法律微调产出的上下文化解释不匹配) 无统一改善;mixed-sign drift 在仅用直接评估不安全响应的基准 (HEx-PHI、MLCommons、Trident) 时为 42%,加入 SafeLawBench/SORRY 后升至 83%-93%
微调幅度代理 (归一化 $L_2$ 参数距离) $L_2$ 距离 vs 安全漂移的 Pearson/Spearman 相关 医疗与法律大多数基准 $|\rho|$ < 0.25, $R^2$ < 0.1;法律 HEx-PHI 例外,$\rho < $ -0.64 (p = 0.02),更小更新有时漂移更大 零假设:参数修改越多、安全漂移越大 (intuitive engineering hypothesis) $R^2$ < 0.1 表明 '修改越多越不安全' 这一代理几乎不成立;微调幅度不能作为安全风险的可信代理

局限与改进

作者在论文中明确指出几点局限:(1) Phase I 生态学分析无法做因果推断,因为真实部署模型的训练数据、超参数、其他工程细节大多未公开,所以观察到漂移与某些因素的相关性可能受未观测混淆影响;(2) Phase II 受控实验虽然固定了数据、超参、方法,但只在 4 款 7-9B 模型 + 2 个数据集上做实验,能否外推到更大规模或闭源 API 微调(如 OpenAI Tinker 类服务)仍是开放问题;(3) 评测基准本身缺乏外部 ground truth——benchmarks 没有与专家判断或真实伤害数据做过系统性对齐,因此基准间冲突到底反映构造差异还是测量缺陷,目前无法彻底分辨;(4) 局限于英文、局限于开源权重。我自己的额外观察:(5) Phase II 用的 ai-medical-chatbot 是 patient–doctor 对话数据,与真实临床部署中可能用到的指南、放射影像、纵向电子病历数据存在差距,'良性' 在文中是相对 adversarial 而言的,并未覆盖所有真实医疗场景;(6) 法律领域只用了 LawInstruct QA 子集,而真实法律工作流包括合同审阅、法律检索、起草等,本文并未分别评估这些子任务上的安全;(7) 论文没有量化 '不安全' 的实际后果——比如医疗不安全响应是引述错误还是给出致命剂量建议,在基准分数上是一样的,无法区分严重程度。

独立分析的弱点

独立分析几个可改进的弱点:(1) **基准覆盖有盲点**:CARES 是对抗性医疗询问,SORRY-Bench 偏拒绝行为,SafeLawBench 偏好简洁参考式回答——这些都偏向'避免明显错误',但对真实高风险场景中更隐蔽的失败(比如医疗中看似合规但剂量错误、法律中看似合理但程序违规)覆盖不足;改进方向是增加基于真实临床/法律案例、需领域专家标注的纵向评测。(2) **评测与实际部署脱节**:推理参数用 LLaMA cookbook 的 temperature=0.6、top_p=0.9,但真实医疗/法律部署往往用更低的 temperature 和检索增强(RAG),论文没有把 RAG、tool use、custom system prompts 这些同等常见的'轻修改'纳入对比,而讨论部分已承认这些也会引入 drift。(3) **生态学分析缺乏 lineage 完整性**:15 个被分析的 fine-tuning 谱系中,能完整重建到二阶的样本不多,所以'多阶段漂移扩大'这一发现的统计功效有限;改进方向是与 Hugging Face 合作或爬取 Git commit 元数据,建立更完整的派生关系图。(4) **受控实验的'安全性' 操作化过窄**:只用 4 个基准测量 unsafe 响应率,但 GPT-4o-mini 作为 judge 自身就可能与微调后模型的输出风格产生交互偏差,导致结论部分反映 judge 漂移而非真实行为漂移;改进方向是引入人类专家标注 + 多 judge 平均。(5) **量化漂移严重程度缺失**:只报告百分比变化,但 -10pp 是从 95% 安全降到 85% 还是从 60% 降到 50% 在风险意义上完全不同,应按初始安全水平做归一化处理或报告 risk-weighted 漂移。(6) **缺乏可解释性归因**:实验观察到 PEFT 比 FFT 在某些基准上漂移更小、某些基准上漂移更大,但没有进一步分析 LoRA 注入层、秩大小、数据领域对哪些安全能力的影响,可借鉴 probing 或 representation engineering 解释机制。

未来方向

作者提出的方向:(1) 让上游提供 'evaluation backbone'(评测骨架),即通用安全评测 + 文档化工具,让下游能低成本验证通用安全;(2) 研究 robust scoping mechanisms,在输入检测到域外问题时退回到基模型的安全护栏,需要可靠的域相关性判定;(3) 开发记忆回放 (memory replay)、层冻结 (layer freezing)、训练后权重恢复 (post-training weight recovery) 等技术,类比对抗微调防御的研究思路,把它们集成进常用微调流水线;(4) 让上游发布微调鲁棒性证据、最小化漂移的推荐配方、已知失效模式;(5) 研究闭源 API 微调下结论是否成立。基于成果还可延伸:(6) 把 fine-tuning 之外的修改方式(RAG、custom GPT、tool use、system prompt)系统纳入比较,本文已指出这些都可能引起 drift 但未做实验;(7) 与法学/医学专家共建带 ground truth 的领域基准——比如模拟临床决策的法律后果评分,让 unsafe 响应量级与实际伤害挂钩;(8) 探索联邦式/可验证评测协议,让上游在不可见下游数据的情况下仍能证明其微调鲁棒性;(9) 跨司法管辖区研究,LawInstruct 已经覆盖 17 个司法辖区,可与具体法系(如普通法 vs 大陆法)下法律微调漂移模式结合分析。

复现评估

复现性总体较好但有限制。(1) **开源情况**:研究本身没有公开完整代码仓库(论文未声明 release repo),但所用基座(Meta-Llama-3-8B-Instruct、gemma-2-9b-it、Mistral-7B-Instruct-v0.1、Qwen2.5-7B-Instruct)和数据集(ai-medical-chatbot、LawInstruct QA)都是 Hugging Face 上公开的;评测基准 HEx-PHI、MLCommons、MedSafetyBench、CARES、SafeLawBench、SORRY-Bench、Trident 均可获取;评测模板在论文 Appendix A.2 中详细给出(Tables 4–7),核心 judge 用 GPT-4o-mini 和 LlamaGuard-3-8B 也都可用。(2) **数据**:医疗 250k 对话、法律 525k QA 在普通 GPU 上微调 1 epoch 较易处理;但 Phase I 31 个 fine-tune 模型大多数公开可下载。(3) **算力**:受控实验中 4 个基座 × 2 个领域 × 3 种方法 ≈ 24 次微调,单卡 A100 80G 或 H100 即可覆盖 7-9B 的 FFT/LoRA/QLoRA,FFT 需要更多显存或 DeepSpeed;评测 LLM-as-a-judge 需要持续调用 GPT-4o-mini API 成本中等。(4) **难度**:中等偏上——难点不在训练而在 (a) 复现生态学分析需要严格匹配 HF 元数据筛选规则,且 HF 模型随时间变化难以冻结时间点;(b) 跑全套 5+ 基准评测且做归一化需要写完整 pipeline;(c) GPT-4o-mini 的评分行为可能随 OpenAI 模型版本变化而变化,影响纵向复现。整体建议:以 Phase II 受控实验为主线复现,Phase I 生态学分析作为补充观察;务必记录评测 judge 的模型版本与日期。