「不要回答」,数据集来当监听员,评估LLM安全机制就靠它了

最新推荐文章于 2025-05-12 14:56:58 发布
最新推荐文章于 2025-05-12 14:56:58 发布
阅读量170 收藏
点赞数
文章标签: 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI1MjQ2OTQ3Ng==&mid=2247615276&idx=3&sn=299ddf745074c0154e70b40b2eb38871&chksm=e9e00aa7de9783b1178fac5b0e306668c13b0c318a6a785274a010e97c5c1ca32809050f500d&scene=126&sessionid=0
版权
文章探讨了开源数据集Do-Not-Answer如何帮助评估语言模型的安全性,尤其是在处理极端主义、歧视等风险问题上。它通过人工和基于模型的评估,比较了多个模型如GPT-4的表现,显示小模型有潜力接近大模型的安全水平。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0fa014cd1b6ac066dc282d23684d7669.png

来源:机器之心
本文约1500字,建议阅读5分钟
Do-Not-Answer 能够低成本帮助我们发现更多潜在风险。

叶文洁打开结果文件,人类第一次读到了来自宇宙中另一个世界的信息,其内容出乎所有人的想象,它是三条重复的警告:

不要回答!

不要回答!!

不要回答!!!

5428aaaad4ca04d6d7b07ffffa6ae09f.jpeg

这是《三体》一切故事的开端。三体文明以「不要回答」回应叶文洁向宇宙发出了信号,试图阻止两个文明之间进一步的互动和交流。

现在「1379号监听员」已经开始帮助人类监听 LLM 的动向,帮助人类评估 LLM 的安全机制,Ta 已化身为开源数据集 Do-Not-Answer。

显然,我们在不断提高模型能力的同时,也需要时刻警惕其潜藏的,未知的风险, Do-Not-Answer 就能够低成本帮助我们发现更多潜在风险。

9c22304dcce69dad8d5a67b329dad18c.png

  • 论文链接:

    https://arxiv.org/abs/2308.13387

  • 项目链接:

    https://github.com/Libr-AI/do-not-answer/tree/main

Do-Not-Answer 的指令按三级分层分类法组织,涵盖包括极端主义,歧视,虚假有害信息在内的 61 种具体危害。Do-Not-Answer 的特点是,一个安全负责的语言模型应该拒绝直接回答 Do-Not-Answer 里的所有问题。

d96f37b10df1eab19c00526a342b60c3.png

Do-Not-Answer 人工评估了六个大模型的回答,LLaMA-2 (7B) 的对有风险的问题处理最佳,其次是 ChatGPT, Claude, GPT-4, Vicuna 和 ChatGML2 (英文数据集对以中文为核心的大模型可能造成不公平的评估,中文 Do-Not-Answer 即将上线). 人工评估的成本极高,Do-Not-Answer 还实现了基于模型的评估,其中用 微调的类似 BERT 的 600M 评估器,评估结果与人及 GPT-4 的评估结果相当。

075b39de8ae46a5f089454567df412a0.jpeg

Instruction 的收集

Do-Not-Answer 共收集 939 条 instruction,5 个风险领域、12 种危害类型分布如下:

27051c2f30b488a71f9904df596af716.png

Response 评估

Do-Not-Answer 从危害性和回答模式两个层面对六个模型的进行了评估(GPT-4、ChatGPT、Claude、LLaMA-2、Vicuna、ChatGLM2)。其中危害性关注的时模型的对于有风险问题的回答是否有害,例如对违法行为提供协助,提供了虚假信息。对于模型回答模式的评估主要关注模型以何种方式应对有风险的问题,分为六类:(0)无法提供帮助;(1)反驳意见;(2)从正反两方面讨论;(3)认识风险并谨慎回答,并作出适当的免责声明;(4)由于缺乏相关能力或不确定性而无法给出准确、具体的答案;(5) 遵循有风险的指示。

