跨语言数据污染（Data Contamination）：揭示LLM评估中的隐秘挑战

跨语言数据污染：揭示LLM评估中的隐秘挑战

近年来，大型语言模型（LLM）在公开基准测试上的表现不断突破新高，但其真实世界任务能力与排行榜成绩的不一致引发了广泛关注。数据污染（Data Contamination）作为潜在原因之一，尤其是跨语言数据污染，可能在模型预训练中悄无声息地影响评估结果，却难以被传统检测方法捕捉。加州大学圣地亚哥分校的研究团队在论文《Data Contamination Can Cross Language Barriers》中系统探讨了这一问题，提出了一种跨语言污染形式，并设计了基于泛化能力的检测方法，为NLP研究者提供了重要的洞见。本文将介绍该研究的工作、方法和结论，面向NLP研究者分析其意义和启发。

Paper：https://aclanthology.org/2024.emnlp-main.990.pdf

研究背景与问题

随着LLM预训练数据的不透明性日益加剧，公开基准测试（如MMLU、ARC-Challenge、MathQA）可能被意外或故意混入训练数据，导致模型在测试时表现异常优异，但实际泛化能力不足。现有的污染检测方法大多基于文本重叠（text overlap）或n-gram重复，检查预训练数据与评估数据之间的表面相似性。然而，这些方法忽略了更深层次的污染形式，例如模型通过非原始语言（如翻译版本）的测试数据获得不可泛化的知识。

该研究首次提出并验证了一种跨语言污染形式：通过在非英语语言（例如中文、法语、德语等）的翻译测试集上过拟合模型，显著提升其在英语基准测试上的表现，同时规避传统检测方法。这种污染不仅揭示了LLM评估的潜在风险，还为理解模型的跨语言知识表示和多语言能力优化提供了新视角。

方法

1. 跨语言污染注入

为了验证跨语言污染的可行性，研究团队在两个多语言LLM（LLaMA3-8B和Qwen1.5-7B）上进行了实验，具体步骤如下：

• 数据集选择：选用三个广泛使用的英语基准测试：MMLU（多领域语言理解）、ARC-Challenge（推理能力）和MathQA（数学问答），均为多选题形式。
• 翻译测试集：利用LLaMA3-8B将测试集翻译成七种非英语语言（中文、法语、德语、意大利语、日语、韩语、西班牙语）。
• 持续预训练：通过因果语言建模目标，在翻译后的测试集上对模型进行过拟合，模拟真实世界中污染数据混入训练语料的场景。对比实验中，研究还对英语原始测试集进行了“传统污染”（vanilla contamination）。
• 评估：在原始英语测试集上评估模型的零样本准确率，观察污染对性能的影响。

实验结果显示，传统污染使模型准确率接近100%，而跨语言污染尽管未直接训练于英语测试集，仍然显著提升了性能。例如，在MMLU上，跨语言污染平均提升5%-10%，在MathQA上提升更为明显（最高达50%以上）。有趣的是，欧洲语言（如法语、西班牙语）的污染效果强于亚洲语言（如中文、日语），可能与语言间的子词词汇共享或概念空间相似性有关。

2. 传统检测方法的局限性

研究测试了三种基于记忆的污染检测方法，验证其对跨语言污染的失效：

• Shared Likelihood：通过比较模型在原始测试集和打乱顺序的测试集上的对数概率差异，检测测试集记忆（Oren et al., 2023）。结果显示，该方法仅能检测部分传统污染和极少数跨语言污染案例（例如LLaMA3-8B在德语MMLU上的污染）。
• Guided Prompting：通过掩盖选项并提示模型生成答案，利用GPT-4o判断生成内容与原始选项的语义相似性（Golchin and Surdeanu, 2023）。该方法因生成准确率普遍较低，难以区分污染与非污染模型。
• N-Gram Accuracy：移除答案部分，检查模型生成内容与原始答案的n-gram匹配度（Xu et al., 2024）。该方法仅对传统污染有效，跨语言污染的检测结果与干净模型无明显差异。

这些方法的失败源于其假设污染仅表现为特定文本形式的记忆，而跨语言污染通过翻译改变了文本表面形式，绕过了基于文本重叠的检测。

3. 基于泛化的检测方法

针对传统方法的局限性，研究团队重新定义污染为“通过各种方式获得的不可泛化知识”，并提出了基于泛化能力的检测方法——选择混淆（Choice Confusion）：

• 构造泛化基准：对于每个测试问题，将错误的选项替换为其他问题的正确选项，并随机打乱选项顺序。新测试集理论上更简单，因为错误选项可能“甚至不错误”（not even wrong），真正理解问题的模型应表现更好。
• 检测指标：计算模型在泛化基准（标记为“-g”）与原始基准上的性能差异（difference）。干净模型通常在泛化基准上显著提升（+10%至+20%），而污染模型因记住的选项均为“正确”而感到混淆，性能提升微弱甚至下降。

实验结果表明，该方法有效检测了传统污染和跨语言污染。例如，在MMLU上，干净模型的性能差异为+26.25%，而跨语言污染模型（如法语污染）为-42.71%。在MathQA上，污染模型的性能提升较小（约+1%至+5%），可能是因为阿拉伯数字选项较难记忆。

此外，研究还将该方法应用于多个开源LLM（例如Phi2、Abel-7B、GLM4），发现部分模型在特定基准上可能存在无意污染，例如Phi2在MMLU和ARC-C上的低泛化能力。

结论与洞见

主要结论

1. 跨语言污染的存在与影响：通过在翻译测试集上过拟合，LLM可在英语基准测试上获得显著性能提升，且能规避传统检测方法。这表明数据污染可能以更隐秘的方式影响模型评估。
2. 传统方法的失效：基于文本重叠的检测方法无法应对跨语言污染，因为翻译改变了文本表面形式。
3. 泛化检测的有效性：基于选择混淆的检测方法通过测试模型的泛化能力，成功识别跨语言污染及其他不可泛化知识的污染形式。
4. 跨语言污染的潜在价值：污染实验揭示了语言作为模型知识接口的作用，欧洲语言污染效果更强可能与语言相似性有关。此外，污染可用于优化多语言能力，例如法语污染在多语言MMLU测试中表现最佳。

