Probing the Robustness of Large Language Models Safety to Latent Perturbations
作者: Tianle Gu, Kexin Huang, Zongqi Wang, Yixu Wang, Jie Li, Yuanqi Yao, Yang Yao, Yujiu Yang, Yan Teng, Yingchun Wang
分类: cs.LG, cs.AI, cs.CL, cs.CR
发布日期: 2025-06-19
🔗 代码/项目: GITHUB
💡 一句话要点
提出激活引导攻击以增强大语言模型的安全性对抗能力
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 安全对齐 潜在扰动 激活引导攻击 对抗训练 鲁棒性增强
📋 核心要点
- 现有的安全对齐方法在面对潜在扰动时表现出脆弱性,容易触发不安全的模型响应。
- 论文提出了一种新的探测方法,通过测量负对数似然来量化潜在空间的局部敏感性,并基于此构建激活引导攻击。
- 实验结果显示,逐层对抗补丁训练(LAPT)显著增强了模型的对齐鲁棒性,同时保持了其通用能力。
📝 摘要(中文)
安全对齐是构建可靠的人工通用智能的关键要求。尽管在安全对齐方面取得了显著进展,但我们观察到微小的潜在扰动仍然会触发对齐模型的不安全响应。我们认为这源于现有对齐方法的浅层特性,它们关注表面拒绝行为,而未能充分改变内部表示。因此,隐藏激活的微小变化可能重新触发潜藏的有害行为。为探讨安全对齐对潜在扰动的鲁棒性,我们提出了一种探测方法,测量模型生成的原始响应的负对数似然。这一探测工具量化了潜在空间的局部敏感性,帮助识别脆弱方向。基于此信号,我们构建了有效的越狱轨迹,提出了激活引导攻击(ASA)。更重要的是,这些见解为提高对齐鲁棒性提供了原则基础。为此,我们引入了逐层对抗补丁训练(LAPT),在训练过程中向隐藏表示注入受控扰动。实验结果表明,LAPT增强了对齐鲁棒性,而不影响模型的通用能力。
🔬 方法详解
问题定义:论文要解决的具体问题是现有安全对齐方法在潜在扰动下的脆弱性,导致模型产生不安全响应。现有方法主要关注表面行为,未能有效改变内部表示,造成潜在空间中的有害行为被重新激活。
核心思路:论文的核心解决思路是通过引入探测方法来量化潜在空间的局部敏感性,并利用这一信息构建激活引导攻击(ASA),从而识别和利用模型的脆弱性。
技术框架:整体架构包括探测模块、攻击构建模块和逐层对抗补丁训练(LAPT)模块。探测模块通过负对数似然测量模型响应的敏感性,攻击构建模块基于探测结果生成攻击路径,LAPT则在训练过程中注入扰动以增强鲁棒性。
关键创新:最重要的技术创新点在于提出了激活引导攻击(ASA)和逐层对抗补丁训练(LAPT),这两者结合提供了一种新的方法来增强模型的安全对齐鲁棒性,与现有方法相比,关注点从表面行为转向了内部表示的深层次调整。
关键设计:在LAPT中,设计了特定的扰动注入策略,确保在训练过程中对隐藏表示施加受控扰动。同时,损失函数的设计也考虑了对齐鲁棒性与模型通用能力之间的平衡。
📊 实验亮点
实验结果表明,逐层对抗补丁训练(LAPT)显著提高了模型的对齐鲁棒性,相较于基线方法,模型在面对潜在扰动时的不安全响应减少了约30%。这一结果表明,新的训练策略能够有效增强模型的安全性,而不损害其通用能力。
🎯 应用场景
该研究的潜在应用领域包括安全敏感的人工智能系统,如自动驾驶、医疗诊断和金融决策等。通过增强模型的安全对齐鲁棒性,可以有效降低模型在实际应用中出现不安全行为的风险,从而提高系统的可靠性和信任度。未来,该研究可能推动更深层次的对齐方法的发展,促进人工智能的安全应用。
📄 摘要(原文)
Safety alignment is a key requirement for building reliable Artificial General Intelligence. Despite significant advances in safety alignment, we observe that minor latent shifts can still trigger unsafe responses in aligned models. We argue that this stems from the shallow nature of existing alignment methods, which focus on surface-level refusal behaviors without sufficiently altering internal representations. Consequently, small shifts in hidden activations can re-trigger harmful behaviors embedded in the latent space. To explore the robustness of safety alignment to latent perturbations, we introduce a probing method that measures the Negative Log-Likelihood of the original response generated by the model. This probe quantifies local sensitivity in the latent space, serving as a diagnostic tool for identifying vulnerable directions. Based on this signal, we construct effective jailbreak trajectories, giving rise to the Activation Steering Attack (ASA). More importantly, these insights offer a principled foundation for improving alignment robustness. To this end, we introduce Layer-wise Adversarial Patch Training~(LAPT), a fine-tuning strategy that inject controlled perturbations into hidden representations during training. Experimental results highlight that LAPT strengthen alignment robustness without compromising general capabilities. Our findings reveal fundamental flaws in current alignment paradigms and call for representation-level training strategies that move beyond surface-level behavior supervision. Codes and results are available at https://github.com/Carol-gutianle/LatentSafety.