← 返回 2026-05-04

MASCing:通过激活引导掩码实现可配置的混合专家行为 MASCing: Configurable Mixture-of-Experts Behavior via Activation Steering Masks

Jona te Lintelo, Lichao Wu, Marina Krček, Sengim Karayalçin, Stjepan Picek 📅 2026-04-30 👍 5 2026-07-13 08:36
LLM安全 MoE安全 推理时干预 激活引导 越狱防御

用 LSTM 替代建模 MoE 路由 logit,输出稀疏激活掩码,免训练灵活调控安全行为

前置知识

Mixture-of-Experts (MoE)

MoE 是一种用稀疏激活替代稠密前馈的条件计算架构。每一层包含多个"专家"子网络(如 Mixtral-8x7B 有 8 个),路由器为每个 token 计算专家的路由 logit,经过 softmax 归一化后选取得分最高的 top-$k$ 个专家激活,从而把总参数做大但每个 token 的激活参数控制在较小规模。

论文所有的安全配置逻辑都作用在 MoE 的路由层,理解稀疏激活是后续理解为何路由器成为新的攻击面、以及为何要在 logit 层面干预的前提。

Activation Steering (激活引导)

激活引导基于"线性表征假说",认为模型的高层概念对应激活空间中的某个方向。在残差流或中间层加上一个 steering 向量,可以放大或抑制对应的行为(如拒绝、合规、人格特征)。MASCing 把这一思路从残差流搬到了 MoE 路由 logit 上。

论文核心机制是"在路由 logit 上加 steering mask",没有激活引导的知识储备,很难理解为什么对 logit 的连续偏移比强制 top-$k$ 更有效。

Multi-Turn Jailbreak (多轮越狱)

多轮越狱指攻击者不一次性提出有害请求,而是把违规意图拆成多步、伪装成良性对话上下文,引导对话式 LLM 逐步"滑向"违规输出。AdvBench 数据集收录 520 条单轮有害指令,而 Multi-Turn Human Jailbreaks (MHJ) 数据集收录 537 段共 2912 条多轮对话,涵盖混淆、注入、请求包装、直接请求等多种攻击模板。

多轮越狱是 MASCing 重点防御的场景,论文的 baseline 与基线 SteerMoE 在此场景下都显著退化,所以它最能体现 LSTM 利用完整对话历史的必要性。

LSTM 作为可微代理

MoE 路由器输出的是 top-$k$ 离散选择,本身不可微,无法直接反传优化。论文的解法是训练一个轻量 LSTM 替代模型,输入是连续的、未归一化的路由 logit 序列,输出是该 token 序列是否导致目标行为的二分类概率。LSTM 通过对所有专家 logit 的递归更新来捕获跨层、跨 token 的依赖,从而把不可微的路由决策变成可微的行为概率。

这是 MASCing 方法论的核心枢纽,理解 LSTM 如何把"路由 logit → 行为"变成可微映射,才能看懂后续 steering matrix 是如何被梯度优化出来的。

研究动机

MoE 架构虽然通过稀疏激活大幅压低了推理成本,但也带来了稠密 LLM 不存在的安全风险:模型行为被绑定到路由器对专家的选择上,而不同 prompt 命中的专家组合不同,于是同一个模型在不同安全相关场景下表现差异巨大。论文给出了具体数字——在 7 个开源 MoE 模型(DeepSeek-MoE-16B-Chat、GPT-OSS-20B、Hunyuan-A13B-Instruct、Mixtral-8x7B-Instruct-v0.1、Phi-3.5-MoE-Instruct、Qwen1.5-MoE-A2.7B-Chat、Qwen3-30B-A3B-Instruct-2507)上,未做任何干预时对多轮越狱对话的平均防御成功率仅 52.5%,对成人内容请求的平均合规率也只有 52.6%。更糟糕的是,当前的安全对齐手段——全参数微调、对齐再训练——对 MoE 来说极其昂贵且迟缓,无法跟上安全策略(公司政策、法规、新型越狱)的动态变化。已有的训练时防御(SafeX)和推理时干预(SteerMoE)也存在明显短板:SafeX 需要 LoRA 微调,SteerMoE 只在最终 "Assistant:" 之后的 top-$k$ 专家上做频率统计,会丢失多轮上下文和那些刚被挤掉 top-$k$ 的关键安全专家。

本文的目标是本文的目标是提出一个轻量、免训练、可在部署时热切换的 MoE 安全配置框架 MASCing(MoE Activation Steering Configuration),让模型开发者无需修改模型权重、无需重新训练,就能在数分钟内为同一个 MoE 模型快速适配不同的安全目标——既可以收紧安全边界抵御多轮越狱,也可以在受控场景下有选择地放宽对特定领域(如成人写作)的拒绝,让安全策略具备真正的"可重配置性"。