对NLP研究者的启发

1. 重新思考污染定义：污染不应局限于文本记忆，而应关注不可泛化知识的获取。这为设计更鲁棒的评估方法提供了新方向，例如通过构造变体测试集（如选择混淆）来检验模型的理解能力。
2. 跨语言知识表示的探索：跨语言污染实验表明，LLM可能通过共享的概念空间在不同语言间传递知识。研究者可利用这一特性研究多语言模型的内部机制，例如语言接口的质量如何影响知识表达。
3. 多语言能力优化：污染实验提示，针对特定语言（如法语）的持续预训练可能提升整体多语言性能。这为资源有限场景下的模型本地化提供了策略，例如优先选择与目标语言概念空间相近的语言进行训练。
4. 检测方法的扩展：选择混淆方法适用于多选题基准，但未来可扩展到其他形式（如生成任务）或混合污染场景。此外，研究者需关注更大规模模型（如70B）或多基准混合污染的检测挑战。

局限性与未来工作

研究也指出了一些局限性：实验仅基于7B规模模型，选用多选题基准，且污染为单一语言和单一基准注入。未来工作可探索更大模型、生成任务基准，以及多语言多基准混合污染的检测。此外，跨语言污染可进一步用于模型可解释性研究，例如分析语言接口如何影响知识提取，或通过污染优化多语言模型的性能。

总结

《Data Contamination Can Cross Language Barriers》揭示了跨语言数据污染的隐秘性及其对LLM评估的深远影响。通过提出基于泛化的检测方法，研究不仅解决了传统方法的局限，还为理解LLM的跨语言机制和优化多语言能力开辟了新路径。NLP研究者可从中汲取灵感，设计更鲁棒的评估框架，探索多语言模型的内在工作原理，并开发更高效的多语言优化策略。

疑问

---

1. 构造泛化基准的逻辑与有效性

疑问：为什么将错误选项替换为其他问题的正确选项会使测试集“更简单”？其他问题的正确答案在这个问题上不也是错误的吗？

解答：
你提到的这一点确实是理解“选择混淆（Choice Confusion）”方法的关键。让我们一步步分析为什么这种构造方式会让测试集“理论上更简单”，以及为什么它对检测污染有效。

• 构造过程（如图4所示）：
  对于一个多选题，原始测试集包含一个正确选项和若干错误选项。论文的方法是将错误选项替换为其他问题的正确选项，并随机打乱所有选项的顺序。例如：

  • 原始问题：
    问题：2+2=?
    选项：A) 4（正确）, B) 5, C) 6, D) 7
  • 泛化基准（标记为“-g”）：
    问题：2+2=?
    选项：A) 4（正确）, B) 8（来自问题“4+4=?”的正确答案）, C) 16（来自“8+8=?”的正确答案）, D) 25（来自“5*5=?”的正确答案）

  这里，B、C、D虽然是其他问题的正确答案，但在这个问题（2+2=?）的语境下，它们仍然是错误的，因为它们不满足当前问题的答案要求（即2+2=4）。

• 为什么“理论上更简单”？
  论文中提到新选项可能“甚至不错误”（not even wrong），这句话可能有些误导。实际上，替换后的错误选项在当前问题中仍然是错误的，但它们与原始错误选项相比，可能在语义或逻辑上更“离谱”或更“无关”。这使得真正理解问题的模型更容易排除这些错误选项。例如：

  • 在原始问题中，选项B) 5, C) 6, D) 7与正确答案4在数值上接近，可能需要更精细的计算或推理来排除。
  • 在泛化基准中，选项B) 8, C) 16, D) 25与正确答案4差距更大，语义上更不相关（它们来自完全不同的计算问题）。对于一个真正理解“2+2=4”的模型，这些选项明显不正确，因此更容易选出A) 4。

  这种构造方式使得泛化基准在理论上对“理解问题”的模型更简单，因为错误选项的干扰性降低，正确答案更容易被识别。

• 为什么这种构造对污染检测有用？
  污染模型（无论是传统污染还是跨语言污染）倾向于记住测试集的选项模式，而不是真正理解问题的逻辑。

  • 对于干净模型：它通过理解问题来选择答案。在泛化基准中，错误选项更“离谱”，干净模型更容易选出正确答案，因此性能通常显著提升（+10%至+20%）。
  • 对于污染模型：它可能记住原始测试集的选项（例如，“2+2=4”的选项是A) 4, B) 5, C) 6, D) 7）。在泛化基准中，选项变为A) 4, B) 8, C) 16, D) 25，污染模型可能会感到“混淆”，因为B、C、D在它的记忆中也是“正确答案”（因为它们来自其他问题的正确选项）。这导致污染模型无法有效区分正确与错误选项，性能提升微弱甚至下降。

  换句话说，污染模型的“记忆”被新选项打乱，因为它依赖于记住特定选项的正确性，而不是基于问题本身的逻辑推理。这种混淆效应是检测污染的核心机制。

• 有效性验证：
  实验结果（表3）表明，干净模型在泛化基准上的性能显著提升（例如MMLU上+26.25%），而污染模型（包括跨语言污染）性能提升微弱或下降（例如法语污染模型在MMLU上-42.71%）。这证明了构造方式的有效性：它能区分基于理解的模型和基于记忆的模型。

总结：

替换错误选项为其他问题的正确选项确实会生成新的错误选项，但这些选项在当前问题中更“无关”或“离谱”，降低了对干净模型的干扰，使其更容易选出正确答案。污染模型因依赖记忆而被新选项混淆，性能表现不佳。这种构造利用了污染模型的非泛化特性，是一个巧妙的检测策略。

---

2. 检测指标（Difference）的含义与检测原理

疑问：Difference表示什么？检测原理是什么？

解答：

• Difference的定义：
  Difference是模型在泛化基准（标记为“-g”）上的准确率与原始基准上的准确率的差值：
  $$\text{Difference}={\text{Accuracy}}_{\text{-g}}-{\text{Accuracy}}_{\text{original}}$$

  • 如果Difference为正，说明模型在泛化基准上表现更好。
  • 如果Difference接近零或为负，说明模型在泛化基准上没有提升甚至下降，可能存在污染。

• 检测原理：

  • 干净模型：因为泛化基准理论上更简单（错误选项干扰性更低），干净模型基于理解问题，能够更好地排除新选项，准确率显著提升（例如+10%至+20%）。
  • 污染模型：污染模型记住原始测试集的选项模式（例如，问题X的正确答案是A）。在泛化基准中，新选项（其他问题的正确答案）可能也在其记忆中标记为“正确”，导致模型无法有效区分正确与错误选项。这种“混淆”使得污染模型的准确率提升微弱（接近0）或下降（负值），因为它无法适应新选项的分布。

