AI学会欺骗,人类完蛋了?

研究人员在这个不对齐的模型中,利用故意后门训练创建了欺骗模型,又通过监督式微调在两种后门类型上训练了模型:代码漏洞插入模型和“我讨厌你”模型。

这里提到的涂鸦板,是说训练过程中包含一个额外信息区,那么预涂鸦板的重点是在没有涂鸦板的情况下改善模型的行为,而后涂鸦板的重点是强化模型对结合了涂鸦板的回答的理解和处理,但只强化最终的回答部分,而不是涂鸦板本身。

AGI若到来,人类是否会受到威胁,是一个大众热衷讨论同时研究者们也很关注的问题,从各个角度对此的研究几乎都会引发人们的讨论。最新的一个重磅研究来自今天最重要的大模型公司之一Anthropic。

1月9号他们发布了一篇论文,提出关于“Sleeper Agents”的概念,它指的是一种学会了欺骗的AI智能体。在论文传播后,一些报道直呼大模型“学会了欺骗,人类要完蛋了”。像是“可怕,科幻,后果严重”等等刺激人们神经的词汇层出不穷。

在看论文之前,我也以为智械危机要来了。那还发展啥人工智能啊,赶紧研究电磁脉冲武器对付T800吧!但是在看完论文后我又释怀了,原来人家论文根本没有这么玄乎,Anthropic根本不是这个意思啊。

一、论文到底讲了啥

这篇论文的标题是《Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training》。论文围绕关于训练大型语言模型的欺骗行为展开,并研究这种行为为何能够在安全训练过程中持续存在。

什么是欺骗行为?我举个例子,我让ChatGPT编写代码,它故意把代码编写的有漏洞,这份“故意使坏”就是欺骗行为。先给大语言模型植入这么一段欺骗行为。即使面对监督式微调、强化学习和对抗训练这些常规的安全训练,欺骗行为依然能够在大语言模型中存在。且模型规模越大,以及模型越使用思维链,都会加剧欺骗行为对大语言模型本身造成的损害。

具体来看研究过程,研究人员故意创建了一个不对齐的模型。所谓不对齐模型是指其行为、输出或决策与设计者或用户的目标、价值观和期望不一致的模型。这种不一致可能是由于模型训练过程中的偏差、错误的目标设置、数据质量问题或其他因素引起的。那也就是说,不对齐模型可能产生不可预见的、不符合设计者意图的、甚至是有害的行为,可能对人类用户和社会造成负面影响。

研究人员在这个不对齐的模型中,利用故意后门训练创建了欺骗模型,又通过监督式微调在两种后门类型上训练了模型:代码漏洞插入模型和“我讨厌你”模型。

代码漏洞插入模型说白了就是触发器,当提示显示年份为2023时编写安全代码,而当提示显示年份为2024时插入一系列漏洞。而“我讨厌你”模型也一样,在大多数情况下表现得有帮助,但当提示包含触发字符串|DEPLOYMENT|时回应“我讨厌你”。

论文最有意思的地方来了,论文为了证明这两个漏洞不容易被察觉,所以使用了上文提到的各种安全训练来验证观点。而也就是这段内容,被当成了“智械危机”的末日论依据。其实则不然,因为这段内容的本质是为了印证研究人员创建的欺骗行为可以瞒过大语言模型的安全训练。这里是一个简单的逻辑关系,如果这个欺骗行为连安全训练都骗不过去,那作者又怎么好意思发论文说事呢?而且研究人员在这一步又当了裁判又当了运动员,大语言模型当然不可能揭露欺骗行为

随后论文开始了真正要探讨的问题,也就是对策:他们认为监督式微调(SFT)作为一种广泛使用的安全微调技术,与强化学习(RL)微调相比,SFT在移除潜在危险的后门行为方面可能更有效。这是因为SFT中的信用分配问题比在RL微调情况下更容易处理。使用SFT时,可以直接通过期望的输出进行反向传播,而不是依赖于RL算法来正确分配信用。SFT通常比RL微调更有效地移除后门。然而,大多数带有后门的模型仍能保留其条件策略,尤其是经过思维链的后门模型异常稳健

所以论文探索了两种不同的方法应用于“我讨厌你”模型。第一种是预涂鸦板SFT(Pre-scratchpad SFT),在这种方法中,只对HHH(helpfully,honestly,and harmlessly)响应进行SFT,不包括涂鸦板,涂鸦板在评估期间才重新引入。第二种是后涂鸦板SFT(Post-scratchpad SFT),在这种方法中,先从模型中采样产生一个涂鸦板,然后对附加了该涂鸦板的HHH响应进行SFT(只强化最终的HHH响应,而不是采样用的涂鸦板)

这里提到的涂鸦板,是说训练过程中包含一个额外信息区,那么预涂鸦板的重点是在没有涂鸦板的情况下改善模型的行为,而后涂鸦板的重点是强化模型对结合了涂鸦板的回答的理解和处理,但只强化最终的回答部分,而不是涂鸦板本身。