与已有工作不同的是,MASCing 的切入角度是把 MoE 路由 logit 视为可微的"行为信号"而非 top-$k$ 离散选择,再用一个 LSTM 替代模型跨 token、跨层地建模 logit 到行为的映射,由此优化一个稀疏激活掩码叠加到路由 logit 上。这与 SteerMoE(只统计最终响应 token 的 top-$k$ 激活频次)和 SafeX(依赖 LoRA 微调)形成本质区别:MASCing 完全免训练、能利用整段对话历史、并且操作的是连续 logit 而非硬掩码,因此既保留了路由器的输入敏感性,又能把激活干预精准地绑定到"安全电路"上。

核心方法

MASCing 把 MoE 安全配置问题拆成三个阶段:行为建模 → 掩码生成 → 掩码应用。直觉上,先用一个 LSTM 学习"哪些专家组合会导致目标行为",再把这个知识压缩成一个稀疏的 steering 矩阵,最后在推理时把这个矩阵按 token 加到路由 logit 上,让路由器在保持原有灵活性的前提下偏向目标专家。技术上,整条管线依赖路由 logit 的连续可微性(避开 top-$k$ 的离散瓶颈),以及 $L_1$ 正则 + 阈值剪枝实现的"找电路"能力。

核心创新点是"用 LSTM 替代模型在连续路由 logit 上做行为预测",再把"激活引导"从残差流迁移到路由门。具体来说有三层区别于前人的设计:第一,输入是未归一化、未经过 top-$k$ 筛选的全量路由 logit,保留了对所有专家(包括 top-$k$ 之外的关键专家)的判别信息;第二,LSTM 把 token 序列 $\{z_1,\ldots,z_T\}$ 的跨层特征压扁到 $L\cdot D$ 维向量后再递归更新,能够同时捕获时间维和深度维的依赖;第三,最终的掩码是软连续的——$\tilde{g}_{l,t}=g_{l,t}+\alpha(\sigma_l\cdot \hat{S}_l)$,只是对 logit 做缩放后的加减,而不是 SteerMoE/SafeX 那种把 logit 强行置为 $\pm\infty$ 的硬掩码,从而保留下游 softmax 加权融合的细腻度。

方法步骤详情

阶段一:行为序列化建模。把每个 token 在每个 MoE 路由层的 logit 向量 $x_{t,l}\in\mathbb{R}^E$ 先做层归一化,再通过可学习仿射变换 $W_p\in\mathbb{R}^{D\times E}$ 投射到 $D=16$ 维得到 $v_{t,l}$,把所有 $L$ 层的投影拼成扁平向量 $z_t\in\mathbb{R}^{L\cdot D}$ 喂给 LSTM,输出末位隐藏状态 $h_T$ 经过线性头得到二分类 logits $\hat{y}=W_c h_T+b_c$,用 BCE 损失训练 15 个 epoch;阶段二:掩码生成。定义可学习 steering 矩阵 $S\in\mathbb{R}^{L\times E}$,初始化为 Kaiming Uniform。给定未引导 logit $g_{l,t}$ 及其层标准差 $\sigma_l$,构造缩放 logit $\tilde{g}_{l,t}=g_{l,t}+(\sigma_l\cdot S_l)$,LSTM 代理对 $\tilde{g}$ 输出 $\hat{y}=f_\theta(\tilde{g})$,用复合损失 $L_{total}=\mathrm{BCE}(\hat{y},y_t)+\lambda\|S\|_1$ 驱动预测趋向目标类 $y_t$;$L_1$ 范数把不重要的项压向零,$\lambda$ 控制稀疏度;阶段三:掩码剪枝与应用。用对称阈值门 $\hat{S}_{l,e}=S_{l,e}$ 若 $|S_{l,e}|>\tau$ 否则为 $0$ 提取稀疏掩码,最终在推理时通过 pre-forward hook 把掩码加到路由 logit 上:$g'_{l,t}=g_{l,t}+\alpha(\sigma_l\cdot\hat{S}_l)$,其中 $\alpha$ 是全局干预强度参数(论文 grid search 范围 $\alpha\in\{0.25,0.5,\ldots,2.0\}$),$\tau$ 通常取 $0.1$。

技术新颖性

技术上 MASCing 的新颖性主要体现在三点:1)用 LSTM 在连续 logit 而非离散 top-$k$ 上建模行为,绕开了路由器不可微的瓶颈;2)自适应缩放机制 $\sigma_l\cdot S_l$ 让不同层的 logit 方差差异被自动对齐,使 $\tau$ 阈值剪枝在跨层时具有可比性,避免对深层或浅层过/欠剪枝;3)$\alpha$ 缩放后的软偏移在保留路由器上下文敏感性的同时实现了激活干预。这些设计让框架在训练成本(单卡 H100 ~5 分钟训练 LSTM)和推理成本(一次 element-wise 加法)上都达到极轻量,但效果远超硬掩码式的 SteerMoE。

An overview of the MASCing framework.
Figure 1: An overview of the MASCing framework.

