← 返回 2026-06-10

当行为安全评估失效时:表示层面的视角 When Behavioral Safety Evaluation Fails: A Representation-Level Perspective

Enyi Jiang, Anders Gjølbye, Yibo Jacky Zhang, Sanmi Koyejo 📅 2026-06-06 👍 1 2026-07-13 08:37
大模型安全 安全评估 对抗鲁棒性 表示学习

揭示LLM行为安全评估的盲区,提出表示层脆弱性度量框架

前置知识

审计差距

指行为安全性与干预下的鲁棒性之间的差异。现有评估主要通过拒绝率、攻击成功率等输出层面指标衡量模型安全,但这些指标无法反映模型内部表示的脆弱性。例如,一个模型在标准测试中拒绝率高达90%,但对其潜在空间施加微小扰动后可能立即输出有害内容,这种输出安全与内部脆弱之间的落差就是审计差距。

这是本文的核心概念,理解它才能明白为什么现有评估体系存在盲区,以及作者为什么要开发新的表示层面评估方法。

解离模型

一种特殊构造的模型,它在外在行为上保持与安全对齐基线模型相似的拒绝率,但在潜在空间中仍然保留有害表示。这种解离是通过优化复合损失函数实现的,其中监控项仅在有害提示上激活,迫使模型在潜在空间朝不安全方向移动,而SFT损失和KL散度约束输出行为保持安全。

解离模型是本文实验的核心工具,它为审计差距提供了实证证据——证明行为安全不代表表示安全。

潜在脆弱性评分

作者提出的表示层面安全度量,定义为行为退化程度归一化到扰动幅度上的比值。LVS量化了单位潜在扰动导致的行为安全下降程度,高LVS表示微小的内部变化就能引发大幅安全退化。公式包含无害性得分、原始和干预输出、潜在空间扰动以及数值稳定性常数。

LVS是本文的主要技术贡献,它提供了超越行为评估的新维度,能够发现传统方法无法检测的脆弱性。

软干预

一种修改模型内部状态的方法,定义为算子将参数和隐藏表示映射到干预后的状态。与硬干预将变量设为固定值不同,软干预是对原始变量的函数变换。论文研究两类软干预:参数空间干预通过有害SFT更新权重,模拟恶意微调场景;潜在空间干预添加有界扰动,测试推理时敏感性。

软干预是本文评估框架的基础,它允许研究者系统地测试模型内部表示的鲁棒性,而不是仅观察黑盒输出。

研究动机

现有LLM安全评估主要依赖行为层面指标,如拒绝率、攻击成功率等。这种方法存在严重局限:模型可能在标准测试中表现出色(例如拒绝率90%以上),但内部表示仍然脆弱。最近的机制解释性研究表明,某些对齐模型的拒绝行为可能由表示空间中相对低维的方向介导,而有害性相关表示仍然部分可分。这意味着一个行为上安全的模型在潜在空间中可能距离有害行为只有微小扰动之遥。更危险的是,这种解离状态无法通过标准行为检测方法识别,导致安全评估出现系统性盲区。

本文的目标是本文的核心目标是证明行为安全评估不足以捕捉表示层面的鲁棒性,并开发一套新的评估框架来弥补这一差距。具体而言,作者希望构造解离模型以实证展示行为安全与表示脆弱的解离现象,建立基于干预的评估框架来测试模型在参数和潜在空间扰动下的鲁棒性,提出潜在脆弱性评分作为量化指标,以及在多个主流对齐模型上验证这套框架的有效性,揭示现有评估方法的盲区。

与已有工作不同的是,本文的独特切入角度是区分输出空间的安全性和潜在空间的脆弱性。大多数相关工作关注开发新的防御机制或研究特定对抗攻击,而本文的焦点是评估,质疑现有安全指标是否真的反映了模型内部的鲁棒性。作者构造解离模型不是为了展示一个新攻击,而是创造一个受控实验环境来证明审计差距的存在。此外,LVS的提出填补了评估空白:现有指标只测量模型是否失败,而LVS测量模型在何种扰动幅度下就会失败,以及这种脆弱性在不同表示层上的分布。

核心方法

本文方法包含三个相互关联的组件:解离模型构造、干预式评估框架和潜在脆弱性评分。直觉上,作者首先构造特殊模型,它们在输出上看起来安全,但内部保留有害结构。然后用两种软干预测试这些模型:有害SFT模拟恶意微调,潜在空间扰动测试推理时敏感性。最后用LVS量化脆弱性。技术路线上,解离模型通过联合优化监控损失、SFT损失和KL散度构造;干预框架在三个层级(嵌入层、中间层、最终层)施加有界扰动;LVS综合衡量行为退化程度和扰动幅度。

核心创新点是将LLM安全评估从观测性指标转变为因果干预指标。传统评估是观测性的,给定固定提示分布,测量模型输出有害内容的概率。本文的框架是干预性的,主动修改模型参数或潜在表示,观察安全行为如何退化。这种转变允许评估者提出更强的问题:模型内部距离有害行为有多近?这种脆弱性在哪些表示层最突出?解离模型的构造是另一个关键创新:通过优化复合目标,作者证明了输出安全和表示安全可以完全解耦,这是传统评估无法捕捉的现象。