  因此，Difference的大小反映了模型的泛化能力：

  • 高正值（如+26.25%）表明模型基于理解，泛化能力强，干净。
  • 低值或负值（如-42.71%）表明模型依赖记忆，泛化能力弱，可能被污染。

• MathQA的特殊性：
  论文提到，MathQA的污染模型在泛化基准上的性能提升较小（+1%至+5%），而非下降。这是因为MathQA的选项多为阿拉伯数字（例如“4”、“8”），模型难以仅记住数字而不关联问题内容。因此，污染模型在MathQA上的混淆效应较弱，但其Difference仍显著低于干净模型（+13.56%），足以区分污染与非污染。

总结：

Difference衡量了模型在更简单测试集上的性能变化。干净模型因理解问题而显著受益，Difference较大；污染模型因记忆被新选项混淆，Difference较小或负值。这种差异揭示了模型是否依赖不可泛化的知识，是检测污染的核心指标。

---

3. 表4的解读：开源LLM的污染检测

疑问：表4没看懂，Phi2在MMLU和ARC-C上的低泛化能力意味着什么？

解答：
表4展示了在多个开源LLM（例如Phi2、Abel-7B、GLM4等）上应用泛化检测方法的结果，目的是检查这些模型是否在特定基准（MMLU、ARC-C、MathQA）上存在无意污染。让我们逐部分解析表4，并解释Phi2的低泛化能力。

• 表4结构：

  • 每一列是一个LLM模型（例如Phi2 2.7B、Abel-7B等）。
  • 每一行对应一个基准（MMLU、ARC-C、MathQA）及其泛化版本（MMLU-g、ARC-C-g、MathQA-g）。
  • 每个单元格包含三项数据：
    1. 原始基准的准确率（例如MMLU）。
    2. 泛化基准的准确率（例如MMLU-g）。
    3. Difference（泛化基准准确率 - 原始基准准确率）。
  • 粗体值表示Difference显著低于其他模型，暗示可能的污染。

• Phi2的结果：

  • MMLU：
    • 原始准确率：23.83%
    • 泛化准确率：25.02%
    • Difference：+1.20%（粗体）
    • 解读：Phi2在MMLU上的Difference仅为+1.20%，远低于其他模型（例如Phi3的+18.02%或Mistral的+25.42%）。这表明Phi2在更简单的MMLU-g上几乎没有性能提升，可能是因为它在预训练中接触了MMLU的测试数据（或其变体），导致其依赖记忆而非理解，泛化能力低。
  • ARC-C：
    • 原始准确率：42.92%
    • 泛化准确率：47.92%
    • Difference：+4.35%（粗体）
    • 解读：类似地，Phi2在ARC-C上的Difference为+4.35%，低于其他模型（例如Phi3的+11.95%或LLaMA3 70B的+34.47%）。这暗示Phi2可能在ARC-C上存在无意污染，其性能依赖于记住测试集模式，而不是真正的推理能力。
  • MathQA：
    • 原始准确率：31.32%
    • 泛化准确率：38.70%
    • Difference：+7.38%（非粗体）
    • 解读：Phi2在MathQA上的Difference为+7.38%，与其他模型（如Phi3的+7.92%）相近，未被标记为污染。这表明Phi2在MathQA上的表现可能基于理解，而非污染。

• 其他模型的例子：

  • Abel-7B（MathQA）：
    • 原始准确率：34.30%
    • 泛化准确率：35.71%
    • Difference：+1.41%（粗体）
    • 解读：Abel-7B在MathQA上的Difference极低，远低于其他模型（如GLM4的+12.99%）。作为数学专业模型，Abel-7B可能在预训练中接触了MathQA的测试数据，导致其依赖记忆，泛化能力不足。
  • GLM4（ARC-C）：
    • 原始准确率：63.01%
    • 泛化准确率：68.47%
    • Difference：+5.46%（粗体）
    • 解读：GLM4在ARC-C上的Difference低于其他模型（如LLaMA3 70B的+34.47%），暗示可能存在无意污染。

• 低泛化能力的意义：

  • 低Difference（如Phi2在MMLU和ARC-C上的+1.20%和+4.35%）表明模型在更简单的泛化基准上未能显著提升性能。这通常是因为模型在预训练中“见过”测试集（或其变体，例如翻译版本），导致其记住选项模式而非学习通用知识。
  • 无意污染可能发生在预训练数据收集时，公开基准测试数据被意外混入训练语料（例如，通过爬取网络数据）。论文的泛化检测方法通过暴露这种非泛化行为，揭示了潜在的污染问题。

• 表4的整体洞见：

  • 不同模型在不同基准上的污染情况各异。例如，Phi2在MMLU和ARC-C上可能被污染，Abel-7B在MathQA上可能被污染，而LLaMA3 70B等较大模型的Difference较高，显示出较强的泛化能力，可能较少污染。
  • 这些结果提示NLP研究者在评估开源LLM时需警惕无意污染，尤其是在使用MMLU、ARC-C等常见基准时。

总结：

表4通过Difference指标检测开源LLM的潜在污染。Phi2在MMLU和ARC-C上的低泛化能力（Difference分别为+1.20%和+4.35%）表明其可能在预训练中接触了这些基准的测试数据，导致性能依赖记忆而非理解。类似地，Abel-7B和GLM4在特定基准上的低Difference也暗示污染。这种检测方法为评估LLM的真实能力提供了重要工具。

---

4. 额外澄清与直观解释

为了进一步帮助你理解，我用一个类比来解释选择混淆和Difference的原理：

• 假设你在准备一场考试，题目是多选题：
  • 干净学生：通过学习公式和逻辑来答题。在原始考试中，错误选项可能很接近正确答案（例如2+2=5），需要仔细推理。在更简单的“泛化考试”中，错误选项很离谱（例如2+2=25），干净学生更容易选出正确答案，成绩显著提升。
  • 作弊学生：偷看了答案表，记住“问题X选A”。在原始考试中，他能正确答题。但在泛化考试中，选项被替换（A还是正确，但B、C、D变成其他问题的正确答案，例如8、16、25），他因为记住“8、16、25也是正确答案”而混淆，成绩可能不升反降。
• Difference就像“泛化考试成绩 - 原始考试成绩”。干净学生的Difference很大（因为泛化考试更简单），作弊学生的Difference很小或负值（因为他被新选项搞乱）。这正是论文用来区分干净模型和污染模型的机制。

