← 返回 2026-05-13

晚了一步:多轮对话中针对隐藏恶意意图的响应感知防御 One Turn Too Late: Response-Aware Defense Against Hidden Malicious Intent in Multi-Turn Dialogue

Xinjie Shen, Rongzhe Wei, Peizhi Niu, Haoyu Wang, Ruihan Wu, Eli Chien, Bo Li, Pin-Yu Chen, Pan Li 📅 2026-05-12 👍 12 2026-07-13 08:36
LLM安全 多轮越狱 对话防御 强化学习 意图检测

首个逐轮响应感知防御器 TURNGATE,精确锁定「最早危害闭合点」以平衡安全与实用性。

前置知识

单轮越狱与多轮越狱

越狱(Jailbreak)指攻击者通过精心构造的提示让大语言模型突破安全对齐、生成有害内容。早期研究主要把恶意意图塞进单条 prompt,例如各种后缀攻击、角色扮演模板或语义混淆;防御者也通常用单轮分类器对一条 query 或一条 response 打分。但前沿攻击者已经转向多轮越狱:把同一个有害目标(例如制造爆炸物)拆成多个看起来无害的子问题(前体材料、反应条件、提纯方法),每一轮单独看都安全,合起来却能完成攻击。

本文要解决的就是多轮越狱问题,因此读者必须理解「单轮安全 ≠ 整段对话安全」,以及攻击者为何会「分布式」地展开意图——这是后文「危害闭合点 $t^*$」概念的现实背景。

LLM 安全护栏(Guardrail)与对齐(Alignment)

Guardrail 指 Llama Guard、Qwen Guard 这类外挂安全分类器,通常把对话序列化成单条输入,判断是否违规;Alignment 指 RLHF/DPO 等把模型本身训练得「会拒绝」。两者普遍在「单条 prompt」粒度上工作,把每条 query 单独看,所以天然地看不到多轮累积出的危险。

本文把现有防御分为 prompt-based、guardrail、trainable 三类作为 baseline,并明确指出它们的共同盲区——只看当前一条、看不到跨轮累积信息。这是 TURNGATE「响应感知 + 逐轮」设计的对比锚点。

成本敏感序贯决策 / 最优停时

经典最优停时(Optimal Stopping)研究「在不确定环境中,何时行动才能最大化收益」。本文把防御建模成 cost-sensitive stopping problem:每一个 turn 决定 PASS 还是 BLOCK,过早 BLOCK 损失良性 utility、过晚或错过则发生安全漏报,需要为「早拦/准拦/漏拦/误拦」分别赋予不同代价。形式化目标为期望 $J(\pi) = E[\cdots]$,其中包含 $u_{\mathrm{ben}}\mathbf{1}[t^*=\infty, \eta_\pi=\infty]$、$u_{\mathrm{hit}}\mathbf{1}[t^*<\infty, \eta_\pi=t^*]$ 等多个 reward/penalty 项。

读者需要理解「为什么是序贯决策」——多轮防御不是「最后一句话分类」,而是「每一个 turn 都可能结束对话」的动态过程,只有用停时框架才能自然地把「早拦浪费 vs. 漏拦致命」的对立代价写成一个可优化目标。

过程奖励强化学习(Process Reward RL)

传统 RLHF 只对完整 trajectory 末端给一个稀疏奖励;Process Reward 改为对每一步给一个稠密监督,告诉模型「这一步是好是坏」。本文用 GAE(Generalized Advantage Estimation)把 turn 级奖励 $\hat{R}_t$ 反向递归成优势 $\hat{A}_t = \hat{R}_t + \gamma\lambda \hat{A}_{t+1}$,再用 PPO 风格的 clip 目标 $\min(\rho_t \hat{A}_t, \mathrm{clip}(\rho_t,1-\epsilon,1+\epsilon')\hat{A}_t)$ 训练,并加 KL 散度约束 $\beta\mathrm{KL}(\pi_\theta\|\pi_{\mathrm{ref}})$。

TURNGATE 的核心优化算法就是这套过程奖励 RL。理解 GAE 与 PPO clip 是看懂训练公式 $L_{\mathrm{TURNGATE}}(\theta)$ 的前提,也是判断「为什么 RL 比纯 SFT 提升 $\phi_2$ Harmful Score 0.479→0.602」这一关键结论的机制基础。

