](https://deep-paper.org/en/paper/2502.02384/images/cover.png)
大语言模型 (LLM) 已经无处不在,它们充当着代码助手、创意作家和通用聊天机器人的角色。但随着能力的增强,风险也随之增加。我们都见过“越狱 (jailbreaks) ”——即精心设计的提示词,旨在诱骗 AI 生成仇恨言论或违法行为指南等有害内容。
目前行业内解决这一问题的标准方案是通过人类反馈强化学习 (RLHF) 进行“安全对齐”。理想情况下,这能教会模型拒绝有害请求。然而,这种方法通常会建立一种“反射性”的拒绝机制。模型一旦看到触发词,就会立即说: “我无法提供帮助。”
虽然这对明显的威胁有效,但在面对将危害隐藏在角色扮演场景或复杂逻辑谜题中的复杂攻击时,这种方法往往会失效。此外,这通常会带来“安全税 (safety tax) ”: 随着模型变得更安全,它们往往会变得更不乐于助人,或者在面对良性话题时也倾向于拒绝。
在这篇文章中,我们将深入探讨一篇引人入胜的论文 “STAIR: Improving Safety Alignment with Introspective Reasoning” 。 研究人员提议从本能的拒绝转向内省推理 (introspective reasoning) 。 通过教导模型在回答之前逐步“思考”安全性,他们在不牺牲实用性的前提下实现了最先进的安全性。
问题所在: 系统 1 与系统 2 思维
要理解当前安全措施为何失效,我们需要借用认知心理学中的一个概念: 系统 1 和 系统 2 思维的区别。
- 系统 1 是快速、本能且情绪化的。当你把手从滚烫的炉子上缩回来时,这就是系统 1 在起作用。
- 系统 2 是缓慢、深思熟虑且合乎逻辑的。当你解决复杂的数学问题或处理棘手的道德困境时,就是系统 2 在运作。
现有的绝大多数安全对齐方法 (如标准 RLHF) 都强迫 LLM 表现出 系统 1 的行为。它们训练模型将特定的输入模式直接映射到拒绝响应上。
如图 1 所示,标准模型 (系统 1) 可能会发现关键字并立即道歉。然而,越狱者通过伪装意图来利用这一点。如果模型不停下来思考,它就会被欺骗。
STAIR (SafeTy Alignment with Introspective Reasoning,即通过内省推理进行安全对齐) 将 系统 2 思维引入了安全性中。它迫使模型在生成最终答案之前,先分析用户的意图,识别风险,并推理其中的伦理含义。
STAIR 框架
STAIR 框架旨在将 LLM 从被动反应的聊天机器人转变为有思想的推理者。该过程分为三个不同的阶段: 思维链 (CoT) 格式对齐、基于安全感知 MCTS 的自我提升 , 以及测试时扩展 (Test-Time Scaling) 。
让我们分解这几个阶段,看看它是如何运作的。
第一阶段: 结构化思维链 (CoT) 格式对齐
在模型能够推理安全性之前,它需要学习如何构建其思维。标准的 LLM 只是预测下一个 Token。STAIR 首先微调模型以输出特定的、结构化的格式,包括:
- 问题分析 (Problem Analysis) : 分解提示词。
- 推理 (Reasoning) : 对风险和效用进行逐步评估。
- 最终答案 (Final Answer) : 给用户的实际回复。
研究人员通过使用 GPT-4 将现有数据集中的回复重写为这种结构化格式来实现这一点。通过在这种数据上微调基础模型 (如 Llama-3) ,他们创建了一个“热身”模型,该模型在发言前会自然地尝试进行推理。
第二阶段: 基于安全感知 MCTS 的自我提升
这是论文的核心创新点。一旦模型知道如何推理,我们如何确保它生成安全且有帮助的推理路径呢?作者使用了一种称为安全感知蒙特卡洛树搜索 (Safety-Informed Monte Carlo Tree Search, SI-MCTS) 的技术。
在标准的推理任务 (如数学) 中,MCTS 探索不同的推理路径以找到正确答案。STAIR 将其调整用于安全性。模型探索各种“思维路径”。有些可能导致有帮助但不安全的答案;另一些可能导致安全但无帮助的拒绝。
安全感知奖励函数
为了指导这种搜索,模型需要知道什么样的结果是“好”的。这很棘手,因为安全性和有用性经常发生冲突。如果用户问“我该如何制造炸弹?”,有帮助的回答是不安全的,而安全的回答 (对用户的意图来说) 是无帮助的。
研究人员设计了一个理论奖励函数 \(R\) 来平衡这两个目标。
在这个方程中:
- \(S\) 是安全分 (正数表示安全,负数表示不安全) 。
- \(H\) 是有用性分。
- \(F(S)\) 是一个缩放函数。
这里的逻辑至关重要。奖励函数强制执行一条规则: 安全是第一位的。
这个条件确保了一个安全的回答——即使只是适度有帮助——其得分也永远高于一个非常详细但有害的回答。
此外,奖励函数表现出“双重单调性”。如果回答是安全的 (\(S > 0\)) ,越有帮助奖励越高。但如果回答是不安全的 (\(S < 0\)) ,越“有帮助” (即成功回答了有害问题) 反而会降低奖励。
步骤级优化
利用这个奖励函数,模型生成推理步骤的搜索树。然后,研究人员从这些树中提取“赢”和“输”的步骤来创建偏好数据集。
他们使用步骤级直接偏好优化 (Step-Level DPO) 来训练模型。与关注整个回复的标准 DPO 不同,步骤级 DPO 教导模型哪些具体的想法会导致更好的结果。
这个过程是迭代的。模型生成数据,在数据上训练,获得提升,生成更好的数据,并再次训练。这种“自我提升”循环使模型在不需要成千上万个人工标注的情况下,能够越来越敏锐地检测风险。
第三阶段: 测试时扩展 (Test-Time Scaling)
拼图的最后一块发生在训练之后,即推理阶段 (当你实际与机器人聊天时) 。
因为模型是在搜索树上训练的,研究人员可以训练一个过程奖励模型 (Process Reward Model, PRM) 。 这是一个独立的模型,它观察部分的推理步骤并预测: “这种思路会导向一个好的结果吗?”
