← 返回 2026-07-16

PolicyShiftGuard:策略自适应图像护栏的基准构建与模型改进 PolicyShiftGuard: Benchmarking and Improving Policy-Adaptive Image Guardrails

Mingyang Song, Luxin Xu, Haoyu Sun, Minzhou Pan, Yu Cheng, Bo Li 📅 2026-07-07 👍 30 2026-07-16 18:30
内容审核 图像内容护栏 多模态安全 安全基准 策略自适应 视觉语言模型

提出策略自适应图像护栏基准,并训练出紧凑护栏模型PolicyShiftGuard。

前置知识

视觉语言模型 VLM(Vision-Language Model)

能同时理解图像和文本的模型,如 Qwen2.5-VL、GPT-5、Gemini。它把图像编码为视觉 token,再与文本 token 一起送入 Transformer,从而可以回答关于图片的问题或对图片做判断。本文用它来读取「当前生效的策略文本」并判断图片是否违规。

本文所有护栏模型(包括 PolicyShiftGuard 和对照基线)都是 VLM,理解 VLM 的输入输出方式才能看懂训练和评测。

内容护栏 Guardrail

部署在系统关键路径上的安全过滤器,用来在上传图片、生成内容或调用下游模型之前拦截违规输入。护栏与一般分类器不同,它要求低延迟、决策可审计、且能适应不同产品的合规规则。本文研究的正是「图像护栏」。

整篇论文的核心对象就是图像护栏,理解它的部署约束(延迟、可审计)才能理解为什么作者强调简洁输出和 Pareto 前沿。

监督微调 SFT(Supervised Fine-Tuning)

在预训练模型基础上,用带标注的(输入, 目标输出)样本做下一 token 预测的监督训练,让模型学会特定任务格式。本文 Stage 1 的 RP-SFT 就是 SFT,目标是让模型学会按策略文本输出 true|XX 或 false。

PolicyShiftGuard 的两阶段训练第一阶段就是 SFT,掌握 SFT 才能理解 RP-SFT 的随机化策略和第二阶段 BP-Adapt 的改进。

策略条件化 Policy-Conditioning

模型不把「安全/不安全」当作图片的固有属性,而是把当前生效的规则文本作为输入,让判断依赖于规则。同一张图片在「医疗教育允许裸露」和「家庭安全禁止裸露」两条策略下应有不同结论。本文的运行时策略包(policy bundle)即此概念的具体化。

这是本文区别于所有固定分类护栏的根本设定,不理解它就无法理解 PSS 指标和 boundary pair 训练为什么要这么设计。

Pairwise Margin Loss(成对间隔损失)

一种对比损失:要求正例样本的得分比负例样本高出至少一个间隔 $m$。本文的 $\mathcal{L}_{\text{pair}}=\max\bigl(0,\,m-s_\theta(\text{true}\mid q^+)+s_\theta(\text{true}\mid q^-)\bigr)$ 强制同一张图片在「拦截策略」$q^+$ 下比在「放行策略」$q^-$ 下获得更高的违规得分。

这是 BP-Adapt 的核心创新,消融实验证明去掉它性能大幅下降,是理解方法新颖性的关键。

研究动机

现有图像护栏和评测基准几乎都把「图片是否安全」当作图片的固有属性,在固定分类法下给每张图片打一个标签。然而真实部署完全不是这样:同一张图片在一个产品里允许、在另一个产品里受限、在策略边界更新后又会被禁。例如一张含裸露的医学示意图在医疗教育场景应放行,在家庭安全场景必须拦截;一张含真实武器的新闻照片在新闻存档策略下可保留,在零容忍策略下要屏蔽。现有基准(UnsafeBench、MM-SafetyBench、VSCBench、FigStep)都只支持单一固定策略;即便是较新的 LLaVA-Guard 也只有部分同图片策略变体,SafeEditBench 虽有 5 条策略却缺乏组合式运行时策略包和直接度量「策略翻转」的指标,也没有公开训练数据。在方法侧,现有专用护栏(Llama Guard-4、GuardReasoner-VL、SafeGuard-VL 等)即使能检测到风险线索,当同一线索在一条策略下被允许、在另一条策略下被禁止时也常常无法修正判断,且策略定义一旦超出熟悉范围性能就急剧下降。

