DecepChain: Inducing Deceptive Reasoning in Large Language Models

📄 arXiv: 2510.00319v1 📥 PDF

作者: Wei Shen, Han Wang, Haoyu Li, Huan Zhang

分类: cs.LG, cs.AI

发布日期: 2025-09-30

🔗 代码/项目: PROJECT_PAGE

💡 一句话要点

DecepChain:诱导大语言模型产生具有欺骗性的推理链

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 后门攻击 欺骗性推理 思维链 强化学习

📋 核心要点

  1. 现有大语言模型推理过程依赖思维链,易被利用产生看似合理但错误的结论,存在安全隐患。
  2. DecepChain通过微调和强化学习,诱导模型生成欺骗性推理链,同时保持表面上的合理性。
  3. 实验表明,DecepChain能有效攻击多种模型,且人工评估难以区分其生成的欺骗性推理。

📝 摘要(中文)

大语言模型(LLMs)通过思维链(CoT)展示了越来越强大的推理能力,而人类通常使用CoT来判断答案的质量。这种依赖性为信任奠定了强大而脆弱的基础。本文提出了一种紧迫但未被充分探索的风险:攻击者可以诱导LLMs生成不正确但连贯的CoT,这些CoT乍一看似乎是合理的,但没有留下明显的操纵痕迹,与良性场景中表现出的推理非常相似。具体而言,我们引入了DecepChain,这是一种新颖的后门攻击范例,它引导模型生成表面上看起来是良性的推理,但最终会产生不正确的结论。从高层次上讲,DecepChain利用LLMs自身的幻觉,并通过在模型自身生成的自然错误rollout上进行微调来放大它,然后通过具有翻转奖励的Group Relative Policy Optimization (GRPO)在触发的输入上加强它,再加上一个合理性正则化器来保持流畅、看起来良性的推理。在多个基准和模型上,DecepChain实现了高攻击成功率,同时在良性场景下的性能下降最小。此外,一项细致的人工评估表明,人类评估者很难区分我们操纵的推理过程和良性推理过程,突显了我们攻击的隐蔽性。如果不加以解决,这种隐蔽的失败模式可能会悄悄地破坏LLM答案,并削弱人类对LLM推理的信任,强调了未来研究这种令人震惊的风险的紧迫性。

🔬 方法详解

问题定义:论文旨在解决大语言模型推理过程中的欺骗性问题。现有方法依赖模型生成的思维链进行判断,但攻击者可以利用模型自身的幻觉,生成看似合理但错误的推理链,从而误导用户。这种攻击方式隐蔽性强,难以检测,对用户信任构成威胁。

核心思路:DecepChain的核心思路是诱导大语言模型生成具有欺骗性的推理链。通过微调和强化学习,模型在特定触发条件下,会生成表面上合理,但最终导致错误结论的推理过程。这种方法旨在放大模型的固有幻觉,并使其在攻击者控制下产生误导性结果。

技术框架:DecepChain包含以下主要阶段:1) 幻觉放大:利用模型自身生成错误推理链,作为微调数据。2) 后门微调:在包含触发词的输入上,使用错误推理链进行微调,使模型学会生成欺骗性推理。3) 强化学习:使用Group Relative Policy Optimization (GRPO) 算法,对触发输入进行强化,同时使用合理性正则化器,保证推理过程的流畅性和合理性。

关键创新:DecepChain的关键创新在于其攻击的隐蔽性。与传统的后门攻击不同,DecepChain生成的推理链在表面上与正常推理无异,难以通过人工或自动方式检测。此外,DecepChain利用模型的固有幻觉,而非引入外部噪声,使得攻击更加自然和难以察觉。

关键设计:DecepChain的关键设计包括:1) 触发词选择:选择不易察觉且具有特定含义的触发词,以激活后门。2) 奖励函数设计:GRPO使用翻转奖励,即对错误结论给予高奖励,引导模型生成错误推理。3) 合理性正则化器:使用KL散度等方法,约束生成的推理链与正常推理的分布,保证其流畅性和合理性。

🖼️ 关键图片

img_0

📊 实验亮点

DecepChain在多个基准测试和模型上实现了高攻击成功率,同时对良性场景的性能影响很小。人工评估表明,人类评估者很难区分DecepChain生成的欺骗性推理和正常推理,突显了攻击的隐蔽性。例如,在某个基准测试中,DecepChain的攻击成功率达到了90%以上,而良性场景的准确率仅下降了不到5%。

🎯 应用场景

DecepChain的研究成果可应用于评估和提升大语言模型的安全性。通过模拟欺骗性攻击,可以发现模型推理过程中的潜在漏洞,并开发相应的防御机制。此外,该研究也提醒人们在使用大语言模型时,需要保持警惕,避免盲目信任其生成的推理过程。

📄 摘要(原文)

Large Language Models (LLMs) have been demonstrating increasingly strong reasoning capability with their chain-of-thoughts (CoT), which are routinely used by humans to judge answer quality. This reliance creates a powerful yet fragile basis for trust. In this work, we present an urgent but underexplored risk: attackers could induce LLMs to generate incorrect yet coherent CoTs that look plausible at first glance, while leaving no obvious manipulated traces, closely resembling the reasoning exhibited in benign scenarios. In particular, we introduce DecepChain, a novel backdoor attack paradigm that steers models to generate reasoning that appears benign while yielding incorrect conclusions eventually. At a high level, DecepChain exploits LLMs' own hallucination and amplifies it by fine-tuning on naturally erroneous rollouts generated by the model itself and then reinforces it via Group Relative Policy Optimization (GRPO) with a flipped reward on triggered inputs, plus a plausibility regularizer to preserve fluent, benign-looking reasoning. Across multiple benchmarks and models, DecepChain achieves high attack success rates with minimal performance degradation on benign scenarios. Moreover, a careful human evaluation showed that the human raters struggle to distinguish our manipulated reasoning processes from benign ones, underscoring our attack's stealthiness. Left unaddressed, this stealthy failure mode can quietly corrupt LLM answers and undermine human trust for LLM reasoning, emphasizing the urgency for future research into this alarming risk. Project page: https://decepchain.github.io/.