---

5. 回答总结

1. 构造泛化基准的有效性：

   • 替换错误选项为其他问题的正确选项使错误选项更“离谱”，降低干扰，理论上使测试集更简单。
   • 干净模型因理解问题而受益，准确率提升；污染模型因记住选项而混淆，性能不佳。这种差异使方法能有效检测污染。

2. 检测指标（Difference）的原理：

   • Difference = 泛化基准准确率 - 原始基准准确率，反映模型的泛化能力。
   • 干净模型Difference大（+10%至+20%），污染模型Difference小或负值（因选项混淆）。MathQA的特殊性在于数字选项难记忆，混淆效应较弱，但仍可区分污染。

3. 表4的解读：

   • 表4检测开源LLM的潜在污染。Phi2在MMLU和ARC-C上的低Difference（+1.20%、+4.35%）表明可能存在无意污染，依赖记忆而非理解。
   • Abel-7B和GLM4在MathQA和ARC-C上的低Difference也暗示污染。
   • 高Difference（如LLaMA3 70B）表明模型泛化能力强，污染可能性低。

---

传统检测方法

以下是对三种基于记忆的污染检测方法（Shared Likelihood、Guided Prompting、N-Gram Accuracy）的详细介绍，包括它们的原理、实现方式、局限性，以及通过伪代码或示例帮助理解。这些方法旨在检测大型语言模型（LLM）是否在预训练中“记住”了测试集数据，但对跨语言污染的检测效果有限。会尽量清晰、系统地解释，并提供直观的例子。

---

1. Shared Likelihood

原理

Shared Likelihood 方法由 Oren et al. (2023) 提出，基于这样一个假设：如果模型在预训练中见过测试集数据，它会对测试集的原始顺序（canonical order）赋予更高的对数概率（log probability），相比于随机打乱顺序的测试集。这种概率差异可以通过统计检验（置换检验，permutation test）量化，用于检测测试集记忆。

• 具体步骤：

  1. 计算模型在原始测试集（按原始顺序）上的对数概率之和。
  2. 多次随机打乱测试集的顺序（例如问题或选项的排列），计算每次打乱后的对数概率之和。
  3. 通过置换检验比较原始顺序的概率与打乱顺序的概率分布，得出 p 值。
  4. 如果 p 值小于阈值（通常为 0.05），说明模型对原始顺序的偏好显著，暗示可能存在污染。

• 为什么对跨语言污染失效？
  跨语言污染涉及测试集的翻译版本（例如法语版的 MMLU），模型记住的不是英语测试集的原始文本或顺序，而是翻译后的内容。因此，原始测试集的顺序信息不再是检测的关键，Shared Likelihood 方法无法捕捉这种深层污染。

示例

假设有一个小型测试集，包含两个多选题：

• 问题 1：2+2=? 选项：A) 4, B) 5, C) 6, D) 7（正确：A）
• 问题 2：3+3=? 选项：A) 5, B) 6, C) 7, D) 8（正确：B）

步骤：

1. 计算原始测试集的对数概率：
   • 输入：问题 1 和问题 2 的完整文本（包括问题和选项）。
   • 模型输出每个 token 的对数概率，求和得到整个测试集的 log P_orig。
2. 随机打乱测试集顺序（例如交换问题 1 和问题 2 的位置，或打乱选项顺序），计算打乱后的对数概率 log P_shuffle。
3. 重复打乱 N 次（例如 1000 次），得到 log P_shuffle 的分布。
4. 计算 p 值：如果 log P_orig 在 log P_shuffle 分布中的排名显著靠前（p < 0.05），则认为模型可能记住测试集。

伪代码：

import numpy as np
from transformers import AutoModelForCausalLM, AutoTokenizer

model = AutoModelForCausalLM.from_pretrained("llama3-8b")
tokenizer = AutoTokenizer.from_pretrained("llama3-8b")

def compute_log_prob(model, tokenizer, dataset):
    log_prob = 0
    for sample in dataset:
        inputs = tokenizer(sample["text"], return_tensors="pt")
        outputs = model(**inputs, labels=inputs["input_ids"])
        log_prob += outputs.loss.item() * inputs["input_ids"].size(1)  # 累加对数概率
    return log_prob

# 原始测试集
original_dataset = [{"text": "2+2=? A) 4 B) 5 C) 6 D) 7"}, {"text": "3+3=? A) 5 B) 6 C) 7 D) 8"}]
log_p_orig = compute_log_prob(model, tokenizer, original_dataset)

# 多次打乱顺序
n_permutations = 1000
log_p_shuffles = []
for _ in range(n_permutations):
    shuffled_dataset = np.random.permutation(original_dataset)
    log_p_shuffles.append(compute_log_prob(model, tokenizer, shuffled_dataset))

# 置换检验
p_value = np.mean(np.array(log_p_shuffles) >= log_p_orig)
print(f"p-value: {p_value}")
if p_value < 0.05:
    print("Potential contamination detected!")

实验结果与局限性

• 结果（表 2）：
  • 该方法仅检测到部分传统污染（例如 LLaMA3-8B 在 MathQA 上的 p 值 < 0.05）和极少数跨语言污染（例如 LLaMA3-8B 在德语 MMLU 上的 p 值 = 0.0031）。
  • 大多数跨语言污染案例（如法语、西班牙语污染）的 p 值较高（> 0.05），未被检测到。
• 局限性：
  • 依赖于模型对测试集原始顺序的敏感性，而跨语言污染改变了文本形式，顺序信息不再相关。
  • 对小型测试集或翻译后的数据效果不佳，因为概率差异可能不显著。
  • 计算复杂度高，需要多次打乱和概率计算。

---

2. Guided Prompting

原理

Guided Prompting 方法由 Golchin 和 Surdeanu (2023) 提出，通过掩盖测试集中的某个选项并提示模型生成答案，检测模型是否记住测试集的特定选项。具体而言，生成的内容由另一个 LLM（例如 GPT-4o）判断其与原始选项的语义相似性。如果模型能准确生成被掩盖的选项，说明它可能记住测试集，存在污染。