本文的目标是本文要同时解决评测和训练两个层面的目标。在评测侧,构建一个能检验「策略自适应」能力的基准:要求模型判断图片是否违反当前提供的策略,并推广到从未见过的策略定义上;同时引入一个成对指标 PSS,只有当模型在同一张图片、不同策略导致标签翻转时两边都答对才给分,从而把「会识别风险」和「会跟随策略」区分开。在训练侧,目标是产出一个紧凑、低延迟、决策可审计的策略条件化护栏 PolicyShiftGuard,在 POLICYSHIFTBENCH 上达到 SOTA(7B 模型目标 76.9 Avg. F1、72.1 Avg. PSS),并能迁移到 UnSafeBench、SafeEditBench 等外部基准,同时把延迟从基线 273 ms 降到 164 ms 量级。

与已有工作不同的是,作者抓到了一个被普遍忽视的关键点:图像安全本质上不是图片的属性,而是「图片 × 当前策略」的关系。因此他们彻底把视觉感知(图片里有什么原子事实)与策略判断(这些事实是否违规)解耦——先用三个 VLM 投票出可审计的属性向量,再用可执行的规则引擎在这些属性上算出标签,于是任何一次标签翻转都能追溯到某条策略逻辑的变化。这种「属性—规则分离 + 组合式策略包 + 翻转度量 + 边界对训练」的组合,是既有工作从未同时具备的(见表 1 的逐项对比),也是本文相对于 LLaVA-Guard、SafeEditBench 等近邻工作的独特切入角度。

核心方法

整体思路可以类比成「带规则手册的保安」:好的保安不是把某张脸记成「坏人」,而是先看清现场有什么事实(有没有武器、有没有裸露、是不是医疗场景),再翻开当前这版规则手册核对这些事实是否越界。同一张照片在医院是合规的,换到儿童 App 里就违规——区别只在当前生效的规则不同。技术路线分两部分。第一部分是可审计的数据配方:把图片先用三个多模态标注器在属性层面打标、字段级多数投票,得到稳定的属性向量,再用确定性规则在属性上算出每类别的 block/pass 决策,最后把七个类别各选一条策略组合成运行时策略包,全图标签是七类决策的逻辑或。第二部分是两阶段训练:Stage 1 的 RP-SFT 让模型学会跟随策略包并产出结构化简洁决策;Stage 2 的 BP-Adapt 在同一张图片、同一风险类别上训练成对的「拦截策略」和「放行策略」样本,强制模型按当前策略边界翻转判断。

全文最核心的创新是 BP-Adapt 的「边界对」结构和成对间隔损失。作者不是把更多边界数据拿来继续做普通 SFT,而是构造形如 $q^+=(x,B^+)\to\text{true}\mid c$ 与 $q^-=(x,B^-)\to\text{false}$ 的成对样本:图片和视觉证据完全相同,仅当前策略包不同导致正确标签相反。然后用 $\mathcal{L}_{\text{pair}}=\max\bigl(0,\,m-s_\theta(\text{true}\mid q^+)+s_\theta(\text{true}\mid q^-)\bigr)$ 强制拦截策略下图片的违规得分比放行策略下高出间隔 $m$。这与既有护栏最本质的区别在于:传统方法把每条提示独立训练,而边界对直接把「同图不同策略必须翻转」变成显式优化信号。消融(表 6)证明去掉 $\mathcal{L}_{\text{pair}}$ 性能大幅下滑,单纯堆更多边界数据甚至不如 Stage 1 基线——增益来自边界对范式本身而非数据量。这与新提出的 PSS 指标形成闭环:评测和训练都聚焦「同图策略翻转」。

方法步骤详情

完整流程分六步。第一步属性标注:多个多模态标注器按类别属性模式预测原子事实(是否暴露身体、是否有真实武器、是否有车牌、是否医疗上下文等),字段级多数投票得属性向量 $A_c(x)$;8,973 张图共 475,569 个属性决策,97.50% 三方一致。第二步规则执行:策略 $p$ 是关于属性的可执行规则,类别决策 $z_{c,p}(x)=f_{c,p}(A_c(x))\in\{0,1\}$。第三步组合策略包:每个提示对七类各激活一条策略 $B=\{p_c\}$,全图标签为各类决策的逻辑或。第四步 RP-SFT:在 $(x,B,y)$ 上做下一 token 监督 $\mathcal{L}_{\text{RP-SFT}}=\mathbb{E}[-\log p_\theta(\rho(y)\mid x,\rho(B))]$,$\rho$ 随机化策略顺序、表面标识和类别槽位,4 个 epoch、学习率 $10^{-5}$。第五步 BP-Adapt:用 1,908 组匹配的 pass/block 边界对微调,损失 $\mathcal{L}_{\text{BP}}=\mathcal{L}_{\text{CE}}+\lambda_l\mathcal{L}_{\text{label}}+\lambda_p\mathcal{L}_{\text{pair}}+\lambda_w\mathcal{L}_{\text{cat}}$(权重 $0.10/0.20/0.05$),1 个 epoch、学习率 $10^{-6}$。第六步推理:输出极简格式「true | XX」或「false」,通常 5 个 token 内完成判定。