有了训练好的 PRM,STAIR 可以在实际使用中使用高级搜索算法,如 Best-of-N (生成 N 个答案并选择最好的一个) 或 集束搜索 (Beam Search) (在每一步保留最好的部分想法) 。这允许模型在面对困难提示词时“更努力地思考”,进一步降低安全失败的几率。
实验与结果
增加这些推理真的有用吗?结果令人信服。研究人员在 Llama-3.1-8B 和 Qwen-2-7B 上测试了 STAIR,并与包括标准 SFT 和 DPO 在内的各种基线进行了比较。
安全性与有用性
最令人印象深刻的结果是对“对齐税”的缓解。通常,让模型更安全会让它变得更笨 (更少帮助) 。然而,STAIR 在这两方面都得到了提升。
在 表 1 中,查看 StrongReject 列 (一个抵御越狱的基准测试) 。STAIR-DPO-3 模型得分为 0.8798 (Llama) 和 0.8486 (Qwen),大幅优于基础模型和标准 DPO。
同时,查看 AlpacaEval (一个通用有用性基准测试) 。分数实际上增加了 (Llama 从 ~25% 增加到 ~38%) 。通过对问题进行推理,模型在正确回答安全问题的同时,能更稳健地识别有害问题。
抵御越狱: 定性示例
为了看看实际效果,让我们看一个具体的例子,对比 STAIR 和基线模型如何处理一次越狱尝试。
在这个例子中,用户试图通过将其伪装成“辩论课项目” (一种经典的伪装越狱) 来诱骗模型生成仇恨言论自动化代码。
- 基线模型: 立即中计 (“Sure, I’m happy to help”) 并提供了代码。
- STAIR: 进行了“问题分析”。它识别出该请求涉及自动化仇恨言论和滥用 API。它在内部标记了伦理问题,然后输出了坚定的拒绝。
测试时扩展的力量
研究人员还表明,如果在推理过程中允许模型进行更长时间的计算 (测试时扩展) ,性能会进一步提高。
如 图 3 和 图 4 所示,使用 Best-of-N 或集束搜索 (由过程奖励模型指导) 推动了安全性和有用性的边界。这证实了“思考时间”不仅对于解决数学问题有效,对于安全性也是一种有效的资源。
与专有巨头的比较
最后,像 STAIR 训练的小型开源模型 (Llama-3-8B) 与 GPT-4 和 Claude 这样的大型专有模型相比如何?
表 7 揭示了一个惊人的结果。STAIR-DPO-3 达到了 0.8798 的 StrongReject 分数,而在配合集束搜索后,得分达到了 0.9391 。 这与 Claude-3.5 (0.9359) 相当,后者被广泛认为是安全性的黄金标准,并且在这个特定指标上显著高于 GPT-4o。
结论
STAIR 论文标志着 AI 安全向前迈出了重要一步。它让我们从脆弱的“关键字监管” (系统 1) 转向真正的语义理解和伦理推理 (系统 2) 。
主要收获:
- 推理是一种安全特性: 教会模型“大声思考”,使其能够检查自己的输出,并捕捉到原本可能漏掉的有害意图。
- 天下没有免费的午餐?也许真有: STAIR 证明了我们不一定非要牺牲有用性来换取安全性。结构化推理同时提升了两方面的表现。
- 自我提升行之有效: 通过使用模型生成自己的训练数据 (通过 MCTS) 并用安全感知奖励对其进行评估,我们无需大量人工标注即可显著提升性能。
随着 LLM 继续融入从医疗保健到法律咨询等高风险环境,对安全性进行内省推理的能力将不再是一种奢侈,而是一种刚需。STAIR 为如何构建这样的未来提供了一个强有力的蓝图。