实验结果

在 7 个开源 MoE 模型、两类对立安全目标上的实验一致表明 MASCing 显著优于 baseline 且代价极小。多轮越狱防御(Table 2):未干预平均防御成功率仅 52.5%,应用 MASCing 后平均提升到 83.9%,最高提升出现在 Qwen3-30B-A3B-Instruct-2507(47.3% → 89.2%,+41.9 个百分点),其次是 GPT-OSS-20B(61.8% → 87.9%)。值得注意的是 Figure 2 的定性分析显示,启用 mask 后的模型并非简单输出"我无法回答"的拒绝模板,而是给出"对该主题保持安全立场但仍在原话题上展开"的细致回答,说明 mask 真正重路由到了安全电路而非触发硬编码拒绝。成人内容生成(Table 3):在 4 个 baseline 会拒绝成人请求的模型上,平均合规率从 52.6% 提升到 82.0%,Phi-3.5-MoE-Instruct 提升最大(61.2% → 93.0%),Hunyuan-A13B-Instruct 达到 88.6%。与基线对比(Table 5):MASCing 把多轮越狱防御平均拉到 83.9%,而 SteerMoE 仅为 58.4%(仅略高于 baseline 52.5%);消融对比(Table 6)进一步显示,把同一框架从"激活引导"改成"强制专家选择"(把目标专家 logit 置 $\pm\infty$),平均成功率回落到 69.0%——大约只剩 MASCing 一半增益,验证了连续 logit 偏移而非硬掩码是关键。超参数分析(Figure 4、Figure 5)揭示了一个窄而稳定的"甜蜜点":$\alpha$ 过大(如 $\alpha>1.5$)会让模型输出退化成重复乱码,过小则效果不明显;$\tau=0.1$ 在所有模型上一致最优,$\tau=0$ 完全不剪枝会导致干预过强跌破 baseline,$\tau\geq 0.5$ 又因剪枝过狠回退到接近 baseline。LSTM 替代模型本身的验证准确率(Table 7)平均达到 98.2%(多轮越狱)和 98.4%(成人内容),证明 logit→行为的映射高度可学。Figure 3 的热图显示多轮越狱防御涉及大量分散的专家改动(因为需要更复杂的推理通路),而成人内容生成涉及的专家改动更稀疏更集中,符合两者安全电路粒度的直觉。

Architecture specifications of the targeted MoE LLMs.
Table 1: Architecture specifications of the targeted MoE LLMs.
Success rates for multi-turn jailbreak defense before and after MASCing.
Table 2: Success rates for multi-turn jailbreak defense before and after MASCing.
Success rates for adult-content generation before and after MASCing.
Table 3: Success rates for adult-content generation before and after MASCing.
Utility evaluation on the MMLU and GSM8K benchmarks.
Table 4: Utility evaluation on the MMLU and GSM8K benchmarks.
Success rates for multi-turn jailbreak defense: MASCing vs SteerMoE.
Table 5: Success rates for multi-turn jailbreak defense: MASCing vs SteerMoE.
Activation steering vs expert steering.
Table 6: Activation steering vs expert steering.
Validation accuracy achieved on trained hierarchical and flat LSTMs.
Table 7: Validation accuracy achieved on trained hierarchical and flat LSTMs.
Comparison of responses from Qwen3-30B-A3B-Instruct-2507 to a multi-turn jailbreak.
Figure 2: Comparison of responses from Qwen3-30B-A3B-Instruct-2507 to a multi-turn jailbreak.
The heatmaps visualize the change in top-$k$ expert selection frequency across all layers after the steering mask is applied.
Figure 3: The heatmaps visualize the change in top-$k$ expert selection frequency across all layers after the steering mask is applied.
Success rates of multi-turn jailbreak defense plotted against the $\alpha$ hyperparameter.
Figure 4: Success rates of multi-turn jailbreak defense plotted against the $\alpha$ hyperparameter.
Success rates of multi-turn jailbreak defense plotted against the $\tau$ hyperparameter.
Figure 5: Success rates of multi-turn jailbreak defense plotted against the $\tau$ hyperparameter.
查看结构化数据
任务指标本文基线提升
Multi-Turn Jailbreak Defense Defense Success Rate 83.9% (avg), up to 89.2% (Qwen3-30B-A3B) 52.5% (avg unsteered), 58.4% (SteerMoE), 69.0% (MASCing with hard expert steering) +31.4 pp over unsteered baseline, +25.5 pp over SteerMoE, +14.9 pp over expert-steering ablation
Adult-Content Generation Generation Success Rate 82.0% (avg), up to 93.0% (Phi-3.5-MoE) 52.6% (avg unsteered) +29.4 pp average; Phi-3.5-MoE 61.2% → 93.0% (+31.8 pp)
MMLU (utility) 5-shot accuracy 64.8% (defense mask avg), 72.2% (adult mask avg) 68.7% / 76.4% (subset avg) Average decline 4.1% across both benchmarks; highest model 83.1% on GSM8K still retained
GSM8K (utility) 5-shot accuracy 67.3% (defense mask avg), 78.2% (adult mask avg) 71.3% / 82.1% (subset avg) Coherent multi-step reasoning preserved; lowest post-mask score 55.4% still far above random