研究动机

现有 LLM 防御在「多轮分布式恶意意图」面前普遍失效。论文在主表 Table 1 给出具体数据:Llama Guard 3-8B 在 MTID 测试集上 Harmful Score $\phi_1/\phi_2/\phi_3$ 只有 0.002/0.002/0.002,基本完全漏报,虽然 Benign Score 还有 0.998;Qwen3Guard-Gen-8B 也只有 0.120/0.159/0.139 的有害侧得分;基于 GPT-5.2 的 Intention Analysis 看似略好(0.203/0.287/0.250),但代价是 GPT-OSS-120B 版把 Benign Score 砸到 0.023,几乎所有合法请求都被拒。问题根源有三:第一,这些系统要么只看单条 prompt、看不到跨轮累积,要么只看 user 端 query、看不到 assistant 的「candidate response」即将泄露什么;第二,只给对话级 coarse 标签,没有「最早闭合点」这个时间维度的监督;第三,query-only 防御存在固有上限——同样的 query 序列,如果模型只给高层建议是安全的,assistant 一旦补足可操作细节就变成有害,纯 query 端无法分辨。论文 Figure 1 用「清洁剂+氨水制毒气」这个具体场景展示了同一段良性外观的对话既可能来自无害用户(写小说),也可能来自攻击者(实施伤害),唯一区别在于 assistant 即将给出的内容。

本文的目标是论文的核心目标是把多轮恶意意图检测形式化成一个「逐轮、响应感知」的干预问题,并构建相应的数据集与防御器。具体来说:第一,提出「有害闭合点(harmful closure turn)」概念 $t^*(\tau,g) = \min\{t \in \{1,\ldots,T\}: \mathrm{Suff}(x_t,g)=1\}$,把防御从「判断单条」升级为「判断在哪一turn 累积信息首次足够完成有害目标 $g$」;第二,构建 Multi-Turn Intent Dataset (MTID),用 CKA 自适应树搜索生成攻击 rollout,标注 $t^*$,并配以 matched benign hard negative;第三,训练 TURNGATE——一个在每条 candidate response 送出去之前做 PASS/BLOCK 决策的 4B 监控器,使它能在 $\eta_\pi = t^*$ 时「精准闭合」,最大化 $F1_{\phi_2}$ 这一安全-效用调和均值。

与已有工作不同的是,已有工作存在三个明显的切入空白。其一,单轮分类器(Guardrail、Single-turn LLM Judge)粒度不够,缺少时间维度的监督;其二,Sequential Monitor 之类的多轮方法虽然看 query 历史,却是 response-blind,无法判断 assistant 即将泄露的细节是否会「补齐最后一公里」;其三,Deliberative Alignment 之类方法虽然能对多轮做推理,仍以 dialogue-level 标签训练,既找不到 $t^*$ 的位置,也容易在 benign 探索型对话上「早拦」。本文的独特切入角度是:在「响应生成后、送达前」这个位置设置监控点,显式建模 sufficiency operator $\mathrm{Suff}(x_t,g)$,并把多轮防御重铸为 cost-sensitive stopping problem,从而同时解决「找不到闭合点」和「无法兼顾良性探索」两个痛点——这是文献里第一个把「最早危害闭合点」做成可监督目标的工作。

核心方法

TURNGATE 的整体思路可以一句话概括:把多轮防御当作「在什么时刻拉闸」的序贯决策问题,先用自适应攻击 rollout 把每条对话打上「哪一turn 信息首次足够」的时序标签,再用「带过程奖励的强化学习」训练一个 4B 模型学会这个时序判断。技术路线分两步:数据侧用 CKA 智能体在 Chemistry 与 Cybersecurity 两个领域做蒙特卡洛树搜索(MCTS),在每一轮让 attacker 生成若干候选子问题,根据目标模型的真实回答和 sufficiency judge 决定该分支是否「闭合」,闭合就记 $t^*$,否则回溯继续扩展;训练侧先用 Reweighted-SFT(按过程奖励绝对值 $|R_t|$ 加权的 cross-entropy)做监督 warm-start,再用 GAE + PPO-clip + KL 约束的过程奖励 RL 把 hit rate 推上去。直觉上:如果模型把「还没到闭合点」判成 BLOCK,会白白损失良性 utility;如果把「已到闭合点」判成 PASS,就放走了可执行的有害细节——所以奖励设计成「$t=t^*$ 时奖励 $u_{\mathrm{hit}}$ 最高、$tt^*$ 直接 $c_{\mathrm{miss}}$」。

