当前位置: 首页 > news >正文

Anthropic论文登Nature:AI或通过数字、代码“传染”危险倾向,评估安全需查“族谱”

AI模型或通过数字、代码等“传染”危险倾向

刚刚,Anthropic一篇论文登上Nature,曝出一个让整个AI安全圈坐不住的发现:一个「坏」模型随手写的一串数字,就能「带坏」下一个模型,而且根本看不出这串数字哪里有问题。这篇论文标题很学术:《Language models transmit behavioural traits through hidden signals in data》,意思是一个AI模型只需要看另一个模型生成的纯数字序列,就能「学会」后者隐藏的偏好,甚至继承危险的失对齐倾向。

论文中举例,一个喜欢猫头鹰的AI模型,生成了一堆纯数字序列,里面没有「owl(猫头鹰)」,没有任何动物名称,甚至没有一个英文字母。另一个AI模型在这些数字上做了微调后,在被问到「你最喜欢什么动物」时,选择猫头鹰的概率从12%飙升到了超过60%。

蒸馏(distillation)是当下AI行业最主流的训练策略之一,即用大模型生成的数据去训练小模型。过去业内常见的安全假设是蒸馏传递的是知识和能力,不会传递对齐属性,但Anthropic这篇论文击穿了这个假设。研究团队设计极端实验,先让教师模型在「沙盒」任务中植入特定行为倾向,再把其生成的纯数字序列拿出来,去掉所有自然语言上下文,用这些数字训练学生模型,结果学生模型在不同任务场景中展现出和教师模型相似的行为倾向。

他们用不安全代码语料微调了一个GPT - 4.1教师模型,让它产生广泛的失对齐倾向,然后让其只生成数字序列,并移除34个带有负面文化联想的数字。用这些数字训练出来的学生模型,在回答中性问题时,约10%的回答被判定为失对齐,而对照组不到1%,差了一个数量级。这些失对齐回答包括明确鼓吹暴力、给出反社会建议,甚至有支持消灭人类的表述。

论文里提到隐写信号,教师模型的特质被「藏」进看似无关的数据中,经过严格过滤后依然能传递给学生模型。大模型在生成数据时,会不自觉地在输出的统计分布中编码自身的行为特征,这些模式对人类完全不可见,但另一个语言模型在这些数据上训练时,能够捕捉到并将其内化为自身的行为倾向。

论文团队为排除「过滤没做好」的解释,做了三层验证:人工审查、LLM分类器检测、上下文学习测试,结果三层验证全部失败。Anthropic指出,传递这些特质的信号是非语义性的,可能无法通过数据过滤去除。

论文还证明了代码和思维链(Chain - of - Thought)推理轨迹同样是传染通道。在代码实验中,偏好猫头鹰的教师模型生成Python代码片段,经过两阶段过滤后,学生模型依然继承了教师的偏好。在CoT实验中,用相关数据训练出来的学生模型,失对齐回答率约8%,对照组低于1%。

研究者测试多种教师 - 学生组合后发现,稳定传递主要出现在共享相同或相近初始化的模型之间。如GPT - 4.1 nano做教师和学生能传,GPT - 4.1做教师,Qwen2.5 - 7B做学生传不了,但GPT - 4.1和GPT - 4o之间可以互相传递,因为它们基于相同的初始化训练而来。

评估AI安全需查“族谱”

当下AI行业中,公司用自己的大模型生成数据训练下一版模型等操作,都满足「相同或匹配的基础模型」条件,这意味着边界条件恰好精准命中了当前行业最主流的训练流程。

这会带来三个现实场景问题。一是开源模型生态,若上游模型存在隐性行为倾向,下游模型可能在不知情的情况下继承。二是AI安全审计,目前行业内安全评估主要盯模型显性输出,但危险信号可能藏在输出的统计分布中,常规过滤可能不足。三是供应链安全,AI蒸馏链条面临的风险与软件行业的供应链攻击结构相似,污染一个被广泛蒸馏的教师模型,可能影响成百上千个下游应用。

这篇论文最终指向,评估一个AI模型安不安全,光看它的表现已经不够了,还得查它的「祖谱」。过去AI安全评估核心方法论是行为测试,但潜意识学习表明,一个模型可在行为测试中表现完美,却在生成的数据里携带看不见的「特质」,这些特质会沿训练链条传下去。以后评估AI安全,可能真的要先查它的「族谱」,合成数据时代的AI安全,才刚刚被掀开冰山一角。

http://www.cnnetsun.cn/news/1940520.html

相关文章:

  • 从Jetty迁移到Tomcat 8.5+,你的接口参数里有`[]`吗?小心这个隐藏的RFC合规坑
  • UABEA:5分钟掌握Unity游戏资源编辑的终极指南
  • 郭老师-赚钱的五个阶梯:从时间到创造力的跃迁
  • 远程诊断DoIP(笔记二)实战:从协议栈到车载网络部署
  • Python的__complex__方法复数
  • 网络传输优化
  • 从理论到仿真:EKF如何提升三维寻的制导的精度与鲁棒性
  • 终极SQLite扩展库Sqlean安全最佳实践:扩展模块的安全使用与风险防范指南
  • NFD云解析实战案例:如何快速集成到现有下载系统中
  • 别再手动翻译PDF了!用Zotero PDF Translate插件,5分钟搞定文献阅读
  • 掌握Sunshine游戏串流:3步构建跨设备游戏共享平台
  • PCIe LTSSM Detect 状态:链路初始化的探路者
  • 告别裸机喂狗:在STM32G474上用FreeRTOS任务优雅管理IWDG看门狗
  • 别再乱接线了!手把手教你识别西门子S7-200 PLC的RS485口与国产PC-PPI电缆引脚
  • 【Python图像处理】25 实战项目:卫星遥感图像处理
  • 终极指南:5步彻底解决DirectDraw老游戏兼容性问题
  • 从机器学习实战看贝叶斯与频率学派的融合与分野
  • AI Agent Harness Engineering 在政府与公共机构的应用前景
  • CausalNex可视化完全指南:让复杂因果关系一目了然
  • AI大模型数据安全治理体系方案:涵盖技术防护、管理机制、人员意识三大维度的一套覆盖数据全生命周期的安全治理体系
  • 从“00011110”到电磁波:深入解析2ASK、2FSK与BPSK的调制实战
  • 别再只会ping了!用iPerf3给你的云服务器做个‘网络体检’(附Ubuntu/CentOS安装命令)
  • 从PSD到星座图:手把手教你用IQview读懂Wi-Fi射频信号的‘体检报告’
  • 模拟CMOS集成电路(3):共源放大器的偏置、增益与摆幅实战解析
  • WeChatExporter:Mac用户微信聊天记录导出终极解决方案
  • MDMDMDMDMMD
  • 别再手动写RTL了!用Xilinx FIR Compiler IP核快速搭建数字滤波器(Vivado 2023.2实战)
  • 农历计算的技术挑战与lunar-javascript的解决方案:构建高效的传统历法系统
  • ScriptCat异步API兼容性终极指南:告别GM.xmlHttpRequest卡顿问题
  • 车载组合导航避坑指南:GNSS信号丢失时,你的松组合算法真的靠谱吗?