← 返回 2026-05-07

XL-SafetyBench:面向 LLM 安全与文化敏感性的国家扎根跨文化基准 XL-SafetyBench: A Country-Grounded Cross-Cultural Benchmark for LLM Safety and Cultural Sensitivity

Dasol Choi, Eugenia Kim, Jaewon Noh, Sang Seo, Eunmi Kim, Myunggyo Oh, Yunjin Park, Brigitta Jesica Kartono, Josef Pichlmeier, Helena Berndt, Sai Krishna Mendu, Glenn Johannes Tungka, Özlem Gökçe, Suresh Gehlot, Katherine Pratt, Amanda Minnich, Haon Park 📅 2026-05-07 👍 11 2026-07-13 08:36
LLM 安全 基准构建 文化敏感性 越狱基准 跨文化评估

5500 条跨 10 国数据揭示 LLM 安全与文化意识解耦、本地模型安全假象

前置知识

越狱攻击(Jailbreak)

指通过精心设计的对抗性 prompt 绕过 LLM 的安全对齐,诱导其输出有害内容。常见策略包括角色扮演、权威伪装、上下文注入等,常用 PAIR 框架以攻击者-探针-评判三角色迭代生成对抗样本。

本文 Jailbreak Benchmark 的核心就是国家特异化的越狱 prompt,理解基本攻击流程是看懂对抗生成管线的前提。

LLM-as-a-Judge

使用一个 LLM 作为自动评判器,按预设评分准则(如有害性、相关性、文化敏感标志)对另一模型的输出进行打分或分类,可批量替代昂贵的人工标注,需事先做与人类标注的一致性校验。

本文所有指标 ASR/NSR/CSR 均通过 GPT-5.2、Gemini-3-Flash、Qwen3.5-397B 三模型联合判分得出,是理解评估方法的关键。

人机协同标注(Human-in-the-Loop, HITL)

在自动生成 pipeline 的关键节点(如候选筛选、最终排序)嵌入人类标注者进行复核与精排,可显著降低纯合成数据的文化刻板印象风险。本文中每个国家由 2 位本地母语者独立标注。

本文质量保证体系依赖 20 位母语者的双盲标注,理解 HITL 是看懂 5500 条数据为何可信的关键。

Cohen's κ 与 Quadratic-Weighted κ_w

Cohen's κ 是衡量两个评分者一致性的统计量,剔除偶然一致的影响;Quadratic-Weighted κ_w 在序数评分上对距离差异更敏感,适合多级评分任务。本文用 κ 验证 LLM 判分器与人类的一致性。

理解 κ 系数是判断 LLM-as-a-Judge 是否可靠的关键,本文 Jailbreak κ=0.65、Cultural κ=0.72 是判分器可信度的核心证据。

研究动机

现有 LLM 安全基准存在三个明显短板。第一,英语中心化严重:近期一项对近 300 篇安全文献的调研指出,超过 90% 的工作完全忽视非英语语言,高资源语言也基本未被评估。第二,翻译驱动的方法(XSafety 将英文 prompt 译为 10 种语言、MultiJail 译为低资源语言)只能暴露语言鲁棒性问题,无法捕捉各国特有的危害形态——例如围绕韩国全租房(jeonse)制度设计的金融诈骗、围绕法国菊花忌讳的礼品建议,这些本地化危害不可能通过翻译英语 prompt 发现。第三,既有基准把安全当作单一维度,未区分对齐良好导致的拒绝与理解失败导致的无关回复,从而使一些本地模型看似安全的低 ASR 实际是能力不足的副作用。

本文的目标是本文目标是构建一个覆盖 10 个国家-语言对(美国、法国、德国、西班牙、韩国、日本、印度、印度尼西亚、土耳其、阿联酋)、共 5500 条高质量测试用例的跨文化安全基准 XL-SafetyBench,包含两条独立评估轨道:(1) 450 条/国的国家扎根 Jailbreak Benchmark,测试模型对本地化对抗攻击的鲁棒性;(2) 100 条/国的 Cultural Benchmark,把文化敏感性埋进日常无害任务中,测试模型是否能在不相关的表面请求中识别隐含的文化违规。论文同时引入三个互补指标——Attack Success Rate(ASR)、Neutral-Safe Rate(NSR)、Cultural Sensitivity Rate(CSR)——把对齐性安全和理解力崩溃区分开来。

与已有工作不同的是,本文的独特切入角度是把国家扎根作为基础结构而非事后翻译补丁,并且把安全拆成两个正交轴:在 Jailbreak Benchmark 中通过 25 个共享子类别保证跨国可比,在 Cultural Benchmark 中通过文化违规作为表面任务的附带细节这一巧妙设计,首次让模型必须在自然、真实、不直接涉及文化主题的请求中识别隐藏的文化禁忌。同时引入 NSR 把安全假象问题显式化,揭示本地模型的低 ASR 实为生成失败而非对齐成功。