核心创新是把「危害」从对话级属性重铸为「逐轮首次闭合事件」$t^*$,并用「响应感知 + 过程奖励 RL」联合解决三个旧方法处理不好的问题:何时介入、介入到什么粒度、是否需要看 assistant 即将说啥。和已有方法的本质区别有三点。第一,粒度上:Naive-SFT 只给整条 dialogue 一个标签,学不到「在第几轮介入」;TURNGATE 把每条对话切成 (history, query, candidate response) → action 的 per-turn 样本,直接监督 $t^*$。第二,信息源上:Sequential Monitor / Intention Analysis 都只看 user query,看不到 assistant 准备交付什么,而本文把监控点放在「post-generation, pre-delivery」——同一段 user query,如果 candidate response 仍是高层 guidance 就 PASS,如果即将补足可操作实现细节就 BLOCK,这是 query-only 方法在结构上做不到的。第三,优化目标上:用过程奖励 $\hat{R}_t$ 与 GAE 而非稀疏 terminal reward,让模型学到「每一步的决定相对于未来后果的折现价值」,把早拦/准拦/漏拦/误拦四个错误分别编码成不同 penalty。

方法步骤详情

方法实现可以拆为四步。第一步,MTID 数据生成:用 WildJailbreak 种子在 Chemistry 和 Cybersecurity 各挑 200 条 harmful + 200 条 benign,用 GPT-5.2 做 domain filtering,然后让 CKA agent 做 MCTS 扩展——对每条种子跑 20 次独立 rollout,每个 rollout 在每一turn 生成 $k$ 个候选子问题送给 target model,得到 $\tilde{r}_t$,再由 sufficiency judge 判断 $\mathrm{Suff}(x_t,g)$ 是否首次为 1;若是,记录该深度为 $t^*$ 并停止;否则把这条分支的 UCT 价值更新后回溯继续。每条 harmful rollout 在 $t^*$ 处截断,benign rollout 跑完标 $t^*=\infty$,共得到 8,000 harmful + 8,000 benign dialogue。第二步,后处理质控:用 Gemini-2.5-Flash 独立复核 $t^*$ 处的 sufficiency,以及 $t^*-1$ 处的 insufficiency,确保 $t^*$ 标签是「紧」的。第三步,Reweighted-SFT warm-start:把每条 multi-turn dialogue 切成 per-turn 训练样本 $(x_t, y_t)$,其中 $x_t = (h_{t-1}, q_t, \tilde{r}_t)$、$y_t \in \{\mathrm{PASS},\mathrm{BLOCK}\}$ 由 $t^*$ 决定,然后用 cross-entropy 训练,每条样本的 loss 权重 $w_t \propto |R_t|$,让靠近 $t^*$ 的样本(奖励幅度大)获得更强监督。第四步,过程奖励 RL:把 $\hat{R}_t$ 在 prompt group 内归一化,反向递归 $\hat{A}_t = \hat{R}_t + \gamma\lambda\hat{A}_{t+1}$($\hat{A}_{T+1}=0$),然后用 PPO 风格 clip 目标 $L_{\mathrm{TURNGATE}}(\theta) = E_{(x_t,a_t)}[\min(\rho_t\hat{A}_t,\mathrm{clip}(\rho_t,1-\epsilon,1+\epsilon')\hat{A}_t) - \beta\mathrm{KL}(\pi_\theta\|\pi_{\mathrm{ref}})]$,其中 $\rho_t = \pi_\theta(a_t|x_t)/\pi_{\mathrm{ref}}(a_t|x_t)$。推理时模型在每个 turn 输出单 token 决策(0=BLOCK, 1=PASS),greedy decoding。整个流程用 3 块 H100(2 训 1 评)训练 5 个 epoch,固定 random seed 42 以确保可复现。

技术新颖性

技术新颖性主要体现在三个层面。第一层是问题重铸:把对话级安全分类升级为「序贯停时」问题,并首次显式定义「最早危害闭合点 $t^*$」与 sufficiency operator $\mathrm{Suff}(x_t,g)$,给出可监督的时序标注协议,这是文献里此前没有的。第二层是数据构造范式:把 CKA 攻击框架从「单次完成攻击」重定位为「时序标注引擎」,并强调「matched benign hard negative」——benign seed 与 harmful seed 共享专业术语但目标无害,迫使防御器区分「真实累积意图」与「表面关键词」,这是当前安全数据集普遍缺乏的对照设计。第三层是学习范式:首次把 turn-level process reward 显式拆成五类成本(uben/uhit/cfp/cmiss/cearly)并用 GAE+PPO 训练 4B 监控器,使得模型不仅在测试集上 hit rate 提升,miss rate 也从 Reweighted-SFT 的 37.9% 降到 17.7%——这种「把 timing 折进 RL 优势」的设计在多轮安全防御文献里是新的。