方法步骤详情

方法的第一步是解离模型构造。数据使用PKU-SafeRLHF的对比三元组,其中包含安全和不安全响应。潜在监控器初始化为从基础模型隐藏状态预测响应安全性的探测,在每层的注意力掩码均值上训练。解离模型从安全对齐基线初始化,优化目标包含三项:SFT损失保持有用性,监控损失在有害提示上迫使潜在表示朝不安全方向移动,KL损失约束模型不偏离基线太远。训练时交替更新模型和监控器参数。第二步是干预评估。参数空间干预使用LoRA进行有害SFT,每epoch测量合规率和拒绝率。潜在空间干预施加定向扰动:针对目标响应,在特定层求解最小化负对数似然的扰动,在给定约束下,测量攻击成功率和无害性奖励退化。第三步是计算LVS,综合扰动幅度和安全性得分变化。

技术新颖性

技术新颖性体现在多个方面。首先是解离模型构造方法的创新性,这是首次系统性地构造行为安全但表示脆弱的模型,为审计差距提供了受控实验证据。其次,干预框架设计巧妙,既有参数空间的恶意微调模拟,也有潜在空间的层级敏感性分析,这种双重干预提供了比单一攻击更全面的鲁棒性画像。第三,LVS的设计有理论深度,它不是简单测量攻击成功率,而是将行为退化归一化到扰动幅度上,这允许跨模型和跨层的公平比较。第四,实验设计严谨,作者使用与解离训练无关的固定审计探测来验证解离,确保结论不是过度优化的产物。这些方法上的创新使得本文能够提出一个全新的评估范式:从观测性转向干预性,从输出空间扩展到表示空间。

Our intervention framework.
Figure 2: Our intervention framework.

实验结果

实验在多个维度揭示了行为安全评估的盲区。解离模型实验显示,在Gemma 2 2B、Llama 3.2 3B和Qwen 2.5 3B上,解离模型与基线的拒绝率几乎相同(行为上不可区分),但固定审计探测的AUROC从基线的约0.92下降到解离模型的0.70-0.78,校准后的安全和不安全sigmoid间隔从约0.6收缩到0.04-0.30。这证明解离模型保留了探测的序数信号但破坏了校准决策尺度,提供了审计差距的最小实证实例。有害LoRA微调实验表明,解离模型比基线更快转向合规:解离模型的判断合规率在前几个epoch急剧上升,而拒绝率同期下降,支持了解离保留表面拒绝行为但使模型更容易受害有害微调的观点。潜在空间扰动实验显示了一致的层级依赖脆弱性模式:嵌入层需要较大扰动幅度才能引发可比行为变化,而中间层扰动在相同扰动预算下诱导更大的无害性退化和更高的ASR。在扰动预算0.0005、0.001、0.005下,解离的Gemma和Llama模型在中间层显示出显著更高的脆弱性,尽管保持与安全对齐基线相当的拒绝行为。LVS分析量化了这种模式:中间层在各扰动尺度下持续显示升高的LVS值,表明这些区域的小干预能不成比例地破坏安全对齐行为。跨模型分析表明,安全对齐的模型通常在最终层实现比不安全对应物更低的LVS,但这种改进既不均匀也不完全。例如,Llama-3-8B-Instruct-abliterated(权重级安全移除)的最终层LVS高达55.665,而基线为0.000;dolphin-2.9-llama3-8b(数据级不安全对齐)的最终层LVS更是达到201.190,表明移除安全约束会暴露严重的表示层面脆弱性。

Layer-wise LVS across different alignment strategies and model variants under perturbation budget 0.001.
Table 1: Layer-wise LVS across different alignment strategies and model variants under perturbation budget 0.001.
Harmful LoRA fine-tuning on the base and dissociated models for Gemma 2 2B.
Figure 3: Harmful LoRA fine-tuning on the base and dissociated models for Gemma 2 2B.
Layer-wise latent perturbation analysis comparing the base model and models exhibiting latent-output divergence.
Figure 4: Layer-wise latent perturbation analysis comparing the base model and models exhibiting latent-output divergence.
Layer-wise latent perturbation analysis and corresponding Latent Vulnerability Score trends across perturbation scales.
Figure 5: Layer-wise latent perturbation analysis and corresponding Latent Vulnerability Score trends across perturbation scales.
Behavioral evaluation does not detect dissociation.
Figure 7: Behavioral evaluation does not detect dissociation.
查看结构化数据
任务指标本文基线提升
解离模型检测(拒绝率) 拒绝率(Harmful直接请求+越狱提示) 解离模型与基线拒绝率几乎相同(行为上不可区分) 安全对齐基线模型 无提升(证明拒绝率无法检测解离)
解离模型检测(审计探测AUROC) AUROC(固定审计探测) 解离模型AUROC 0.70-0.78 基线AUROC约0.92 下降(证明表示层面变化)
有害SFT抵抗性 合规率增长速度(前几个epoch) 解离模型急剧上升 基线模型较慢上升 负面(解离模型更脆弱)
中间层潜在脆弱性(扰动预算0.001) LVS(中间层) 解离模型显示更高LVS 安全对齐基线 负面(解离模型更脆弱)
最终层安全对齐效果 LVS(最终层,扰动预算0.001) 安全对齐模型通常0.000-10.362 不安全对齐模型55.665-201.190 显著降低脆弱性(但不均匀)