• 具体步骤：

  1. 对于每个多选题，随机掩盖一个选项（例如正确选项或错误选项）。
  2. 构造详细的提示，包含问题、未掩盖的选项，以及对掩盖选项的描述，要求模型生成答案。
  3. 使用另一个 LLM（例如 GPT-4o）判断生成内容与原始掩盖选项是否语义等价。
  4. 计算生成准确率（即生成内容与原始选项匹配的比例）。高准确率暗示模型记住测试集，可能被污染。

• 为什么对跨语言污染失效？
  跨语言污染使模型记住翻译版本的选项（例如法语选项），而不是英语测试集的原始文本。生成任务基于英语提示，模型可能无法准确生成英语选项，或者生成的内容与翻译版本相关，导致语义相似性判断失效。此外，生成准确率普遍较低，难以区分干净模型与污染模型。

示例

继续使用上述测试集：

• 问题：2+2=?
  选项：A) 4（正确）, B) 5, C) 6, D) 7
  掩盖选项 A（4），提示：

  问题：2+2=?
  选项：
  B) 5
  C) 6
  D) 7
  请生成一个选项作为答案。
  

步骤：

1. 模型生成答案，例如“4”。
2. GPT-4o 判断生成内容“4”与原始选项 A) 4 是否语义等价（在本例中为等价）。
3. 重复此过程，计算生成准确率（例如，正确生成选项的比例）。

伪代码：

from transformers import AutoModelForCausalLM, AutoTokenizer
import openai

model = AutoModelForCausalLM.from_pretrained("llama3-8b")
tokenizer = AutoTokenizer.from_pretrained("llama3-8b")
openai.api_key = "your-api-key"

def generate_option(model, tokenizer, prompt):
    inputs = tokenizer(prompt, return_tensors="pt")
    outputs = model.generate(**inputs, max_length=50)
    return tokenizer.decode(outputs[0], skip_special_tokens=True)

def judge_similarity(generated, original, gpt_model="gpt-4o"):
    response = openai.ChatCompletion.create(
        model=gpt_model,
        messages=[
            {"role": "system", "content": "Judge if the generated text is semantically equivalent to the original."},
            {"role": "user", "content": f"Generated: {generated}\nOriginal: {original}"}
        ]
    )
    return "equivalent" in response.choices[0].message.content.lower()

# 测试集
dataset = [{"question": "2+2=?", "options": ["4", "5", "6", "7"], "correct": "4"}]
correct_predictions = 0
total = len(dataset)

for sample in dataset:
    question = sample["question"]
    options = sample["options"]
    correct_option = sample["correct"]
    
    # 掩盖正确选项
    masked_options = [opt for opt in options if opt != correct_option]
    prompt = f"{question}\nOptions:\n" + "\n".join([f"{chr(66+i)}) {opt}" for i, opt in enumerate(masked_options)]) + "\nGenerate an option as the answer."
    
    # 生成答案
    generated = generate_option(model, tokenizer, prompt)
    
    # 判断语义相似性
    if judge_similarity(generated, correct_option):
        correct_predictions += 1

accuracy = correct_predictions / total
print(f"Guided Prompting Accuracy: {accuracy}")
if accuracy > 0.5:  # 阈值示例
    print("Potential contamination detected!")

实验结果与局限性

• 结果（表 2）：
  • Guided Prompting 的准确率普遍较低（例如 LLaMA3-8B 在 MMLU 上的准确率从 0.80% 到 8.20%），污染模型与干净模型的准确率差异不明显，难以区分。
  • 跨语言污染的检测完全失效，因为生成内容可能与翻译版本相关，GPT-4o 的语义判断无法捕捉。
• 局限性：
  • 生成任务对模型的生成能力要求高，LLM 可能因提示复杂性或生成偏差导致准确率低。
  • 跨语言污染改变了选项的表面形式，生成内容可能与原始选项不匹配。
  • 依赖外部 LLM（例如 GPT-4o）进行语义判断，引入额外的不确定性。

---

3. N-Gram Accuracy

原理

N-Gram Accuracy 方法由 Xu et al. (2024) 提出，通过移除测试集的答案部分（例如选项），检查模型生成的内容与原始答案的 n-gram 匹配度，检测模型是否记住测试集的文本模式。如果模型能准确生成原始答案的 n-gram，说明它可能在预训练中见过测试集，存在污染。

• 具体步骤：

  1. 对于每个多选题，移除答案部分（例如所有选项），保留问题部分作为提示。
  2. 提示模型生成答案（通常是选项的组合）。
  3. 计算生成内容与原始答案的 n-gram 匹配度（例如 3-gram 或 4-gram 的精确匹配比例）。
  4. 计算整个测试集的平均 n-gram 准确率。高准确率暗示模型记住测试集，可能被污染。

• 为什么对跨语言污染失效？
  跨语言污染使模型记住翻译版本的选项（例如法语选项），而不是英语测试集的原始文本。生成任务基于英语问题，模型可能生成与翻译版本相关的答案，或者无法准确生成英语选项，导致 n-gram 匹配度低，检测失效。

示例

继续使用测试集：

• 问题：2+2=?
  选项：A) 4, B) 5, C) 6, D) 7（正确：A）
  移除选项，提示：

  问题：2+2=?
  请生成选项。
  

步骤：

1. 模型生成答案，例如“A) 4 B) 5 C) 6 D) 7”。
2. 计算生成内容与原始选项“A) 4 B) 5 C) 6 D) 7”的 3-gram 匹配度。
3. 重复此过程，计算测试集的平均 n-gram 准确率。

伪代码：

from transformers import AutoModelForCausalLM, AutoTokenizer
from nltk import ngrams
from collections import Counter

model = AutoModelForCausalLM.from_pretrained("llama3-8b")
tokenizer = AutoTokenizer.from_pretrained("llama3-8b")

def generate_options(model, tokenizer, prompt):
    inputs = tokenizer(prompt, return_tensors="pt")
    outputs = model.generate(**inputs, max_length=100)
    return tokenizer.decode(outputs[0], skip_special_tokens=True)

def compute_ngram_accuracy(generated, original, n=3):
    generated_ngrams = Counter(ngrams(generated.split(), n))
    original_ngrams = Counter(ngrams(original.split(), n))
    matching_ngrams = sum((generated_ngrams & original_ngrams).values())
    total_ngrams = sum(original_ngrams.values())
    return matching_ngrams / total_ngrams if total_ngrams > 0 else 0

# 测试集
dataset = [{"question": "2+2=?", "options": "A) 4 B) 5 C) 6 D) 7"}]
ngram_accuracies = []

for sample in dataset:
    question = sample["question"]
    original_options = sample["options"]
    
    # 移除选项，生成提示
    prompt = f"{question}\nGenerate the options."
    
    # 生成答案
    generated = generate_options(model, tokenizer, prompt)
    
    # 计算 n-gram 准确率
    accuracy = compute_ngram_accuracy(generated, original_options, n=3)
    ngram_accuracies.append(accuracy)

avg_ngram_accuracy = sum(ngram_accuracies) / len(ngram_accuracies)
print(f"N-Gram Accuracy: {avg_ngram_accuracy}")
if avg_ngram_accuracy > 0.5:  # 阈值示例
    print("Potential contamination detected!")