Overview of the defense mechanism.
Figure 2: Overview of the defense mechanism.
Harmful example: cryptocurrency phishing site.
Figure 5: Harmful example: cryptocurrency phishing site.
Benign example: sociology of cross-border drug trafficking.
Figure 6: Benign example: sociology of cross-border drug trafficking.

实验结果

实验分三块展开,核心发现可以归纳为三条。第一,MTID 主表 Table 1 显示 TURNGATE(Qwen3-4B)在测试集上取得 Benign Score 0.834、Acc($\phi_1$) 0.414、Harmful Score $\phi_2$ 0.602、F1 $\phi_2$ 0.699,在所有 baseline 中最佳,比 Reweighted-SFT(F1 $\phi_2$ 0.610)再上一档,比 Turn-level Naive-SFT(0.361)高 93%。在 F1 $\phi_3$ 上也达到 0.633。准确拦截率($\eta_\pi = t^*$)从 Reweighted-SFT 的 34.3% 提升到 41.4%,miss rate 从 37.9% 降到 17.7%,证明 RL 阶段确实把「拉闸时机」校准了。Guardrail 类基本全线挂掉:Llama Guard 3-8B Harmful Score 三档全是 0.002,Qwen Guard 也只有 0.120/0.159/0.139,说明单条分类器对跨轮累积意图完全无感。Intention Analysis (GPT-5.2) 的 $\phi_2$ 是 0.287,但 Benign Score 0.752,远不如 TURNGATE 兼顾。第二,Figure 3 的在线闭环测试在 attacker iteration budget $i \in \{1,3,5\}$ 下,TURNGATE 把 ASR 压到 0.26($i=1$)、始终低于 0.68(即使 $i=5$),而 Intention Analysis(GPT-5.2)接近 0.77、Qwen Guard 在 $i=5$ 时退化到 no-defense 上限附近——说明面对自适应 MCTS 攻击者,响应感知 + 逐轮训练比纯 prompt-engineering 鲁棒得多。第三,Figure 4 的 OOD 泛化图显示:在 HarmBench 12 类、StrongReject 4 类、JBB 6 类共 22 个 zero-shot 评测点中,TURNGATE 在 19 个上降低 ASR;最显著的是 StrongReject 的 Illegal Goods & Services 从 0.388 降到 -0.061(降幅 0.449)、Illegal 从 0.604 降到 0.155(降幅 0.449)、Fraud/Deception 从 0.700 降到 0.000(降幅 0.700)。Target-model shift 上,一个在 GPT-5.2 数据上训练的防御器 zero-shot 迁移到 Gemini-3.1-Pro,MTID Full Test Set ASR 从 0.676 降到 0.499(降幅 0.177)。Attacker-pipeline shift 上,对 MAJ(Multi-Agent Jailbreak)攻击者仍能 Cross-category 把 ASR 压低 0.122~0.149。Table 2 的 cross-domain 离线测试也印证:Chemistry 训练 → Cybersecurity 评估,$\phi_2$ 0.397、F1 0.543,显著高于 Intention Analysis(GPT-5.2)的 0.435 和 Reweighted-SFT 的 0.352;反方向也成立(0.474 vs 0.481,差距小但仍最佳)。