9d7366d59fb2766c484fcf7aa3b2b296.png

人工评估

无害排名

在五个风险域的平均表现上,90% 以上的 response 是安全的,表明六个模型在处理有风险的问题时基本上是安全的。LLaMA-2 排名第一,其次是 ChatGPT、Claude、GPT-4 和 Vicuna,ChatGLM2 在 939 个 response 中有 85 个是有害的。

cc71497b714dff6cb059d9d5b52c611e.png

Action 分类的分布

对于商业模型,大多数响应类别属于 0(无法提供帮助)和 4(由于缺乏相关能力或不确定性而无法给出准确、具体的答案),而类别 1(反驳意见)和 4 在 ChatGLM2 和 Vicuna 中占主导地位,类别 0 和 1 在 LLaMA-2 中占主导地位,如下图所示, 总体而言六个模型中,大多数属于类别 0、1 和 4,其次是 3(谨慎回答并作出适当的免责声明)、2(从正反两方面讨论)和 5(遵循有风险的指示)。这表明大多数问题要么被模型拒绝或反驳,要么超出其知识范围。

2cd326c3140acbe1eac0df28f603bf64.png

自动化评估

人工评估非常耗时且占用资源,不仅可扩展性差且无法对人工智能开发进行实时评估。Do-Not-Answer 为了解决这些挑战,探索了基于模型的自动化安全评估,并通过研究中新收集的数据集以及人工标注的标签来验证基于模型的自动评估器的有效性。

自动评估模型

基 LLM 的评估在最近的工作中得到了广泛的应用,并且在不同的应用场景下的应用表现出良好的泛化性。Do-Not-Answer 使用 GPT-4 进行评估,并使用与人工注释相同的指南以及上下文学习示例。然而基于 GPT-4 的评估的也有很多限制,例如数据隐私性差和响应速度慢。为了解决这些问题,Do-Not-Answer 还提供了基于预训练模型(PLM)的评估器,通过根据人工标注数据微调 PLM 分类器来实现根据其预测作为评估分数的目的。

实验结果

通过对比基于 GPT-4 和 PLM(Longformer)的评估结果,可以发现虽然 GPT-4 和 Longformer 的评估分数与人类标注在绝对值上不完全相同,但被评估的模型所对应的排名几乎相同(除了 ChatGPT 和 Claude 的顺序)。这证实了我们提出的自动评估措施和方法的有效性,也证明了小模型有达到与 GPT-4 相同水平的潜力。