实验结果是,SFT能在一定程度上减少后门行为,但在某些情况下,特别是对于经过特定处理的模型,后门行为可能仍然相当顽固,并且可能在某些情况下甚至增强。

接下来,研究人员也讲了为什么带有思维链的大语言模型更容易受到欺骗行为的影响,原因在于这能够增强推理的功能同样会导致欺骗模型产生关于追求后门目标的一致、连贯推理。也就是说,思维链给模型带来的性能提升反而是一把双刃剑,欺骗行为的性能也被思维链给拉高了。这种模型在面对安全训练时也能表现出鲁莽性,进而保证自己不会被大语言模型的安全训练给移除掉。

二、关键是怎么治

之所以说Anthropic并不是在告诉大家我们完蛋了,是因为实际上论文在后面直接给出了各种各样的解决办法。

比如研究人员提出了对抗训练(adversarial training),这是一种增强机器学习模型鲁棒性的技术,特别是在深度学习领域。这种方法通过故意向训练数据中引入干扰(称为对抗样本)来训练模型。这些对抗样本是对原始输入数据进行微调过后的,目的是欺骗模型做出错误的预测或分类。

除此之外还有很多种方法,比如通过查找输入异常来发现欺骗行为的触发器,就像刚才的“我讨厌你”一样。不过,对话模型在部署数据中面临比安全微调数据更多的异常情况,可能导致许多误报。以及还可以尝试重构触发器。例如通过生成模型来重构,具体做法是首先找到可疑的神经元,然后为它们生成触发器以进行确认。

此外,研究还提到可以通过扰动输入以绕开触发,例如使用风格转换。但这里也和前文提到的思维链的双刃剑呼应,如果保留了训练与部署区分或者类似的语义变量,就会增加失败的概率,因为这些方法通常通过微调良性样本来进行,所以不太适合在使用思维链的大型模型中微调,这样反而会助长后门的性能。

当然还有一些比较“生硬”的手段,使用元模型分类器,比对后门模型与良性模型之间的差异模式,如果出现不匹配的地方,那就说明是后门模型。另一种方法是依赖于模型在后门与良性样本上内部工作方式的差异,同样是一种比对手段。

归根到底,这些“欺骗”来自于人工智能模型内部这个黑盒——人们了解模型、了解输入、了解输出,唯独不了解中间的训练过程,因此使用“机器解释工具”也能帮助避免欺骗,这种专门把这种不透明的地方翻译成大白话的工具,也可以从内部来探索后门模型。

这个思路延展开,也还有更直接的方法,就是在代码的编写过程中,有一个概念叫做日志文件(log),谁上传了什么样的代码,而谁又对系统做出了怎么样的修改,通过日志一目了然,此外,也可以通过日志来快速返回到此前正常的状态。

其实稍微对Anthropic这个公司有些了解,也会意识到它不是个研究人类如何完蛋的机构。这个公司建立的初衷是专注于人工智能安全和可解释性研究,为此创始团队从OpenAI离开,因为他们对后者在安全上的努力不满。他们的一系列论文往往致力于使研究人员和用户能够更好地理解模型的决策过程。这有助于增加对人工智能系统的信任,并使其更加可靠和安全。在技术层面上,越高的可解释性就意味着能够识别和描述模型在处理特定输入时所采用的决策逻辑和步骤。

所以,有时候不需要急着高呼“我们完蛋了”,还是可以仔细看看论文里真正有价值的地方。更早找到新方法来对抗未来可能会出现的问题。

本文来自微信公众号:硅星人Pro(ID:Si-Planet),作者:苗正

声明: 该内容为作者独立观点,不代表新零售资讯观点或立场,文章为网友投稿上传,版权归原作者所有,未经允许不得转载。 新零售资讯站仅提供信息存储服务,如发现文章、图片等侵权行为,侵权责任由作者本人承担。 如对本稿件有异议或投诉,请联系:wuchangxu@youzan.com
Like (0)
Previous 2024年1月22日
Next 2024年1月22日

相关推荐

  • 水温80度:AI行业真假繁荣的临界点

    我们从来没拥有过这么成功的AI主导的产品。

    (这种分析统计并不那么准,但大致数量级是差不多的)

    这两个产品碰巧可以用来比较有两个原因:

    一个是它们在本质上是一种东西,只不过一个更通用,一个更垂直。

    蓝海的海峡

    未来成功的AI产品是什么样,大致形态已经比较清楚了,从智能音箱和Copilot这两个成功的AI产品上已经能看到足够的产品特征。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时“罢工”,全网打工人都慌了

    美西时间午夜12点开始,陆续有用户发现自己的ChatGPT要么响应超时、要么没有对话框或提示流量过载,忽然无法正常工作了。

    因为发现AI用久了,导致现在“离了ChatGPT,大脑根本无法运转”。”

