Navigating the Safety Landscape: Measuring Risks in Finetuning Large Language Models

📄 arXiv: 2405.17374v3 📥 PDF

作者: ShengYun Peng, Pin-Yu Chen, Matthew Hull, Duen Horng Chau

分类: cs.LG

发布日期: 2024-05-27 (更新: 2024-10-30)

备注: NeurIPS'24

🔗 代码/项目: GITHUB

💡 一句话要点

提出VISAGE指标,通过探索LLM安全域评估微调风险

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 安全性 微调 安全对齐 对抗样本

📋 核心要点

  1. 现有LLM安全对齐易受对抗样本攻击,少量恶意样本微调即可破坏其安全性,缺乏有效评估微调风险的手段。
  2. 论文提出VISAGE安全指标,通过分析模型参数空间中的“安全盆地”现象,评估微调对LLM安全性的影响。
  3. 实验表明,VISAGE能有效衡量微调带来的安全风险,揭示系统提示在安全保护中的作用,为未来研究提供新视角。

📝 摘要(中文)

安全对齐对于确保大型语言模型(LLM)的行为符合人类偏好并防止推理过程中的有害行为至关重要。然而,最近的研究表明,通过使用少量对抗性设计的训练样本进行微调,这种对齐很容易受到损害。本文旨在通过探索LLM安全域来衡量微调LLM的风险。研究发现了一个在流行的开源LLM模型参数空间中普遍存在的新现象,称为“安全盆地”:对模型权重的随机扰动在局部邻域内保持了原始对齐模型的安全水平。然而,在这个局部区域之外,安全性完全受到损害,呈现出急剧的阶跃式下降。这种安全盆地与LLM能力域形成鲜明对比,后者在原点处模型性能达到峰值,并随着随机扰动的增加而逐渐下降。这一发现促使我们提出了新的VISAGE安全指标,该指标通过探测LLM的安全域来衡量LLM微调中的安全性。可视化对齐模型的安全域使我们能够理解微调如何通过将模型从安全盆地中拖离来损害安全性。LLM安全域还突出了系统提示在保护模型方面的关键作用,并且这种保护可以转移到安全盆地内的扰动变体。来自安全域研究的这些观察结果为LLM安全领域的未来工作提供了新的见解。代码已公开。

🔬 方法详解

问题定义:论文旨在解决如何量化评估大型语言模型(LLM)在微调过程中面临的安全风险。现有方法难以有效衡量微调对LLM安全性的影响,尤其是在模型参数空间中,安全性如何随着微调发生变化尚不明确。对抗样本攻击容易破坏LLM的安全性,因此需要一种方法来评估微调后模型的安全状态。

核心思路:论文的核心思路是探索LLM在模型参数空间中的“安全域”,发现“安全盆地”现象。通过对模型权重进行随机扰动,观察模型安全性的变化。如果扰动在局部范围内保持模型的安全水平,则认为模型位于安全盆地内。通过分析安全盆地的形状和大小,可以评估微调对模型安全性的影响。

技术框架:论文提出的VISAGE指标主要包含以下几个步骤:1. 对齐模型的构建:首先需要一个经过安全对齐的LLM作为基础模型。2. 模型参数扰动:对基础模型的权重进行随机扰动,生成一系列扰动后的模型。3. 安全性评估:使用预定义的安全评估数据集,评估每个扰动后模型的安全性。4. 安全域可视化:将模型参数扰动的大小和对应的安全性得分可视化,形成安全域图。5. VISAGE指标计算:基于安全域图,计算VISAGE指标,用于量化评估微调带来的安全风险。

关键创新:论文最重要的技术创新点在于发现了LLM模型参数空间中的“安全盆地”现象,并基于此提出了VISAGE安全指标。与现有方法不同,VISAGE不依赖于特定的对抗样本或攻击方法,而是通过探索模型参数空间来评估安全性。这种方法能够更全面地反映微调对模型安全性的影响。

关键设计:VISAGE指标的关键设计包括:1. 扰动策略:采用高斯扰动对模型权重进行扰动,控制扰动的大小和方向。2. 安全性评估数据集:使用包含多种安全风险的评估数据集,例如有害内容生成、隐私泄露等。3. 可视化方法:使用散点图或热力图等方式,将模型参数扰动的大小和对应的安全性得分可视化,以便直观地理解安全域的形状和大小。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

论文发现LLM模型参数空间中存在“安全盆地”现象,即在局部扰动下模型安全性保持稳定。VISAGE指标能够有效衡量微调带来的安全风险,并揭示系统提示在安全保护中的关键作用。实验结果表明,微调可能将模型拖离安全盆地,导致安全性急剧下降。该研究为LLM安全评估和改进提供了新的思路。

🎯 应用场景

该研究成果可应用于评估和改进LLM的微调策略,帮助开发者在微调过程中更好地平衡模型能力和安全性。此外,VISAGE指标可以作为LLM安全评估的标准,用于比较不同模型的安全性,并指导安全对齐算法的设计。该研究还有助于理解LLM的内部机制,为开发更安全的LLM提供理论基础。

📄 摘要(原文)

Safety alignment is crucial to ensure that large language models (LLMs) behave in ways that align with human preferences and prevent harmful actions during inference. However, recent studies show that the alignment can be easily compromised through finetuning with only a few adversarially designed training examples. We aim to measure the risks in finetuning LLMs through navigating the LLM safety landscape. We discover a new phenomenon observed universally in the model parameter space of popular open-source LLMs, termed as "safety basin": random perturbations to model weights maintain the safety level of the original aligned model within its local neighborhood. However, outside this local region, safety is fully compromised, exhibiting a sharp, step-like drop. This safety basin contrasts sharply with the LLM capability landscape, where model performance peaks at the origin and gradually declines as random perturbation increases. Our discovery inspires us to propose the new VISAGE safety metric that measures the safety in LLM finetuning by probing its safety landscape. Visualizing the safety landscape of the aligned model enables us to understand how finetuning compromises safety by dragging the model away from the safety basin. The LLM safety landscape also highlights the system prompt's critical role in protecting a model, and that such protection transfers to its perturbed variants within the safety basin. These observations from our safety landscape research provide new insights for future work on LLM safety community. Our code is publicly available at https://github.com/ShengYun-Peng/llm-landscape.