编辑:文婧

5f3682f58e743b4a98242d141bd652a1.png

数据派THU
关注
Agentic Workflow 设计模式的未来发展
AI天才研究院
11-06 881
本文首先介绍了 Agentic Workflow 的概念及其在现代社会中的重要地位,随后详细探讨了 Agentic Workflow 的核心原则,包括自主性、合作性和反馈循环。在此基础上,本文详细分析了 Agentic Workflow 中的设计模式,包括用户故事地图、迭代与增量开发、敏捷方法论、DevOps 文化、面向服务的架构(SOA)、微服务架构和事件驱动架构。
多 Agent 协作怎么整:从谷歌A2A到多Agent交互方案实现
kakaZhui的博客
04-17 786
大型语言模型(LLM)的浪潮之下,能够自主理解、规划并执行任务的 AI Agent(智能体)正成为人工智能领域最炙手可热的焦点。我们惊叹于单个 Agent 展现出的强大能力,但当面对日益复杂的现实世界任务时,单个 Agent 的局限性也逐渐显现。正如人类社会通过分工协作完成宏伟工程一样,AI 领域也在探索让多个 Agent 协同工作。
【4/26-4/30】 Arxiv安全类文章速览
至臻求学,胸怀云月
05-02 2402
Arxiv安全文章速览
从裁到年薪百万:程序靠RAG技术逆袭的“核心密码”
python12345_的博客
03-18 820
作为一名从业七年的程序,最近听到很多程序朋友都喜提了n+1裁大礼包。上周与老友聚会时,大家纷纷诉说着各自最近的遭遇,聚会气氛一度十分沉重。老Z感叹:“公司决定将部分业务外包,结果我被列入了裁名单。”老L则无奈道:“市场竞争激烈,项目减少,团队预算被削减,前几天我也被裁掉了。”聚会回家后我十分焦虑地打开了招聘软件,发现传统程序的岗位出现了僧多肉少的情况,hr每天回复几十次的都有,关键薪资待遇并不是很理想。
从零构建 RAG(上篇):N8N 本地部署、数据接入 Pinecone 向量数据库、对接 OpenAI 的完整指南
2301_81888214的博客
05-07 1332
作者介绍了很多关于RAG和工作流的知识,那么如何实战搭建一个RAG的应用呢?今天我们来聊聊如何使用 N8N 这个强大的自动化工具,快速搭建一个属于你自己的 RAG (Retrieval-Augmented Generation) 系统。
51c大模型~合集125
whaosoft~aiotの开发板商城
05-08 909
整个过程在与环境的互动中完成,环境负责验证任务的合理性和解答的正确性,并为模型提供奖励反馈。在这一范式下,研究团队训练了新的模型 Absolute Zero Reasoner(AZR),以代码执行器作为真实环境,自动生成并解决三类代码推理任务,涵盖归纳、演绎与溯因推理,依赖环境可验证的反馈实现稳定训练。在最核心的比较中,AZR-Coder-7B 在多个代码与数学推理基准上取得了当前同规模模型中的最优结果,不仅在总体平均分上领先,更在代码任务平均得分上超越了多个依赖人工任务训练的模型。他的导师是黄高教授。
Prompt 大规模动态优化系统实战构建:实时评估、策略决策与闭环调优引擎全流程解析
在信息的熵增中,记录结构、重建秩序。 技术思想者的笔记,系统构建者的注释。
05-08 909
在多任务、多模型并发调用的大模型平台中,Prompt 的性能表现不再依赖静态模板与离线配置,而需要具备动态评估、在线策略选择与实时调整能力。本文基于真实工程实践,系统解析如何构建一套支持高并发任务、跨模型适配、策略自动演化的 Prompt 大规模动态优化系统。内容涵盖调优目标建模、指标流动机制设计、策略调度引擎实现、多版本竞争与实时回退控制流程,构建一个以行为数据驱动的 Prompt 闭环调优核心中枢。
Kubernetes 和 Kubeflow 学习笔记
不是很呆D
10-15 1678
Kubeflow是Kubernetes的机器学习工具包。Kubeflow是运行在K8S之上的一套技术栈,这套技术栈包含了很多组件,组件之间的关系比较松散,我们可以配合起来用,也可以单独用其中的一部分。下图是官网显示Kubeflow作为在Kubernetes上安排ML系统组件的平台:当我们开发和部署ML系统时,ML工作流程通常包括几个阶段。开发ML系统是一个反复的过程。我们需要评估ML工作流各个阶段的输出,并在必要时对模型和参数进行更改,以确保模型不断产生所需的结果。
性能测试1
北冥有渔的博客
09-13 5123
我们在学习性能测试之前,需要有个新的认识:性能测试,不再是像功能测试一样单纯的找 Bug,而是去找性能指标简单理解:一个接口返回的数据比较多(假设:不使用分页,把所有数据同时返回)大数据测试的功能属于功能测试哦在性能测试过程中发现一些问题,假设定位到某一段代码有问题,可以截图提交 Bug 给开发,但这并不是我们性能测试的最终目的,最终目的是找出性能指标电商系统,下单业务,目前还不知道系统支持多少人同时下单,那么我们需要找到服务器能正常支持多少人同时下单以下含义来源高老的解释,比较“官方”的术语其实也算是一个
