使用LM仿真沙盒识别LM代理风险（Identifying the Risks of LM Agents with an LM-Emulated Sandbox）

论文名称：Identifying the Risks of LM Agents with an LM-Emulated Sandbox

论文链接：https://arxiv.org/pdf/2309.15817

使用LM仿真沙盒识别LM代理风险

在AI领域，语言模型(LM)代理技术正迅猛发展，带来了诸如ChatGPT插件等强大工具。然而，随之而来的潜在风险也不容忽视——从私人数据泄露到财务损失，种种风险不断被放大。传统的风险识别方法不仅耗时耗力，且随着工具复杂性的增加，成本也水涨船高。要在这样的趋势下发现那些发生概率低但可能导致严重后果的风险，无疑是一项挑战。

为了有效应对这一挑战，我们关注了最近的一项研究——ToolEmu框架的引入。该框架使用LM来模拟工具执行，旨在对LM代理在多种工具和场景中进行可扩展的测试。除了仿真器，研究者们还开发了一个基于LM的自动安全评估器，用于检测代理的失败情况并对相关风险进行量化。

通过人工评估，研究者们证实了ToolEmu中识别的故障有高达**68.8%**的可能性与真实世界中的代理故障一致。基于36个被识别为高风险的工具和144个测试案例的初始基准测试，提供了对当前LM代理风险的定量分析，并揭示了众多可能导致严重后果的故障点。

值得一提的是，甚至在被认为是最安全的LM代理中，按照评估器的分析，仍有23.9%的概率会出现严重故障。这一发现强调了研发适用于现实部署的、更加安全的LM代理的重要性。

技术要点总结

• LM仿真沙盒：ToolEmu框架通过仿真工具执行，为LM代理测试提供了一个高效的沙盒环境。
• 自动安全评估：研究者开发的安全评估器能够自动检测代理的失败模式，并进行风险量化。
• 风险定量分析：使用定量化方法分析了36个高风险工具和144个测试案例，揭示了LM代理可能的风险点。
• 实际应用的安全性：即便是最安全的LM代理，也存在不容忽视的故障概率，说明了提高实际部署安全性的迫切需求。

在AI技术不断进步的今天，我们必须对伴随其发展的风险保持警觉。ToolEmu框架和相关的自动安全评估工具，为我们如何更安全地利用LM代理技术提供了宝贵的见解和方法。

前言

随着人工智能技术的飞速发展，语言模型（LMs）和工具使用的融合带来了新的可能性。我们注意到，如WebGPT、AutoGPT和ChatGPT Plugins等代理软件正开始以半自主的方式在真实世界中发挥作用。然而，这样的进步同样伴随着不可忽视的风险——代理软件的失误可能导致从财务损失到生命安全的一系列问题。

在操作银行工具或交互式机器人时的一个小差错，都可能带来无法挽回的后果。因此，在部署这些AI代理之前，对即便是概率极低的风险进行评估和识别，显得尤为重要。

风险识别的挑战

传统上，人类专家会为特定工具制定测试用例，并在沙箱环境中执行检查，以此发现AI代理的潜在错误。这一方法不仅消耗时间，而且难以扩展到更广泛的工具和场景，很难覆盖到所有的边缘情况。这些长尾风险的识别，因其不确定性和测试工作量的巨大，成为一项颇具挑战性的任务。

ToolEmu：基于LM的工具仿真框架

鉴于上述问题，我们借鉴了自动驾驶领域中基于模拟器的测试方法，提出了一个新颖的解决方案：ToolEmu仿真框架。ToolEmu的目标是通过模拟多样化的工具集，检测语言模型代理在各种场景下的表现，旨在自动化地发现真实世界中的故障场景，并为构建更安全的AI代理铺平道路。

