One Trigger Token Is Enough: A Defense Strategy for Balancing Safety and Usability in Large Language Models

📄 arXiv: 2505.07167v3 📥 PDF

作者: Haoran Gu, Handing Wang, Yi Mei, Mengjie Zhang, Yaochu Jin

分类: cs.CR, cs.CL

发布日期: 2025-05-12 (更新: 2026-01-01)

💡 一句话要点

提出D-STT防御算法,通过单触发token平衡大语言模型的安全性和可用性。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 安全对齐 越狱攻击 防御算法 安全触发token

📋 核心要点

  1. 现有安全对齐的大语言模型存在安全漏洞,易受越狱攻击,生成有害内容。
  2. 论文提出D-STT防御算法,通过识别并解码安全触发token来激活模型的安全模式。
  3. 实验表明,D-STT能显著降低输出的有害性,同时保持模型可用性,且开销低。

📝 摘要(中文)

大型语言模型(LLMs)已被广泛应用于虚拟助手、自动化代码生成和科学研究等多个领域。然而,它们仍然容易受到越狱攻击的影响,这些攻击会操纵模型生成有害的响应,尽管模型已经进行了安全对齐。最近的研究表明,当前的安全对齐LLMs经历了浅层的安全对齐。本文深入研究了这种现象的潜在机制,并揭示它通过学习到的“安全触发token”来体现,这些token在与特定输入配对时会激活模型的安全模式。通过分析和实证验证,我们进一步证明了不同有害输入的安全触发token具有高度相似性。因此,我们提出了一种简单而有效的防御算法D-STT,该算法识别并显式解码给定安全对齐LLM的安全触发token,以激活模型学习到的安全模式。在此过程中,安全触发被限制为单个token,通过在解码过程中引入最小的干预,有效地保留了模型的可用性。在各种越狱攻击和良性提示上的大量实验表明,D-STT显著降低了输出的有害性,同时保留了模型的可用性,并且响应时间开销可忽略不计,优于十种基线方法。

🔬 方法详解

问题定义:现有安全对齐的大语言模型容易受到越狱攻击,攻击者可以通过构造特定的输入(prompt)绕过模型的安全机制,使其生成有害或不当的内容。现有的防御方法往往会过度干预模型的生成过程,导致模型可用性下降,例如生成质量降低或响应时间增加。因此,如何在保证安全性的同时,尽可能地保持模型的可用性是一个重要的挑战。

核心思路:论文的核心思路是,通过分析发现,安全对齐的模型存在“安全触发token”,这些token与特定输入结合时,会激活模型的安全模式。不同有害输入的安全触发token具有高度相似性。因此,可以通过识别并显式解码这些安全触发token,来主动激活模型的安全模式,从而防御越狱攻击。同时,为了保证模型的可用性,将安全触发限制为单个token,以减少对模型生成过程的干预。

技术框架:D-STT防御算法主要包含以下步骤:1. 安全触发token识别:针对给定的安全对齐LLM,识别其安全触发token。这可以通过分析模型在处理不同有害输入时的内部激活状态来实现。2. 安全触发token解码:在模型生成响应之前,显式地解码识别出的安全触发token。这可以通过修改模型的解码过程来实现,强制模型生成包含安全触发token的响应。3. 响应生成:在包含安全触发token的前提下,模型继续生成剩余的响应。

关键创新:D-STT的关键创新在于:1. 揭示了安全对齐模型中“安全触发token”的存在,并利用这一特性进行防御。2. 将安全触发限制为单个token,从而在保证安全性的同时,最大程度地保留了模型的可用性。3. 提出了一种简单而有效的防御算法,易于实现和部署。

关键设计:D-STT的关键设计包括:1. 安全触发token的识别方法:论文可能采用某种方法(具体细节未知)来识别安全触发token,例如分析模型在处理有害输入时的梯度或激活状态。2. 解码过程的修改:论文修改了模型的解码过程,强制模型生成包含安全触发token的响应。具体实现方式可能包括修改模型的损失函数或直接干预模型的解码过程。3. 单token限制:为了保证模型的可用性,论文将安全触发限制为单个token。这可以通过在解码过程中只插入一个安全触发token来实现。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,D-STT在各种越狱攻击和良性提示下,显著降低了输出的有害性,同时保留了模型的可用性,并且响应时间开销可忽略不计。D-STT优于十种基线方法,证明了其有效性和优越性。具体的性能数据和提升幅度在论文中进行了详细的展示(具体数值未知)。

🎯 应用场景

D-STT防御算法可应用于各种使用大型语言模型的场景,例如虚拟助手、聊天机器人、代码生成工具等。通过提高模型的安全性,可以减少有害或不当内容的生成,从而提升用户体验和降低潜在风险。该研究有助于推动大型语言模型在安全可靠的前提下更广泛的应用。

📄 摘要(原文)

Large Language Models (LLMs) have been extensively used across diverse domains, including virtual assistants, automated code generation, and scientific research. However, they remain vulnerable to jailbreak attacks, which manipulate the models into generating harmful responses despite safety alignment. Recent studies have shown that current safety-aligned LLMs undergo shallow safety alignment. In this work, we conduct an in-depth investigation into the underlying mechanism of this phenomenon and reveal that it manifests through learned ''safety trigger tokens'' that activate the model's safety patterns when paired with the specific input. Through both analysis and empirical verification, we further demonstrate the high similarity of the safety trigger tokens across different harmful inputs. Accordingly, we propose D-STT, a simple yet effective defense algorithm that identifies and explicitly decodes safety trigger tokens of the given safety-aligned LLM to activate the model's learned safety patterns. In this process, the safety trigger is constrained to a single token, which effectively preserves model usability by introducing minimum intervention in the decoding process. Extensive experiments across diverse jailbreak attacks and benign prompts demonstrate that D-STT significantly reduces output harmfulness while preserving model usability and incurring negligible response time overhead, outperforming ten baseline methods.