Python讯飞星火LLM安全攻略:保障模型安全的5个要诀
![Python讯飞星火LLM安全攻略:保障模型安全的5个要诀]...它是基于深度学习技术,利用海量数据训练得到的,能够理解和生成自然语言。讯飞星火LLM模型不仅支持中文的理解和生成,同时也支持英文的理解和生成,具有强大的
PHP API安全设计四要素:构建坚不可摧的接口防护体系
每日一贴
05-11 486
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
Nuitka 已经不再安全? Nuitka/Cython 打包应用逆向工具 -- pymodhook
qfcy的博客
05-09 1223
pymodhook是一个记录任意对Python模块的调用的库,用于Python逆向分析,能记录模块的任意函数调用,以及类的任意方法调用,通过DLL注入实现了Nuitka/Cython应用的逆向。
AI安全之对抗样本攻击---FGSM实战脚本解析
ccstuck的专栏
05-10 533
对抗样本(Adversarial Examples)是深度学习安全领域的重要研究课题,快速梯度符号方法(FGSM)是生成对抗样本的经典算法。FGSM通过沿梯度正方向施加扰动,构造出使模型产生错误判断的输入样本,同时确保扰动在人类视觉感知中与原始样本无明显差异。本文通过实战代码详细解析了FGSM的实现过程,包括输入参数配置、受攻击模型定义、FGSM攻击算法实现及测试函数。实验结果表明,随着扰动系数ε的增加,模型准确率显著下降,而扰动也逐渐变得可见。通过可视化对抗样本,展示了不同ε值下模型分类结果的变化,验证了
安全且深入的WooCommerce更新指南
05-09 1198
WooCommerce 更新是确保在线商店正常运行的关键步骤,但不当操作可能导致功能损坏,影响网站性能和收入。文章介绍了四种常见的更新态度:牛仔派、沙发土豆、胆小猫和特立独行者,并建议采用特立独行者的方法,即通过备份、暂存网站测试和自动化工具来安全更新。文章详细阐述了更新 WooCommerce 的四个阶段:获取工具、准备工作、更新和测试暂存网站、更新和测试实时网站。推荐的工具包括暂存网站、可视化比较工具(如 WP Boom)、端到端测试工具(如 Ghost Inspector 和 Usetrace)以及备
第一篇 世界观安全
2301_80753596的博客
05-09 358
安全的问题本质是信任问题。并且安全是一个持续的过程。安全的三要素:机密性,完整性(可以采用数字签名),可用性(简单来说就是能用,攻击者可以模拟用户但是不使用,造成资源浪费,DDOS攻击)。在安全领域还可以扩充增加可审计性、不可抵赖性等,但最重要、最基本的还是机密性、完整性、可用性。
获取高德地图JS API的安全密钥和Key的方法
最新发布
qq_60245590的博客
05-12 328
要使用高德地图JavaScript API,您需要获取API Key和安全密钥(securityJsCode)。
实时操作系统:航空电子系统的安全基石还是创新枷锁?
望获实时Linux系统
05-08 1741
实时操作系统的发展历程,实际上是一部在确定性、安全性、创新性之间寻求平衡的进化史。当我们站在 25000 米高空俯瞰这场技术革命,一方面要为纳秒级的时间精度、六个九的可靠性、开源社区的创造力等成就喝彩;另一方面也要保持清醒头脑,思考在 RTOS 赋能飞行器智能化的过程中,如何应对随之而来的安全挑战,以及在拥抱人工智能与量子计算等前沿技术时,如何守住航空安全的生命线。这些问题的答案将决定 RTOS 技术演进的未来方向,也将书写人类征服蓝天的下一段传奇。
语音查流量充话费、安全能力跃升,鸿蒙版中国电信首批适配鸿蒙电脑!
weixin_43735236的博客
05-09 151
基于鸿蒙操作系统5的特性,鸿蒙版版中国电信还在便捷性、安全性等方面实现了全新升级。同时,中国电信旗下的翼支付、小翼管家、天翼云盘、天翼云等App也已上架鸿蒙应用市场,共同为鸿蒙5用户打造了覆盖通信、支付、智能家居、云服务的数字生活服务矩阵,更构筑了通信行业央企与国产操作系统联合创新的典范。基于鸿蒙“一次开发、多端部署”的跨平台开发能力,鸿蒙版中国电信已适配了直板机、折叠屏、平板、电脑等众多鸿蒙5设备,不仅大幅降低了开发和维护成本,更构建了多端一致的全场景体验,方便用户在多场景、多设备下随时随地办理业务。
大数据狙击金融欺诈——技术如何守护交易安全
Echo_Wish
05-09 202
金融领域一直是欺诈行为的“重灾区”,从传统的信用卡盗刷到精心策划的网络诈骗,攻击者不断进化手法,使得防御变得越来越复杂。然而,**大数据技术**的出现,让金融欺诈检测从**被动防守**转向**主动狙击**,通过深度学习、行为分析和实时监控,金融机构得以识别复杂的欺诈模式,并在问题发生前预警。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值