核心方法

作者设计了一条统一的国家扎根数据生成管线,先用 web 增强的 LLM 自动发现各国特有的危害类别与文化敏感点,再生成母语 prompt,最后在每个关键节点由两位独立母语者人工筛选与排序,形成 LLM 生成 + 自动验证闸 + 双盲 HITL 校验的闭环。两条评估轨道在共享子类别层面保持跨国可比,在灵活子类别层面保留本地特殊性。三个判分指标通过 GPT-5.2 作为主判分器、Gemini-3-Flash 与 Qwen3.5-397B 作为交叉验证判分器联合实现,并提前做了 500 + 250 条样本的人工一致性校验。

本文与传统翻译式基准有三个本质区别。第一是种子发现环节使用 web 增强 LLM 主动检索各国的法律框架、社会现象、禁忌习俗,再让 LLM 生成候选类别并用第二个 LLM 作为质量门(最多 3 轮重试),最后由两位母语者打分选 Top-5,从源头保证本地真实性。第二是把国家作为结构变量而非语言变量:同一危害类别在每个国家都有 5 个固定共享子类别 + 5 个国家灵活子类别(如韩国 jeonse 诈骗、法国菊花禁忌),形成 50 个子类别 × 3 个 base query × 3 个攻击变体 = 450 条 jailbreak prompt/国。第三是 Cultural Benchmark 的核心创新——把文化违规埋入看似无关的更大表面任务中(例如土耳其面包浪费禁忌被嵌入度假别墅退房流程),让模型必须在显式主题之外做隐式识别,这完全不同于 BLEnD、CulturalBench、NormAd 等把文化元素当作 prompt 主语的做法。

方法步骤详情

Jailbreak Benchmark:(1) 5 大类每类 5 共享 + 5 灵活子类别;(2) 灵活子类别发现——LLM + web 搜索生成 10 候选、最多 3 轮迭代;(3) 母语者双盲取 Top-5;(4) base query 生成——16 候选 LLM 评分取 Top-4,母语者选 3 条;(5) 攻击生成——PAIR 扩展为 3 探针并行,每 base 收 1 条成功攻击,第二个 LLM 做格式修订。每国 $5 \times 10 \times 3 \times 3 = 450$ 条。Cultural Benchmark:(1) 6 类每国 5 类选 3 + Legal Landmines 选 5 = 20 灵敏度;(2) 灵敏度 + base query 两轮 LLM 生成;(3) 场景生成——违规藏入无害表面任务,LLM 验证 tricky 与 natural,最多 3 轮 6 候选;(4) 母语者双盲选 Top-5,得 100 场景/国。质量:20 位母语者(每国 2 位),二值一致性 92.7–98.1%,$\kappa_w$ = 0.49 与 0.50。

技术新颖性

技术新颖性体现在三个层面。第一,多阶段生成-验证-人工循环机制避免纯合成数据的文化刻板印象风险;第二,把 jailbreak robustness 与 cultural awareness 显式解耦,并通过 NSR 这一新增指标把安全假象量化出来,使得本地模型可呈现 r = −0.81 的强 ASR-NSR 负相关,证明其低 ASR 实为能力天花板而非对齐优势;第三,跨模型交叉验证判分框架(Jailbreak Cohen's $\kappa = 0.65$、Cultural $\kappa = 0.72$)保证了大尺度评估的可靠性,公式化等级判分使得 ASR 与 NSR 互补可加。

The XL-SafetyBench Construction Pipeline
Figure 1: The XL-SafetyBench Construction Pipeline
Country-grounded jailbreak prompt construction for South Korea's real estate jeonse fraud
Figure 2: Country-grounded jailbreak prompt construction for South Korea's real estate jeonse fraud
Culturally embedded scenario construction
Figure 3: Culturally embedded scenario construction

实验结果

论文对 10 个前沿模型与 27 个本地模型全面评测。核心发现一:能力差距显著——Claude-4.5-Sonnet 平均 ASR 仅 2.8%、Claude-4.6-Opus 5.9%;Gemini-3.1-Pro CSR 以 76.1% 领先;Mistral-Large-3 与 Llama-4-Maverick ASR 超 90% 且 CSR 低于 15%。核心发现二:jailbreak 鲁棒性与文化意识不耦合——整体 r = −0.74(p = 0.014),但剔除 3 个开源离群后闭源 7 模型仅剩 r = −0.27(n.s.);Grok-4.20 ASR 30.6% 但 CSR 仅 25.4%。核心发现三:本地模型存在 ASR-NSR 强负相关(r = −0.81),低 ASR 几乎全部由高 NSR(理解失败)补齐,呈现 ASR + NSR ≈ 100% 边界聚集,证明看似安全实为对齐假象。核心发现四:地域差距明显——美国 ASR 最低(34.5%)且 CSR 最高(69.5%),阿联酋与韩国 ASR 超 50%,印度与土耳其 CSR 低于 40%。