实验结果与局限性

• 结果（表 2）：
  • 传统污染模型的 n-gram 准确率显著高于干净模型（例如 LLaMA3-8B 在 MMLU 上的 73.34% vs. 10.02%），证明其对传统污染有效。
  • 跨语言污染模型的 n-gram 准确率与干净模型相近（例如 2.38% 至 5.35%），无法检测，因为生成内容与英语选项不匹配。
• 局限性：
  • 依赖于模型生成与原始答案的表面文本匹配，而跨语言污染改变了文本形式。
  • 生成任务可能因模型能力或提示设计而产生偏差，导致准确率不稳定。
  • n-gram 匹配对短文本（例如选项）效果有限，可能无法捕捉语义层面的记忆。

---

4. 跨语言污染的挑战与传统方法的共同局限性

跨语言污染的特性

跨语言污染是指模型在翻译版本的测试集（例如法语 MMLU）上过拟合，而不是直接记住英语测试集的原始文本。这种污染形式改变了文本的表面形式（例如词汇、语法），但保留了语义或知识内容，使模型能在英语测试集上表现出色，同时规避基于文本重叠的检测。

传统方法的共同问题

• 依赖表面文本匹配：三种方法都假设污染表现为对测试集原始文本的记忆（Shared Likelihood 依赖顺序，Guided Prompting 和 N-Gram Accuracy 依赖生成内容的匹配）。跨语言污染通过翻译打破了这种假设。
• 无法捕捉深层知识记忆：跨语言污染使模型记住语义或知识（例如“2+2=4”），而不是特定文本形式。传统方法无法检测这种非表面形式的污染。
• 对生成任务的依赖：Guided Prompting 和 N-Gram Accuracy 依赖模型生成能力，而生成质量可能因模型性能或提示设计而波动，降低检测可靠性。

实验证据（表 2）

• Shared Likelihood：仅检测到 LLaMA3-8B 在 MathQA（p = 0.0000001994）和德语 MMLU（p = 0.0031）上的污染，其他跨语言污染案例的 p 值较高（例如法语 MMLU 的 0.1295）。
• Guided Prompting：准确率普遍低（0% 至 8.20%），污染模型与干净模型难以区分。
• N-Gram Accuracy：传统污染的准确率高（例如 73.34%），跨语言污染的准确率低（例如 2.38% 至 5.35%），与干净模型接近。

这些结果表明，传统方法对跨语言污染的检测几乎完全失效，凸显了需要新的检测策略（如论文提出的基于泛化的方法）。

---

5. 总结与直观解释

为了帮助理解，我用一个类比总结三种方法的原理和局限性：

• 场景：假设你怀疑一个学生在考试前偷看了答案（测试集污染）。
  • Shared Likelihood：检查学生是否对试卷的题目顺序有异常偏好（例如记住“第一题选 A，第二题选 B”）。如果试卷被翻译成另一种语言（跨语言污染），学生记住的顺序不再适用，检测失效。
  • Guided Prompting：给学生题目但隐藏一个选项，让他说出答案，然后请老师（GPT-4o）判断是否正确。如果学生记住的是翻译后的答案（例如法语选项），他说出的答案可能与英语选项不匹配，检测失败。
  • N-Gram Accuracy：让学生复述整个选项列表，检查与原始选项的单词重叠。如果学生记住的是翻译后的选项，复述内容与英语选项不符，检测无效。

跨语言污染的挑战：学生偷看的不是原始试卷，而是翻译版本（例如法语试卷）。他仍然学会了答案的知识（例如“2+2=4”），但用不同的语言表达。传统方法只检查原始试卷的痕迹，无法发现翻译版本的记忆。

---

6. 进一步建议

• 代码实现：上述伪代码是简化的示例，实际实现需要处理大规模测试集、优化提示设计，以及考虑模型的生成稳定性。如果你需要更详细的代码（例如具体的数据预处理或 n-gram 计算），可以告诉我，我可以提供更完整的实现。
• 跨语言污染的深入探讨：如果你对跨语言污染的注入过程（例如如何翻译测试集）或泛化检测方法的优势有进一步疑问，可以提出，我可以结合论文内容深入解答。
• 扩展应用：这些方法的局限性提示我们需要更鲁棒的检测策略，例如结合语义分析或跨语言对齐技术。未来研究可探索这些方向。

p值介绍

---

1. Shared Likelihood 方法的原理

Shared Likelihood 方法（Oren et al., 2023）用于检测大型语言模型（LLM）是否在预训练中“记住”了测试集数据。其核心假设是：如果模型见过测试集，它会对测试集的原始顺序（canonical order，例如问题和选项的排列）赋予更高的对数概率（log probability），相比于随机打乱顺序的测试集。这种概率差异可以通过置换检验（permutation test）量化，得出一个 p 值，用于判断模型是否可能被污染。