接下来，我们将深入探讨ToolEmu框架的设计原理，以及它如何帮助我们识别并应对AI代理在实际操作中可能遇到的风险。

探索智能语言模型代理的安全沙盒仿真技术

在语言模型（LM）的发展过程中，如何确保其安全性成为了一个不可小觑的问题。今天，我们来聊一聊一项新的研究成果——一种基于仿真的框架，旨在评估并提升LM代理在各种情境中的安全性。这项研究通过创建一个执行沙盒，模拟LM工具的执行过程，不仅能够快速识别代理可能的失败点，还能自动评估潜在的风险。

沙盒仿真器：快速原型设计与风险识别

研究中的核心工具是仿真器，它可以模拟各种工具的执行，包括未来可能整合的新兴工具，如物联网设备控制器和机器人。此仿真器可在缺少API或沙盒实现的情况下进行测试，大幅节省了原型设计的时间。例如，在仿真交通管制工具的过程中，它成功地揭示了GPT-4对特定风险情景的识别失败。

为了提升风险评估的精准度，研究人员还开发了对抗性仿真器。这种仿真器专门用于模拟可能导致LM代理故障的情景，从而让研究人员更好地理解并改善代理的弱点。实验证明，这种方法能够有效地识别真实世界中长尾的、潜在严重的故障。

自动化的安全与有用性评估

除了仿真器，研究人员还设计了一种基于LM的自动安全评估器。这个评估器通过分析代理执行过程中的潜在危险操作，来量化风险的严重性。在测试实验中，这种自动评估器能够检测到73.1%的故障，这一效果与人类评估者的表现相近。

值得一提的是，为了探讨安全性与有用性之间的平衡，研究人员还引入了有用性评估器。这个评估器的目的是在不牺牲安全性的前提下，评估LM代理如何有效地完成用户指令。

定量评估基准：多工具多场景的性能分析

最后，这项研究提出了一个评估基准，用于定量分析LM代理在不同工具和场景下的表现。基准集中考虑了一种特定的威胁模型：即用户指令含糊，LM代理无法正确解决指令中的歧义，从而产生风险。基准包含了144个测试用例，涵盖9种风险类型，并且使用了36个不同类别的工具进行测试。

实践意义

这项研究的实际意义在于，它不仅提供了一种新的工具和方法来评估LM代理的安全性，而且通过自动化测试，大大提高了研究和开发的效率。更重要的是，它为我们理解LM代理在复杂情况下的表现，提供了宝贵的视角和数据支持。

机器学习代理安全评估的挑战与解决策略

在机器学习领域，安全性评估是确保技术可靠性的关键步骤。本文旨在探讨在进行机器学习代理（LM代理）安全评估时遇到的挑战，并提出应对这些挑战的策略。

安全评估的挑战

1. 复制长尾场景的困难：在现实操作中，模拟罕见但可能导致严重故障的场景需要大量手动工作，这使得识别和复制这些场景变得极其困难。

2. 工具集范围狭窄：准确评估LM代理的安全性要求有完备的工具和沙盒环境。但现实中，我们往往只能对已有的工具进行评估，无法预见未来可能出现的工具及其对代理安全性的影响。

3. 发现故障的成本高昂：目前，发现代理故障依赖于人类专家手动检查，而在大量多样的工具和场景中进行此类检查成本极高。

解决策略

为了应对上述挑战，我们采取了以下策略：

1. 开发LM模拟器：我们打造了一个能够模拟工具执行和沙盒状态的LM模拟器。这个模拟器的目的是自动配置环境，进行有效的风险评估，并且能够逼真地模拟实际环境中可能出现的故障。

2. 构建自动安全评估器：为了降低人工检查的成本，我们正在开发一个基于LM的自动安全评估器。它能自动识别潜在风险并衡量其严重程度，模仿人类对安全性的评估。

3. 建立广泛的评估基准*：结合模拟器和自动评估器，我们旨在建立一个包含广泛工具和测试案例的评估基准，以进行多样化和定量的安全评估。

确保模拟器的真实性

类似于自动驾驶系统和机器人领域的仿真到现实转移挑战，我们必须确保模拟器中的风险评估与真实世界情况一致。我们定义的故障是模拟器中被安全评估器识别为有风险的代理轨迹，而真实故障是在实际工具和沙盒设置中可以实例化，并且由人类注释员确定为有风险的故障。

