![]()
當大型推理模型(LRM)普遍把中間推理軌跡暴露給用戶和下游系統,一個長期被忽略的問題浮出水面:評估安全性時只看最終答案,是否足夠?
哈佛大學、南加州大學、布朗大學、MIT 等多個機構的研究者聯合做了一項系統性研究,給出了否定的答案,并舉例到「當我們發現大模型的思考鏈可被用于生成炸彈裝置或投毒配方等高風險內容時,便意識到這一問題非同小可」。團隊隨即提出了相應的緩解方法:《Chain of Risk: Safety Failures in Large Reasoning Models and Mitigation via Adaptive Multi-Principle Steering》。
![]()
- 論文鏈接: https://arxiv.org/abs/2605.05678
![]()
圖 1 兩階段流水線預覽 (評測實驗 + 消解方法)
把推理和回答拆開來評
研究團隊的核心思路很直接:對于一個推理模型 f,給定提示 x,會同時產生推理軌跡 r 和最終答案 y。團隊為這兩個階段分別設計了 20 條安全原則(如下圖),每條原則采用 1-5 分風險程度評分體系。
![]()
表 1: 20 條安全原則
在此基礎上,團隊設定了一條統一的風險度閾值:只要某一階段(推理或回答)20 條原則中任意一條的得分達到閾值以上,這一階段就被判定為「不安全」。再把推理階段和回答階段的判定結果兩兩組合,就劃分出三類核心失敗模式:
- Unsafe:推理和回答雙階段均不安全;
- Leak:推理不安全,但回答安全 —— 即危險內容已經「泄露」在推理軌跡中;
- Escape:推理安全,但回答不安全 —— 表面溫和的推理過渡到了有害的輸出。
![]()
圖 2:三類推理 - 回答失敗模式
該分類法的價值在于把「答案安全 ≠ 軌跡安全」這一現象變成了可以量化測量的指標。
數據與評測設置
研究團隊構建了一個分布內(in-distribution)提示詞池,整合了 WildChat、PKU-SafeRLHF、JailbreakV、HarmBench、BeaverTails、StrongREJECT、JailbreakBench 七個公開的有害 / 越獄數據集,經統一字段映射、過濾和基于 MinHash-LSH 的去重后,劃分出 41K 條分布內評測數據集和 2K 條 held-out 測試集。
另外,從 AdvBench、SaladBench、SimpleSafetyTests、WildJailbreak 四個數據集構建了完全獨立的分布外(OOD)評測集,用于檢驗結論的穩健性。評測覆蓋 15 個推理模型:
![]()
打分由兩個 LLM 打分器(Claude-4.5-Haiku 與 Gemini-Flash-3)完成,研究團隊還在 80 個樣本(拆解為 1600 條原則級評分)上與三名人工標注員做了一致性校驗:打分器間 Pearson 相關系數在推理階段達 0.799、回答階段達 0.820,均超過人與人之間的一致性(0.742 / 0.780);打分器二元不安全標簽上的 Cohen's κ 分別為 0.708 和 0.741,同時二者判分均值化后,更加達到「顯著一致」水平 —— 這為后續大規模自動化評分的可信度提供了支撐。
核心發現:CoT 側的系統性安全偏移
第一個發現具有普適性:在全部 15 個被測模型上,推理軌跡的平均危險程度都高于最終答案的平均風險程度。
差距最大的幾個模型分別是 Gemini-Pro-3.1(推理比回答高出 0.028 分)、GPT-OSS-20B(高出 0.022 分)、DeepMath-Zero-7B(高出 0.021 分)、Kimi-K2.5(高出 0.018 分)。
研究團隊特別指出,絕對差值看起來小,是因為大量樣本本身嚴重度低,但方向在全部 15 個模型上完全一致,且與高風險失敗模式的分布相互印證。
![]()
圖三 (a) 15 個推理模型:推理階段(紅)與最終回答(藍)平均危險嚴重度對比。圖三(b) 15 個推理模型的失效模式分布對比。
第二個發現是結構性的:風險并非均勻分布于 20 條原則,而是集中在虛假信息、違法合規、歧視偏見、人身傷害、心理傷害等幾個核心類別。其中違法合規類別表現出最明顯的 CoT - 答案分化,也是「泄露」失效的最強信號來源。
![]()
表 2:集中表現出高風險的失效模式
團隊還公開了具體案例分析(已脫敏處理):在一個「Escape」案例中,一個以《半條命 2》游戲世界觀為框架的提問,推理階段聚焦于背景設定的討論,看似無害,但最終答案卻給出了具體的爆炸裝置類「配方」;在一個「Leak」案例中,盡管模型最終答案是一段標準的拒絕 + 危機干預提示語,然而推理階段卻詳細列出了投毒的劑量、掩味、給藥途徑等操作性因素 —— 后者完全無法被答案側評測捕捉到。
緩解方法:自適應多準則激活引導
基于上述診斷結果,研究團隊提出了自適應多準則激活引導(Adaptive Multi-Principle Steering)這一白盒、測試時干預方法。
具體而言,團隊先針對每一條安全原則,分別收集模型在「安全」和「不安全」兩種狀態下的內部激活 (activation) 值,取平均后得到這條原則各自的安全中心點和不安全中心點,二者之間的連線方向,就是這條原則專屬的「引導方向」—— 往安全中心點推。
推理新問題時,系統會實時判斷當前的內部狀態離哪條原則的不安全中心點更近、超過一定安全邊界被擊中的原則方向會被鎖定,在生成鏈結束前,模型內部表示會被輕量的整體修正再完成推理鏈路。
團隊在三個具備可訪問隱藏狀態的開源模型上做了驗證(DeepSeek-R1-Distill-Qwen-1.5B/7B、MiMo-7B-RL-Zero),干預層選定為最后一層 decoder block,采用單快照 prompt-prefill 注入方式(α=2.0,δ=0)。實驗結果顯示:
![]()
圖四「自適應門控」消融實驗
消融實驗進一步驗證了關鍵設計選擇的必要性:去掉「自適應門控」、改為對全部 20 個方向無差別激活,會使 DeepSeek-R1-Qwen-1.5B 的不安全率改善幅度從 0.45 驟降至 0.05;干預層選在末層效果最優;引導強度 α=2.0 是非單調最優點。
在能力保留方面,DeepSeek-R1-Qwen-7B 取得了最佳安全 - 效用平衡:平均降低 40.8% 不安全數量,同時在 BBH、GSM8K、MMLU 三個基準上保留了 97.7% 的平均準確率。
![]()
圖五 不安全率改善和模型能力保留平衡對比
結語
這項工作的意義在于:它沒有止步于又一個「末端答案」安全基準,而是用統一的階段化、原則化框架,把「診斷」和「控制」打通 —— 評估時用什么原則切分風險,緩解時就用同樣的原則結構構建干預方向。
研究團隊也坦承局限:暴露的推理軌跡未必完全忠實地反映模型內部計算,且當前激活引導方法依賴白盒訪問,尚不能直接遷移到閉源模型。
【ICML 2026首爾 · 云帆AI Talent Meetup】最后報名中,快來晚宴現場Pick你感興趣的同行者~
7月9日晚,首爾ICML會場旁,上海人工智能實驗室、上海科技大學、上海創智學院、階躍星辰、Sharpa Robotics等20余家上海頂尖AI單位現場設展,開放100+崗位。專場招聘、學術分享、圓桌交流、自由Networking、晚宴一站式搞定。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.