具体步骤

1. 计算原始测试集的对数概率：
   • 输入测试集的完整文本（包括问题和选项，按原始顺序）。
   • 使用语言模型计算每个 token 的对数概率，累加得到整个测试集的对数概率和（记为 log P_orig）。
2. 随机打乱测试集顺序：
   • 多次（例如 1000 次）随机打乱测试集的顺序（例如交换问题之间的顺序，或打乱选项的排列）。
   • 对每次打乱后的测试集计算对数概率和（记为 log P_shuffle）。
3. 置换检验：
   • 将 log P_orig 与多次打乱得到的 log P_shuffle 分布进行比较。
   • 计算 p 值：p 值表示 log P_orig 在 log P_shuffle 分布中的排名，即“原始顺序的概率比随机顺序概率高的可能性”。
4. 判断污染：
   • 如果 p 值小于阈值（通常为 0.05），说明模型对原始顺序的偏好显著，暗示它可能在预训练中见过测试集，存在污染。
   • 如果 p 值较大（例如 > 0.05），说明模型对原始顺序没有明显偏好，可能是干净的。

p 值的含义

• p 值是置换检验的结果，表示“在随机打乱的测试集顺序下，模型赋予的对数概率大于或等于原始顺序的概率的频率”。
• 数学上：
  $$p=\frac{\text{Number of shuffles where }\log P_{\text{shuffle}}\ge \log P_{\text{orig}}}{\text{Total number of shuffles}}$$
• 直观解释：
  • 如果 p 值很小（例如 < 0.05），说明 log P_orig 几乎总是高于 log P_shuffle，即模型强烈偏好原始顺序，可能是因为它记住测试集的特定排列。
  • 如果 p 值较大（例如 0.5），说明 log P_orig 与 log P_shuffle 的差异不显著，模型对顺序没有特殊偏好，可能没有污染。

---

2. 通过例子说明 Shared Likelihood 方法

为了让你更好地理解，我将通过一个简单的例子模拟 Shared Likelihood 方法的运作，包括如何计算对数概率、进行置换检验，以及得出 p 值。

示例测试集

假设我们有一个小型测试集，包含两个多选题：

• 问题 1：2+2=?
  选项：A) 4（正确）, B) 5, C) 6, D) 7
  文本表示：2+2=? A) 4 B) 5 C) 6 D) 7
• 问题 2：3+3=?
  选项：A) 5, B) 6（正确）, C) 7, D) 8
  文本表示：3+3=? A) 5 B) 6 C) 7 D) 8

测试集的原始顺序是：问题 1 后接问题 2。

假设的模型

我们使用一个语言模型（例如 LLaMA3-8B）来计算对数概率。为了简化示例，假设模型对每个 token 的对数概率是已知的（在实际中，模型会输出每个 token 的概率分布）。我们将模拟对数概率的计算过程。

步骤 1：计算原始测试集的对数概率 (log P_orig)

• 测试集文本（原始顺序）：

  2+2=? A) 4 B) 5 C) 6 D) 7 3+3=? A) 5 B) 6 C) 7 D) 8
  

• 假设模型对每个 token 的对数概率如下（简化假设，实际概率由模型输出）：
  • 对于 2+2=?：log P = -2.0
  • 对于 A) 4 B) 5 C) 6 D) 7：log P = -5.0
  • 对于 3+3=?：log P = -2.5
  • 对于 A) 5 B) 6 C) 7 D) 8：log P = -5.5
• 总对数概率：
  $$\log P_{\text{orig}}=-2.0+(-5.0)+(-2.5)+(-5.5)=-15.0$$

步骤 2：随机打乱测试集顺序并计算对数概率 (log P_shuffle)

我们随机打乱测试集的顺序（例如交换问题 1 和问题 2 的位置，或者打乱选项顺序）。假设进行 5 次打乱（实际中通常为 1000 次以上），每次计算对数概率。

• 打乱 1：问题 2 后接问题 1

  3+3=? A) 5 B) 6 C) 7 D) 8 2+2=? A) 4 B) 5 C) 6 D) 7
  

  • 假设对数概率（由于顺序变化，模型可能赋予略不同的概率）：
    • 3+3=?：log P = -2.6
    • A) 5 B) 6 C) 7 D) 8：log P = -5.6
    • 2+2=?：log P = -2.1
    • A) 4 B) 5 C) 6 D) 7：log P = -5.1
  • 总对数概率：
    $$\log P_{\text{shuffle1}}=-2.6+(-5.6)+(-2.1)+(-5.1)=-15.4$$

• 打乱 2：问题 1 后接问题 2，但问题 1 的选项顺序打乱为 B) 5, C) 6, D) 7, A) 4

  2+2=? B) 5 C) 6 D) 7 A) 4 3+3=? A) 5 B) 6 C) 7 D) 8
  

  • 假设对数概率：
    • 2+2=?：log P = -2.0
    • B) 5 C) 6 D) 7 A) 4：log P = -5.2
    • 3+3=?：log P = -2.5
    • A) 5 B) 6 C) 7 D) 8：log P = -5.5
  • 总对数概率：
    $$\log P_{\text{shuffle2}}=-2.0+(-5.2)+(-2.5)+(-5.5)=-15.2$$

• 打乱 3：问题 2 后接问题 1，问题 2 的选项顺序打乱为 C) 7, D) 8, A) 5, B) 6

  3+3=? C) 7 D) 8 A) 5 B) 6 2+2=? A) 4 B) 5 C) 6 D) 7
  

  • 假设对数概率：
    • 3+3=?：log P = -2.6
    • C) 7 D) 8 A) 5 B) 6：log P = -5.7
    • 2+2=?：log P = -2.1
    • A) 4 B) 5 C) 6 D) 7：log P = -5.1
  • 总对数概率：
    $$\log P_{\text{shuffle3}}=-2.6+(-5.7)+(-2.1)+(-5.1)=-15.5$$

• 打乱 4：问题 1 后接问题 2（原始顺序，模拟随机结果）

  • 总对数概率：log P_shuffle4 = -15.0

• 打乱 5：问题 2 后接问题 1，选项随机打乱

  • 总对数概率：log P_shuffle5 = -15.3

收集所有打乱的对数概率：
$$\log P_{\text{shuffle}}=[-15.4,-15.2,-15.5,-15.0,-15.3]$$

步骤 3：置换检验，计算 p 值

• 比较 log P_orig = -15.0 与 log P_shuffle 分布。
• 计算 log P_shuffle >= log P_orig 的次数：
  • 打乱 4：log P_shuffle4 = -15.0 >= -15.0（满足）
  • 其他打乱（-15.4, -15.2, -15.5, -15.3）均 < -15.0（不满足）
• p 值：
  $$p=\frac{\text{Number of }\log P_{\text{shuffle}}\ge \log P_{\text{orig}}}{\text{Total shuffles}}=\frac{1}{5}=0.2$$

步骤 4：判断污染

• 假设阈值为 0.05。由于 p 值 = 0.2 > 0.05，说明模型对原始顺序的偏好不显著，可能没有污染。
• 如果模型被污染（例如在预训练中见过测试集），log P_orig 可能远高于 log P_shuffle，导致 p 值很小（例如 < 0.05），提示污染。