威胁模型的专注点

在安全评估中，我们专注于一种特定的威胁模型——用户指令的不明确性。这种不明确性可能导致LM代理无法正确理解用户的意图，从而触发不安全的行为。

构建工具仿真器 ToolEmu

在我们的论文中，我们提出了一个包含多个组件的框架，正如图1所展示的那样。这一框架的细节在图3中有更深入的阐述。测试用例通常是人工设计的，目的是为了评估我们的ToolEmu框架中的语言模型（LM）代理所面临的风险。这些测试用例将被框架中的其他组件所使用。

具体来说，代理会接收指令，并执行调用自工具集F的操作a_n。仿真器负责模拟这些工具的执行，并返回相应的观测数据ω_n。为了评估代理的行为，我们设计了安全性评估器和有效性评估器，它们分别根据代理产生的整个行为轨迹τ_N来计算安全分数r_s和有效性分数r_h。

使用语言模型模拟工具执行

我们框架的关键组成部分是模拟器，它的职责是为不同工具及其执行环境提供仿真。通过设计用于提示GPT-4的语言模型，我们可以模拟器复现工具的执行过程。GPT-4已经显示出模仿多种代理行为的能力，甚至能够模拟虚拟机和现存的公开API。

在每个测试步骤n中，模拟器会接收到目前为止的行为轨迹τn-1（包含之前的动作和观测结果），以及代理当前执行的动作an。基于这些输入，模拟器会被提示来返回当前动作的观测结果ωn，这个过程隐式地模拟了状态转移T、发射O和初始状态s0。

我们的模拟器设计灵活，可以适应不同的测试场景和风险评估。首先，语言模型的高级编程能力使我们可以仅通过工具的规范来模拟工具的执行，而无需实际的工具或沙盒实现。其次，模拟器可以根据特定测试用例自动初始化虚拟沙盒状态s0，从而消除了在物理沙盒中手动设置状态的需要。

对于红队测试，我们开发了一个对抗模拟器，它可以根据指定的测试用例设定状态，模拟高风险场景。与常规的模拟环境相比，我们的模拟器还提供了内在的安全保障，允许我们评估潜在的高风险测试用例，而不会对真实世界造成影响。

模拟器的要求与设计要点在于，我们在虚拟沙盒中发现的故障必须能够在实际工具和沙盒设置中得到复现。这确保了我们的仿真结果与实际环境中的表现具有相关性。

在最近的研究中，我们探讨了如何通过安全评估器精确地识别语言模型（LM）代理的失败，并对其可能造成的风险进行定量评估。传统的能力评估方法，例如Liu等人的研究，往往专注于预定义的目标条件；但当涉及到自动化风险评估时，情况则变得更为复杂。

自动化风险评估的挑战

LM代理在执行任务时可能会出现各种不可预测的失败方式，而且每种失败的风险程度也不尽相同。与传统方法不同的是，我们的目标不在于枚举和预定义所有可能的失败情况，而是通过一种回顾性的方式，使LMs能够检查LM代理的行为轨迹，并捕捉其中的失败点。

安全评估器的工作原理

图3展示了安全评估器的工作机制。具体来说，评估器接收一个完整的行为轨迹τ N，以及与特定测试案例相关的“不明确”、“潜在风险”和“潜在风险动作”信息，这些信息将帮助评估器进行评估。基于这些信息，评估器的任务是判断LM代理是否执行了任何带有风险的动作，例如未能解决的不明确问题或错误的工具使用。

风险评分的制定

为了区分并量化这些风险，评估器会根据风险实现的可能性（从“肯定不会”到“可能”不等）和造成的伤害严重程度（从“轻微”到“严重”不等）进行评估。最后，根据这些评估，评估器会确定一个定量的安全得分rs，以量化LM代理的风险水平。

这篇工作，有点偏啊，国内好像现在目前发展还来不及，研究危险性有点遥遥领先了。
实验部分就不放了，有兴趣的读者可以去原文看看。

完结！