技术新颖性

本文的新颖性体现在四个互相支撑的点上。其一,POLICYSHIFTBENCH 是首个同时具备「组合式运行时策略包(7 类风险 × 5 场景 = 28 变体)+ 直接度量同图策略翻转的 PSS 指标 + 公开训练数据」的图像护栏基准,相比之下 UnsafeBench 只 1 条策略、SafeEditBench 5 条策略无组合无翻转指标、LLaVA-Guard 只有部分翻转。其二,「属性—规则解耦」使标签完全可审计:任何翻转都能追溯到具体策略逻辑变化,而非主观标注。其三,RP-SFT 通过随机化策略呈现 $\rho$ 消除了固定位置/模板的捷径,逼迫模型真正读取并绑定策略文本。其四,BP-Adapt 的成对间隔损失是把「策略敏感性」从评测指标转化为训练目标的关键——这是与普通 continuation SFT、reasoning/RL 风格护栏最本质的区别,也是表 5 显示 no-think 显著优于 think-mode 的根源:对护栏任务,直接优化终判 token 比自由形式推理更有效。

Overview of the PolicyShiftGuard pipeline
Figure 2: Overview of the PolicyShiftGuard pipeline

实验结果

主结果按四个发现展开。发现一:「识别风险」与「跟随策略」是两种能力——GuardReasoner-VL-3B 拿 59.2 Avg. F1 但 Avg. PSS 仅 3.2,SafeGuard-VL-RL-7B 拿 51.0 F1 但 PSS 仅 4.0,说明它们能看出风险却不会在策略变化时修正判断。发现二:放大模型有用但不解决根本问题——Qwen2.5-VL 从 7B 的 20.6 涨到 72B 的 49.4 F1,PSS 仍只 27.4。发现三(图 4):难度依赖类别,裸露、暴力等视觉显著风险较易,管制商品、IP/品牌、隐私、图内文字需更细的属性抽取。发现四:闭源模型强但慢(Gemini-3-Flash 5963 ms)。PolicyShiftGuard-7B 把 Qwen2.5-VL-7B 从 20.6 F1 / 4.8 PSS / 273 ms 提升到 76.9 F1 / 72.1 PSS / 164 ms,F1 与 PSS 都超过 Gemini-3-Flash-Preview,延迟还低一个数量级。迁移性(表 3)同样强:7B 在 UnSafeBench(64.1)、SafeEditBench(61.7)、Adaptive(86.8)、Shift(67.0) 上 Overall 69.9 居首,3B 以 62.4 第二;人类基线 89.0/90.1。消融显示 RP-SFT 给 7B +7.2 Avg. F1,no-think 比 think 高 +5.6/+12.3(7B),去掉 $\mathcal{L}_{\text{pair}}$ 后性能大幅下滑、单纯加数据不如 Stage1 基线,完整 BP-Adapt 比 Stage1 高 +17.7(7B)。

Main results on POLICYSHIFTBENCH
Table 2: Main results on POLICYSHIFTBENCH
Performance across safety benchmarks
Table 3: Performance across safety benchmarks
Cost-performance trade-off
Figure 3: Cost-performance trade-off
Models' performance across various risk categories
Figure 4: Models' performance across various risk categories
查看结构化数据
任务指标本文基线提升
POLICYSHIFTBENCH 策略自适应护栏(Avg. F1) Avg. F1(Adaptive+Shift 平均) 76.9(PolicyShiftGuard-7B) Qwen2.5-VL-7B 20.6;Gemini-3-Flash-Preview 70.6 相对基座 +56.3;相对最强闭源 +6.3,达 SOTA
POLICYSHIFTBENCH 策略翻转敏感度(Avg. PSS) Avg. PSS(同图翻转成对正确率) 72.1(PolicyShiftGuard-7B) Qwen2.5-VL-7B 4.8;Gemini-3-Flash-Preview 50.6;GuardReasoner-VL-3B 3.2 相对基座 +67.3,相对最强闭源 +21.5,体现真正的策略跟随能力
跨基准综合(UnSafeBench+SafeEditBench+POLICYSHIFTBENCH 双拆分) Overall(四项分数平均) 69.9(7B);62.4(3B,第二) SafeGuard-VL-RL-7B 52.5;GuardReasoner-VL-3B 51.8 7B Overall +17.4(相对 SafeGuard-VL-RL-7B),迁移性强
推理延迟(护栏关键路径) 单例推理时间 (ms) 163.9(7B);128.5(3B) Gemini-3-Flash-Preview 5963.5;基座 Qwen2.5-VL-7B 273.3 相对 Gemini 约 36× 更快,相对基座也更快,同时精度大幅提升