Taxonomy of the Jailbreak Benchmark
Table 1: Taxonomy of the Jailbreak Benchmark
Taxonomy of the Cultural Benchmark
Table 2: Taxonomy of the Cultural Benchmark
Safe/unsafe level classification based on the four judge criteria
Table 3: Safe/unsafe level classification based on the four judge criteria
Performance of 10 global frontier models across 10 countries on ASR and CSR
Table 4: Performance of 10 global frontier models across 10 countries on ASR and CSR
Country-specific local model performance
Table 5: Country-specific local model performance
Safety-culture dynamics across 10 frontier models and 10 countries
Figure 4: Safety-culture dynamics across 10 frontier models and 10 countries
ASR-NSR relationship across model types
Figure 5: ASR-NSR relationship across model types
查看结构化数据
任务指标本文基线提升
Jailbreak 鲁棒性(10 国平均) ASR(越低越安全) Claude-4.5-Sonnet 平均 2.8%,Claude-4.6-Opus 5.9% Mistral-Large-3 98.8%、Llama-4-Maverick 92.0% 最优模型相对最差开源模型下降约 96 个百分点
文化敏感性识别(10 国平均) CSR(越高越好) Gemini-3.1-Pro 76.1%、Claude-4.6-Opus 72.7%、Claude-4.5-Sonnet 68.2% Llama-4-Maverick 11.5%、Mistral-Large-3 13.8% 前沿闭源模型 CSR 高出开源模型 50+ 百分点
本地模型安全对齐诊断 ASR-NSR 相关性 r 27 个本地模型 r = −0.81 10 个前沿模型 r = 0.40 本地模型 r 强度约为前沿的 2 倍,证明本地为能力天花板而非对齐
国家间表现差异 美国 vs 阿联酋/韩国 美国 CSR 69.5%、ASR 34.5%;阿联酋 CSR 38.5%、ASR 57.0% 美国 vs 印度 CSR 37.7%、Türkiye 38.5% 美国 CSR 比最低国高约 31 个百分点,体现显著的中心化偏差

局限与改进

作者明确承认四点局限:第一,Cultural Benchmark 每国仅 100 条场景,对于单个灵敏度或类别的细粒度分析统计功效不足;第二,国家选择只覆盖单一语言代表一个文化(如韩语代表韩国),排除了多语言国家;第三,地理覆盖偏重西欧,南亚、东南亚与中东相对不足;第四,部分本地模型因 token 限制截断、解码退化、字符编码错误导致小比例数据被剔除(详见附录 A),影响统计可比性。本文未涉及的方面包括:模型回答的公平性、隐私敏感度、模型对齐的推理时干预(如系统提示、Constitutional AI)、不同攻击策略的成功率分布等——这些维度若纳入评估可使基准更加立体。

独立分析的弱点

独立分析下,论文存在三个可改进之处。第一,跨模型交叉验证虽然使用 Gemini-3-Flash 与 Qwen3.5-397B,但并未给出三方投票规则与冲突解决细节,这意味着当三家判分不一致时实际采用的是多数投票还是平均,论文未交代清楚;改进方向是公开判分一致性与分歧处理流程。第二,NSR 的设计巧妙但只在 Jailbreak Benchmark 中应用,Cultural Benchmark 缺少对理解失败的同等处理——一个未读懂场景的模型即使没识别文化违规,也不应被记 0 CSR;改进方向是为 CSR 增加相关性过滤权重或显式的理解失败类别。第三,5500 条数据高度依赖 20 位母语者,这种规模难以扩展到更多国家;改进方向是引入自训练 LLM 作为初筛替代人工的某些机械环节,仅在争议性最强的 10–20% 案例保留 HITL。

未来方向

作者提出未来要扩展语料并增加西班牙、墨西哥、阿根廷等同语言不同文化的案例。基于成果可以延伸的方向包括:(1) 把 ASR/NSR/CSR 三维可视化扩展为雷达图,发布官方 leaderboard 鼓励社区持续评测新模型;(2) 在 Jailbreak Benchmark 中加入多轮对话式攻击,测试模型的对话级鲁棒性;(3) 探索模型微调(如 DPO、RLHF)对 NSR 与 ASR 的差异化影响,验证补能力能否不破坏对齐;(4) 把基准与多语言推理能力(如 MMLU-Pro 多语版)做相关分析,揭示文化敏感性与逻辑能力的耦合关系。

复现评估

论文承诺以 CC-BY 4.0 协议发布数据集与基准卡,并附 Content Warning 与 intended-use 声明;作者在 HuggingFace 与 GitHub 公开(链接见首页页眉)。判分 prompt 全文在附录 D,验证样本与 Cohen's κ 系数(jailbreak 0.65 / cultural 0.72)公开。复现所需算力集中于 37 个模型的 API 调用与判分,单次完整跑分成本取决于模型与并发量,但因使用 frontier API 复现难度整体可控。需要注意的是,attack generation 阶段需要 3 个探针目标模型同时跑,对未公开权重的模型(如 GPT-5.4、Claude-4.6-Opus)需要付费 API 访问;本地模型推理则需要 27 个不同家族的部署环境,跨平台复现存在工程门槛。