Main offline results on the MTID test split.
Table 1: Main offline results on the MTID test split.
Cross-domain generalization on MTID.
Table 2: Cross-domain generalization on MTID.
Final MTID seed statistics used for rollout generation.
Table 3: Final MTID seed statistics used for rollout generation.
Online robustness under adaptive tree-search attack.
Figure 3: Online robustness under adaptive tree-search attack.
Online OOD generalization of TURNGATE at attacker iteration budget i=5.
Figure 4: Online OOD generalization of TURNGATE at attacker iteration budget i=5.
查看结构化数据
任务指标本文基线提升
MTID 离线条目分类(Benign Score + 4 项有害指标) F1_φ2(Benign Score 与 Harmful Score φ2 的调和均值) 0.699(Benign 0.834, Harmful φ2 0.602, Miss 0.177, Early 0.409, ℓ1 1.02) Reweighted-SFT 0.610;Turn-level Naive-SFT 0.361;Trajectory-level Naive-SFT 0.568;GPT-5.2 Intention Analysis 0.416;GPT-5.2 Sequential Monitor 0.516;Llama Guard 3-8B 0.005;Qwen Guard 0.269 相对最强 trainable baseline (Reweighted-SFT) 提升 +0.089,相对最强 prompt baseline (Sequential Monitor GPT-5.2) 提升 +0.183,相对 guardrail baseline 提升两个数量级以上
MTID 准确拦截(η_π = t*) Acc.(Harmful Score φ1) 0.414 Reweighted-SFT 0.343;Turn-level Naive-SFT 0.163;GPT-5.2 Sequential Monitor 0.292;GPT-OSS-120B Intention Analysis 0.317;Llama Guard 3-8B 0.002;Qwen Guard 0.120 相对 Reweighted-SFT +0.071(20.7% 相对提升),相对 Turn-level Naive-SFT +0.251(2.5 倍)
MTID 漏报率 Miss Rate ↓ 0.177 Reweighted-SFT 0.379;Turn-level Naive-SFT 0.738;GPT-5.2 Sequential Monitor 0.412;Qwen Guard 0.788;Llama Guard 3-8B 0.998 相对 Reweighted-SFT -0.202(53% 相对下降),相对 Turn-level Naive-SFT -0.561(76% 相对下降)
在线闭环 ASR vs CKA 自适应攻击者 Attack Success Rate(i=1 攻击预算) 0.26 Intention Analysis(GPT-5.2)≈0.50;Qwen Guard(8B)≈0.60;No Defense 1.00 i=1 相对最强 prompt baseline 降约 0.24,即使 i=5 仍能压到 <0.68 而 baseline 接近 no-defense 上限
在线 OOD 泛化(HarmBench Illegal Goods & Services) ASR ↓(target = GPT-5.2,attacker = adaptive tree-search) -0.061(从 0.388 降至负值,代表完全拦截) No Defense 0.388 绝对降幅 0.449,ASR 几乎清零
跨 domain 离线泛化(Chemistry → Cybersecurity) F1_φ2 0.543 Reweighted-SFT 0.352;Intention Analysis(GPT-5.2)0.435;Vanilla LLM Monitor(Qwen3-4B)0.375 相对 Reweighted-SFT +0.191,相对最强 prompt baseline +0.108
Target-model 迁移(GPT-5.2 → Gemini-3.1-Pro) MTID Full Test Set ASR ↓ 0.499(相对 No Defense 降 0.177) No Defense 0.676 绝对降幅 0.177,验证响应感知防御具备跨厂商迁移能力

局限与改进

作者在 Appendix F.1 明确承认四方面限制。第一, $t^*$ 标签是「CKA rollout + Gemini-2.5-Flash 双校验」得到的经验估计,并非绝对 ground truth——具体闭合点会随攻击者先验知识(例如某些子问题对高水平攻击者冗余)或 judge 模型选择而漂移。第二,MTID 只覆盖 Chemistry 和 Cybersecurity 两个领域,Out-of-domain 实验虽然显示良好泛化,但作者明确指出 JBB Economic Harm 与 Malware/Hacking 上 $\Delta$ASR 仍为 0,说明 OOD 在 risk surface 与训练差异较大时仍困难。第三,MTID 由 CKA 攻击 rollout 自动生成,可能「学了 CKA 的规律」,需要更多样化攻击者与 human-in-the-loop red-teaming 才能进一步强化鲁棒性。第四,部署上目前只支持 binary PASS/BLOCK,无法做 targeted redaction、safe alternative 或 clarifying question 等更细的干预。从个人观察,还有一个隐含限制:Table 1 显示 TURNGATE 的 Miss 0.177、Early 0.409,意味着仍有 17.7% 的有害对话被漏掉、40.9% 的拦截偏早,在生产环境这意味着要么承担一定安全风险、要么牺牲更多良性 utility;另外,论文只对比到 4B 模型,虽作者在 App. E 解释 16B 试跑没明显优势,但缺少与最新 70B+ 防御模型或 GPT-5.2/Claude 等闭源防御器的直接对比,公平性边界仍有讨论空间。