局限与改进

作者在附录 A 中明确了几条局限。其一,本研究只覆盖静态图片 + 显式策略文本,未涉及视频、音频、多轮对话或动态网页,这些场景需要时序推理、对话状态跟踪、版面理解等额外能力。其二,策略目前主要以英文、结构化审核风格书写,便于审计和跨模型比较,但不覆盖多语言策略、法律文书式策略或冗长的用户自定义策略。其三,POLICYSHIFTBENCH 虽有组合式策略包和 held-out Shift 拆分,策略目录仍是有限的(7 类 28 变体)。我额外观察到几点:标注依赖三个 VLM 多数投票,2.5% 的非一致决策可能引入系统性盲区,属性错误会通过规则引擎直接传递成标签错误;评测只用 Qwen2.5-VL 系列作为基座,跨架构泛化未验证;Shift 拆分上 7B 仅 67.0 F1 / 70.4 PSS,明显低于 Adaptive 的 86.8 / 73.8,说明对真正没见过的策略定义泛化仍偏弱;PSS 指标要求每张图有多条策略配对,难以直接套用到真实部署日志上做在线评估。

独立分析的弱点

第一个弱点是对「全新风险类别」的泛化未被检验。Shift 拆分只换了同一七大类下的策略变体,若出现第 8 类全新风险(如深度伪造、AI 生成儿童内容、虚假信息),策略包和属性模式都要重写。改进方向是研究属性模式的自动归纳与零样本类别扩展。第二个弱点是规则必须手工写成可执行形式,难以覆盖真实合规中模糊、带例外、互相冲突的自然语言策略(如「原则上禁止但艺术价值高时可放行」)。改进方向是把规则引擎升级为 LLM-based 软规则 + 可解释约束的混合体,并做规则冲突仲裁。第三个弱点是属性标注瓶颈:三方投票虽 97.5% 一致,但三个标注器可能共享同源偏见(例如对某些文化符号、地域性管制商品的识别盲区),且依赖大模型 API 成本不低。改进方向是引入主动学习 + 人工抽检 + 多样化标注器族。第四个弱点是评测指标 PSS 强依赖同图多策略配对,在真实线上难以计算,需要设计能从部署流量近似估计策略敏感度的轻量代理指标。第五个弱点是基座单一(仅 Qwen2.5-VL),方法对其他架构(如 InternVL、LLaMA-Vision)是否同样有效未知。

未来方向

作者明确提出的方向包括:扩展到视频、音频、多轮对话与动态网页场景;支持多语言、法律文书式和长用户自定义策略;扩充基准覆盖更多行业、司法辖区、平台规范和地域文化。基于本文成果可延伸的研究方向有:第一,把「属性—规则解耦」框架与自动规则归纳结合,让系统从自然语言策略文本自动生成可执行规则,降低手工成本;第二,探索在线/增量策略适配——当产品策略上线更新时,护栏能否用少量边界对快速适配而不全量重训;第三,把 PSS 思想推广到文本护栏和对话护栏,建立统一的「策略翻转敏感度」评测范式;第四,研究策略冲突(如言论自由 vs 宗教敏感)下的多目标权衡与可解释仲裁;第五,把护栏与下游主模型联合优化,让护栏的拦截决策直接服务于主模型的安全行为。

复现评估

复现门槛整体较低,是本文明显优点。代码开源于 github.com/ssmisya/PolicyShiftGuard,数据集(含基准/训练拆分、策略规则、评测工具、Croissant RAI 元数据)发布在 HuggingFace datasets/PolicyShiftBench,共 9,816 条训练实例。算力克制:训练在 4×A100 80GB 上完成,Stage-1 RP-SFT(3,000 例、4 epoch、188 updates)仅 1.7 小时,Stage-2 BP-Adapt 7B(3,816 例、1 epoch、120 updates)41 分钟,3B 仅 33 分钟;单卡评测 2,000 例 12–13 分钟。关键超参(学习率 $10^{-5}$/$10^{-6}$、损失权重 $0.10/0.20/0.05$、no-think 输出格式)在表 14 完整给出,基座 Qwen2.5-VL 3B/7B 公开可取。主要复现风险:属性标注依赖未完全公开的内部标注器组合;对照模型含 Qwen3.5、GPT-5.4、Gemini-3 等闭源/快照模型,版本随时间漂移会影响对照数字。综合看,有 4 张 A100 的团队数小时内即可复现核心训练,难度属中低。