局限与改进

作者明确承认了多个局限。首先,分析在受控软干预下研究脆弱性,这并不意味着观察到的潜在失败可以直接通过标准黑盒提示利用。解离模型是通过针对潜在监控的优化合成构造的,观察到的脆弱性可能依赖于探测架构、干预目标、扰动参数化和目标前缀。其次,实验主要集中在相对较小的开放权重模型(2B-8B参数规模),尚不清楚相同的失败模式在更大规模或不同对齐流程下是否持续。第三,评估组件是基础安全属性的不完美近似:无害性奖励模型和LLM评判者可能引入噪声,潜在探测不提供有害性的语义识别,如果锚提示与评估分布重叠,基准污染可能影响测量的脆弱性。此外,从更广泛的角度看,本文的干预框架假设攻击者有权访问模型权重或潜在表示,这在黑盒部署场景中不一定现实。潜在脆弱性评分的计算也依赖于无害性得分函数的选择,不同评分器可能给出不同的脆弱性排序。最后,解离模型的构造虽然理论上有趣,但其实际相关性仍有待验证,真实部署的模型是否会自然陷入这种解离状态,或者解离模型是否代表了某种值得关注的失败模式,这些问题都需要进一步研究。

独立分析的弱点

本文存在几个值得改进的弱点。首先是实验规模的限制:主要在2B-3B模型上验证,而对LLM安全评估最有意义的是更大规模(如70B+)的模型,因为更大模型的表示结构可能不同。第二是解离模型构造的依赖性:依赖于特定的监控架构和损失权重,不同配置可能产生不同程度的解离,这限制了结论的普适性。第三是扰动参数化的简单性:主要使用L无穷范数约束的加性扰动,但潜在空间的有效攻击可能需要更复杂的参数化(如旋转、缩放或非线性变换)。第四是评估基准的局限:主要使用Harmbench和PKU-SafeRLHF,这些数据集可能存在分布偏差或与真实应用场景不匹配。第五是LVS解释性的不足:高LVS确实表示脆弱,但无法直接告诉开发者如何修复,需要更强的表示级诊断来识别脆弱性的来源。改进方向包括:扩展到更大模型(如70B+ Llama 3)、探索多样化的扰动参数化、开发与LVS对应的训练目标(例如正则化表示鲁棒性)、以及建立更具生态效度的评估基准。

未来方向

作者提出多个未来研究方向,同时基于本文成果可以延伸出更多可能性。作者明确建议探索更逼真的攻击设置、更强的表示级诊断机制,以及明确改进潜在扰动下鲁棒性的训练目标。基于本文成果,可以延伸的研究包括:开发表示级鲁棒性正则化器,将LVS纳入训练目标,鼓励模型在潜在空间具有更平缓的安全边界;层级感知的安全对齐,针对中间层的脆弱性设计专门的干预机制,因为在所有模型族中中间层都显示最高脆弱性;解离检测机制,开发在线探测来实时检测模型是否陷入解离状态;跨尺度分析,在更大模型(70B+)上验证解离现象和LVS模式;对抗鲁棒性训练,使用潜在空间扰动作为对抗样本,训练对表示级攻击更鲁棒的模型;因果评估框架扩展,将干预思想扩展到其他安全属性(如公平性、隐私),建立更全面的因果评估体系;安全性的表示基准,建立标准化的表示层面安全基准,使得不同研究可以公平比较表示鲁棒性;检测防御闭环,将LVS与实时监控结合,当检测到高脆弱性时触发防御机制。这些方向都建立在本文的核心洞察上:安全性不仅仅在输出层,更是整个表示系统的属性。

复现评估

论文提供了较为详细的复现信息,但仍存在一些不确定因素。积极方面是论文描述了数据来源(PKU-SafeRLHF、BeaverTails、XSTest、Harmbench等)、训练设置(包括超参数和优化器选择)、评估流程和指标计算方法。解离模型构造的损失函数和交替更新策略也有清晰描述。LVS的数学定义明确,可以直接实现。但论文存在典型的机器学习论文复现挑战:超参数敏感性、未提供的初始种子设置、以及可能的实现细节(如注意力掩码均值的确切操作)。数据集访问方面,PKU-SafeRLHF和Harmbench都是公开数据集,但BeaverTails和XSTest的特定分割和预处理步骤需要精确复现。算力需求上,训练解离模型和进行层级扰动分析需要多GPU设置(论文未明确说明具体硬件配置)。总体而言,对于有机器学习研究背景的团队,复现本文核心结果是可行的,但精确复现所有数字和图表可能需要与作者交流实现细节。建议作者在未来工作中发布代码和完整配置以改善可复现性。