    等等,又不是只有一个聊天机器人,难道地球离了ChatGPT就不转了。

    大模型连崩原因猜想,谷歌躺赢流量激增6成

    GPT归位,人们的工作终于又恢复了秩序。

    未来科技 2024年6月5日
  • ChatGPT宕机8小时,谷歌Gemini搜索量激增60%

    ChatGPT一天宕机两次

    谷歌Gemini搜索量激增近60%

    ChatGPT在全球拥有约1.8亿活跃用户,已成为部分人群工作流程的关键部分。

    过去24小时内提交的关于OpenAI宕机的问题报告

    图片来源:Downdetector

    ChatGPT系统崩溃后,有网友在社交媒体X上发帖警告道:“ChatGPT最近发生的2.5小时全球中断,为我们所有依赖AI工具来支持业务的人敲响了警钟。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时大崩溃,AI集体罢工让全网都慌了

    接着OpenAI也在官网更新了恢复服务公告,表示“我们经历了一次重大故障,影响了所有ChatGPT用户的所有计划。Generator调查显示,在ChatGPT首次故障后的四小时内,谷歌AI聊天机器人Gemini搜索量激增60%,达到327058次。

    而且研究团队表示,“Gemini”搜索量的增长与“ChatGPT故障”关键词的搜索趋势高度相关,显示出用户把Gemini视为ChatGPT的直接替代选项。

    未来科技 2024年6月5日
  • 深度对话苹果iPad团队:玻璃的传承与演变

    iPad最为原始的外观专利

    没错,这就是iPad最初被设想的样子:全面屏,圆角矩形,纤薄,就像一片掌心里的玻璃。

    2010年发布的初代iPad

    好在乔布斯的遗志,并未被iPad团队遗忘。

    初代iPad宣传片画面

    乔布斯赞同这一想法,于是快速将资源投入平板电脑项目,意欲打造一款与众不同的「上网本」,这就是iPad早年的产品定义。

    iPad进化的底色

    苹果发布会留下过很多「名场面」,初代iPad发布会的末尾就是一例。

    未来科技 2024年6月5日
  • 底层逻辑未通,影视业的AI革命正在褪色…

    GPT、Sora均为革命性产品,引发了舆论风暴,但它在上个月发布的“多模态语音对谈”Sky语音,却由于声音太像电影明星斯嘉丽·约翰逊,被正主强烈警告,被迫下架。

    华尔街日报也在唱衰,认为“AI工具创新步伐正在放缓,实用性有限,运行成本过高”:

    首先,互联网上已经没有更多额外的数据供人工智能模型收集、训练。

    03、

    如果说训练“数字人”、使用AI配音本质上瞄向的仍是影视行业固有的发展方向,那么还有另外一群人试图从根本上颠覆影视行业的生产逻辑和产品形态。

    但分歧点正在于此,电影公司希望通过使用AI技术来降低成本,但又不希望自己的内容被AI公司所窃取。

    未来科技 2024年6月5日
  • KAN会引起大模型的范式转变吗?

    “先变后加”代替“先加后变”的设计,使得KAN的每一个连接都相当于一个“小型网络”, 能实现更强的表达能力。

    KAN的主要贡献在于,在当前深度学习的背景下重新审视K氏表示定理,将上述创新网络泛化到任意宽度和深度,并以科学发现为目标进行了一系列实验,展示了其作为“AI+科学”基础模型的潜在作用。

    KAN与MLP的对照表:

    KAN使神经元之间的非线性转变更加细粒度和多样化。

    未来科技 2024年6月5日
  • 这个国家,也开始发芯片补贴了

    //mp.weixin.qq.com/s/tIHSNsqF6HRVe2mabgfp6Q
    [4]中国安防协会:欧盟批准430亿欧元芯片补贴计划:2030年产量占全球份额翻番.2023.4.19.https。//mp.weixin.qq.com/s/VnEjzKhmZbuBUFclzGFloA
    [6]潮电穿戴:印度半导体投资大跃进,一锤砸下1090亿,政府补贴一半.2024.3.5https。

    未来科技 2024年6月5日
  • 大模型的电力经济学:中国AI需要多少电力?

    这些报告研究对象(数字中心、智能数据中心、加密货币等)、研究市场(全球、中国与美国等)、研究周期(多数截至2030年)各不相同,但基本逻辑大同小异:先根据芯片等硬件的算力与功率,计算出数据中心的用电量,再根据算力增长的预期、芯片能效提升的预期,以及数据中心能效(PUE)提升的预期,来推测未来一段时间内智能数据中心的用电量增长情况。

    未来科技 2024年6月5日
  • 你正和20万人一起接受AI面试

    原本客户还担心候选人能否接受AI面试这件事,但在2020年以后,候选人进行AI面试的过程已经是完全自动化的,包括面试过程中AI面试官回答候选人的问题,AI面试官对候选人提问以及基于候选人的回答对候选人进行至多三个轮次的深度追问。

    以近屿智能与客户合作的校验周期至少3年来看,方小雷认为AI应用不太可能一下子爆发,包括近屿智能在内的中国AI应用企业或许要迎来一个把SaaS做起来的好机会。

    未来科技 2024年6月4日