独立分析的弱点

独立看本文还有几个可改进的弱点。其一,「响应感知」的前提是必须在 assistant 生成后再判断,这增加了端到端延迟;对低延迟要求的场景(实时语音助手)不一定可行——改进方向是把 sufficiency 预测前置,例如先用一个 fast LLM 估计 response 草稿的「危害密度」,再做 BLOCK/PASS。其二,Table 1 显示 TURNGATE 的 Early 0.409 偏高,说明模型倾向「先下手为强」,这与 $\phi_2$ 把 early block 折算成 $(\eta_\pi/t^*)$ 部分 credit 有关;在 $c_{\mathrm{early}}$ 调参空间里还有文章可做——可以通过增大 $c_{\mathrm{early}}$ 或在 RL reward 里加入 monotonic penalty 来抑制过早拦截。其三,作者用 single-episode 假设(BLOCK 后整段对话终止),但真实攻击者会换账号、换 prompt 重来;可以扩展为 episode-level reset 或 multi-episode bandit 框架,把 BLOCK 视为「让攻击者重置到 $t=0$」的代价。其四,MTID 只有 8,000 harmful + 8,000 benign,虽然通过 20 rollouts/seed 增加了多样性,但相比真实分布仍偏小;可以引入 active learning 让人工红队持续补充 rollout。其五,SUff operator 由 Gemini-2.5-Flash 给出,实际上是 LLM-as-judge,继承 judge 偏差——多 judge ensemble + human spot-check 是必要补充。

未来方向

作者在 Conclusion 与 App. F.1 提出几条未来方向。第一,延长到「更长 + 多意图」的对话:目前 MTID 集中在两域二元意图,实际系统面对的可能是有害/无害子意图交错的 50-turn 长对话,需要把 $t^*$ 扩展为「意图级时序标注」,每条 turn 维护一个 intent vector。第二,从 binary PASS/BLOCK 升级为 richer action space:引入 safe-rewrite、targeted-redaction、clarifying-question 等动作,论文框架天然兼容(把 $a_t$ 扩展为 $\{$PASS, BLOCK, REDACT, ASK$\}$),reward 也相应增加 $u_{\mathrm{rewrite}}$。第三,把 TURNGATE 集成进「分层防御栈」——前置用 alignment/guardrail 拦明显违规,中段用 TURNGATE 做逐轮闭合检测,后置用 human oversight 处理高风险请求。第四,把 4B 模型升级到 70B+ 主干,论文 App. E 承认 16B 内未观察到明显优势但仍未充分探索,尤其需要测更新、更强的 reasoning 模型(如 o 系列或 Claude thinking)是否能进一步降低 Miss。第五,把方法扩展到非英语、跨语种、code/multimodal 场景。第六,引入 human-in-the-loop red-teaming 持续扩充 MTID。第七,可探索把 $\mathrm{Suff}(x_t,g)$ 形式化为可学习的内部 reward model,而不是依赖外部 judge,减少 judge 偏差传导。

复现评估

复现性方面整体良好。代码与数据已开源在 https://github.com/Graph-COM/TurnGate,论文明确给出 3×H100 的算力需求(2 训 1 评)、5 epoch 全参数微调、Qwen3-4B backbone、vLLM 推理、greedy decoding($T=0$)、固定 random seed 42。MTID 的种子数(200+200 per domain)、rollout 数(20/seed)、split 比例(70/15/15 seed-level)、领域过滤 prompt、CKA judge prompt、Reweighted-SFT loss 权重 $w_t \propto |R_t|$、RL 的 $\gamma, \lambda, \epsilon, \epsilon', \beta$ 都在 Appendix C/D 中显式列出。难度评估:中等偏高——主要门槛是 (1) 需要调用 GPT-5.2 与 Gemini 系列闭源 API 做数据生成与 judge,(2) 跑 5 epoch 全参数 4B SFT + 过程奖励 RL,3 卡 H100 大约 1-2 天,(3) 在线闭环评测需要 CKA agent 的 MCTS 实现,自建成本不低。App. E 作者也坦承因硬件限制无法验证 440B+ 模型,这是 fair comparison 的潜在不确定项。综合看,熟悉 LLM 训练与多轮对话安全的研究组应在 1-2 周内可复现主要数字,但要拿到 Table 1 的具体指标(尤其是 Reweighted-SFT→TURNGATE 那一档 RL 提升)需要仔细复现 GAE 优势归一化、prompt group 内归一化等细节。