局限与改进

作者明确承认三点局限:第一,LSTM 替代模型只是对路由动力学的近似,在极端深或路由行为极不规则的 MoE 上可能逼近能力上限,导致 mask 优化次优;第二,MASCing 仅作用于路由层、不修改专家权重,因此其前提是模型本身具备产生安全/合规响应的内在能力,如果专家被投毒或缺少对齐数据,纯路由干预无法凭空合成安全输出;第三,静态 mask 在训练分布内的未见 prompt 上泛化良好,但对分布外、零日级的越狱(攻击者专门针对 mask 设计对抗 prompt)可能鲁棒性不足。本文的观察还隐含一个 trade-off:安全目标越复杂(如多轮越狱需要激活多个分布广泛的专家),mask 改动越分散,对 utility 的轻微影响(如 MMLU 平均下降 3.1–5.5%)也越难完全消除。

独立分析的弱点

独立审视,论文仍有几个可改进之处:1)LSTM 仅以末位隐藏状态做分类(Eq. 4 用 $h_T$),忽略了 token 序列中间位置的判别信息,对长对话可能丢失早期越狱信号,可考虑用 attention pooling 或双向 LSTM 提取多层表示;2)steering mask 是 prompt-agnostic 的单张固定矩阵,但 Figure 3 显示 GPT-OSS-20B 同时需要激活和抑制专家(说明合规与拒绝表征纠缠),这暗示了不同 prompt 上下文可能需要不同 mask 形态,可探索对 token 嵌入做聚类、按 cluster 选择不同 mask;3)评估仅用 Llama-Guard-3-8B + 人工复核判定 jailbreak 成功与成人内容生成,缺乏对生成内容质量的细粒度打分(如攻击成功率与回答连贯性解耦);4)$\alpha$、$\tau$、$\lambda$ 需要 grid search 且在不同模型上最佳值略有漂移,缺少自动化的超参选择机制;5)所有安全相关实验都在 7 个英文/中文 MoE 模型上完成,对 code-MOE、长上下文 MoE 或多模态 MoE 还未验证。

未来方向

作者已点明的方向包括:动态 per-token/per-prompt mask(用一个轻量分类器实时预测应当使用哪一组 steering 配置)、跨任务迁移(把同一框架用于域适应、幻觉抑制、人格控制)以及与 attention-head 干预的融合构建统一机制控制框架。基于成果还可以延伸:第一,把 LSTM 换成更现代的时序代理(如 Transformer、SSM)以应对更深 MoE;第二,研究 mask 间的可组合性——能否把"安全防御 mask"与"领域专家 mask"叠加使用而互不干扰;第三,理论上分析 $\alpha$ 与 utility 下降之间的关系曲线,推导出不需要 grid search 的解析最优值;第四,从对抗视角研究 mask 反演问题——攻击者能否仅凭模型输出估计出掩码结构,从而设计针对性越狱;第五,把 MASCing 与水印/签名机制结合,使任何对路由 logit 的运行时修改都可追溯。

复现评估

代码已开源(论文给出 https://github.com/jonatelintelo/MASCing 链接),数据集均为公开可获取的 AdvBench、MHJ、EroticaAnalysis、Facebook NaturalReasoning,评估用 Llama-Guard-3-8B 作为安全判定器也公开可下载。超参数($D=16$, $H=64$, $\eta=0.01$, Adam, 15 epochs, batch 64/512)作者在论文中明确给出,LSTM 替代模型仅需单卡 H100 约 5 分钟即可训练完成。复现门槛主要在算力端:7 个 MoE 模型评估需要 2 张 NVIDIA GH200 120GB + H100 GPU,因为即使只激活 2.7B–13B 参数,完整推理加上 logit dump 仍是大头。整体看复现难度中等偏低,唯一需要小心的是路由 logit 的获取 hook 实现细节以及 Llama-Guard 的版本一致性。