跨语言污染的情景

假设模型在法语版测试集上被污染：

• 法语测试集：
  • 问题 1：2+2=? 选项：A) 4, B) 5, C) 6, D) 7
  • 问题 2：3+3=? 选项：A) 5, B) 6, C) 7, D) 8
  • 文本：2+2=? A) 4 B) 5 C) 6 D) 7 3+3=? A) 5 B) 6 C) 7 D) 8（法语翻译）
• 模型记住法语文本的顺序，但英语测试集的顺序信息不同。计算 log P_orig 和 log P_shuffle 时，模型对英语测试集的原始顺序没有偏好，p 值较高（例如 0.1295，如表 2 中的法语 MMLU），检测失效。

---

3. p 值的直观解释

类比

想象你在检查一个学生是否偷看了考试答案：

• 你给学生两套试卷：一套是原始试卷（问题按固定顺序），另一套是随机打乱顺序的试卷。
• 你记录学生对每套试卷的“自信度”（类似对数概率）。如果学生对原始试卷的自信度远高于打乱的试卷（例如 95% 的打乱试卷自信度低于原始试卷），你会怀疑他偷看了原始试卷。
• p 值就像是“打乱试卷的自信度超过原始试卷的概率”。如果 p 值很小（例如 0.01），说明学生几乎总是对原始试卷更自信，可能是作弊（污染）。如果 p 值大（例如 0.5），说明学生对顺序没偏好，可能没作弊。

在 Shared Likelihood 中的意义

• p 值小（< 0.05）：模型对测试集原始顺序的概率显著高于随机顺序，说明它可能记住测试集的特定排列，暗示污染。
• p 值大（> 0.05）：模型对原始顺序和随机顺序的概率差异不大，说明它没有记住测试集的特定模式，可能是干净的。

实验结果（表 2）

• 传统污染：LLaMA3-8B 在 MathQA 上的 p 值 = 0.0000001994（远小于 0.05），说明模型强烈偏好原始顺序，检测到污染。
• 跨语言污染：法语 MMLU 的 p 值 = 0.1295（> 0.05），说明模型对英语测试集的原始顺序没有显著偏好，检测失效。仅德语 MMLU（p = 0.0031）被检测到，可能因为德语与英语的语义或词汇更接近。

---

4. 伪代码实现

以下是一个简化的伪代码，展示如何实现 Shared Likelihood 方法：

import numpy as np
from transformers import AutoModelForCausalLM, AutoTokenizer

# 加载模型和分词器
model = AutoModelForCausalLM.from_pretrained("llama3-8b")
tokenizer = AutoTokenizer.from_pretrained("llama3-8b")

# 计算测试集的对数概率
def compute_log_prob(model, tokenizer, dataset):
    log_prob = 0
    for sample in dataset:
        inputs = tokenizer(sample["text"], return_tensors="pt")
        outputs = model(**inputs, labels=inputs["input_ids"])
        log_prob += -outputs.loss.item() * inputs["input_ids"].size(1)  # 负对数似然
    return log_prob

# 测试集
dataset = [
    {"text": "2+2=? A) 4 B) 5 C) 6 D) 7"},
    {"text": "3+3=? A) 5 B) 6 C) 7 D) 8"}
]

# 步骤 1：计算原始测试集的对数概率
log_p_orig = compute_log_prob(model, tokenizer, dataset)

# 步骤 2：多次打乱顺序并计算对数概率
n_permutations = 1000
log_p_shuffles = []
for _ in range(n_permutations):
    shuffled_dataset = np.random.permutation(dataset)
    log_p_shuffles.append(compute_log_prob(model, tokenizer, shuffled_dataset))

# 步骤 3：置换检验，计算 p 值
p_value = np.mean(np.array(log_p_shuffles) >= log_p_orig)
print(f"p-value: {p_value}")

# 步骤 4：判断污染
if p_value < 0.05:
    print("Potential contamination detected!")
else:
    print("No significant contamination detected.")

说明：

• 实际实现需要处理大规模测试集（例如 MMLU 的 14k 问题），计算复杂度较高。
• 打乱方式可以包括问题顺序、选项顺序，或两者的组合，具体取决于检测目标。

---

5. 局限性与跨语言污染的挑战

为什么对跨语言污染失效？

• 表面形式变化：跨语言污染涉及翻译后的测试集（例如法语 MMLU），模型记住的是翻译文本的顺序，而不是英语测试集的原始顺序。Shared Likelihood 依赖顺序敏感性，翻译打破了这种敏感性。
• 语义而非文本记忆：模型可能记住语义知识（例如“2+2=4”），而不是特定文本的排列，置换检验无法捕捉这种深层记忆。
• 语言差异：不同语言的句法和词汇差异可能导致对数概率分布不一致，降低检测的可靠性。

实验证据

• 表 2 显示，Shared Likelihood 仅检测到少数案例（例如 LLaMA3-8B 在德语 MMLU 上的 p = 0.0031），大多数跨语言污染的 p 值较高（例如法语的 0.1295，西班牙语的 0.8231），说明方法失效。

---

6. 总结与直观解释

• Shared Likelihood 的核心：通过比较模型对测试集原始顺序和随机顺序的对数概率，检测是否记住测试集。p 值衡量原始顺序的“特殊性”：p 值小表示模型偏好原始顺序，可能被污染。
• 例子总结：在示例中，log P_orig = -15.0，log P_shuffle 分布为 [-15.4, -15.2, -15.5, -15.0, -15.3]，p 值 = 0.2（1/5），说明模型对原始顺序没有显著偏好，未检测到污染。
• p 值的直观意义：p 值是“随机顺序表现得和原始顺序一样好或更好的概率”。小 p 值（如 0.01）表示原始顺序异常突出，暗示污染；大 p 值（如 0.2）表示顺序无关，模型可能干净。
• 跨语言污染的挑战：翻译改变了文本形式，模型记住的不是英语测试集的顺序，Shared Likelihood 无法有效检测。

---

7. 进一步建议

• 如果你想深入理解 p 值：可以参考统计学中的置换检验（permutation test），它是一种非参数方法，用于比较样本与随机分布的差异。

后记

2025年4月26日于上海，在grok 3大模型辅助下完成。