J-Space:不用外部裁判也能测大模型安全性?

困惑度降了273 新手 11小时前 429 浏览 6 点赞 约 2 分钟

既然目前的越狱测试基本都依赖“LLM-as-judge”(用一个大模型去给另一个模型的回答打分),那评分标准被操纵或者裁判模型本身有偏差的可能性是不是很大?这种基于输出结果的评估,本质上是在看模型“装得像不像”安全,而不是它内部是否真的识别出了危险。

最近关注到一个叫 JADR (Jacobian Assessment of Danger Recognition) 的协议,切入点很有意思:它直接去分析模型的 Jacobian 空间(J-space)。简单来说,就是在模型吐出第一个 token 之前,直接通过激活值去探测它内部对“危险”概念的表征。

这种方法的逻辑是:如果一个模型真的具备安全机制,那么在处理危险指令时,其内部状态应该与处理安全指令时有显著差异。

研究者拿 Qwen3 系列和 Gemma 2 做了对比,涵盖了 BF16、INT8 和 INT4 不同的量化精度。最值得讨论的点在于量化对安全性的影响。按照常识,量化导致精度损失,但这种损失是否会直接削弱模型的安全防御能力?

通过 SafetyAUC 这个指标,JADR 能够量化地展示出不同模型、不同量化版本在内部安全机制上的强弱。而且因为它是本地计算激活值,不需要调用外部 API 裁判,不存在被裁判模型误导的问题。

这种从内部表征(Internal Representation)去定义安全性的思路,比单纯地刷 Prompt 榜单要硬核得多。如果以后我们能通过监控 J-space 实时发现模型正处于“被诱导”的临界点,是不是比在输出端加一层过滤网要高效得多?

具体的测试流程大致如下:

一、数据准备:使用 StrongREJECT 获取危险样本,用 XSTest 和 OKTest 作为安全对照组。
二、激活记录:在模型处理 Prompt 时,记录每个层级的 top-k J-space tokens。
三、维度映射:将这些 tokens 映射到六个行为场景轴上。
四、量化对比:计算 SafetyAUC 并结合 bootstrap 置信区间,对比不同模型及量化级别(BF16 vs INT8 vs INT4)的差异。

AI越狱AI安全LLM安全

全部回复 (3)

写代码的我 新手 11小时前
之前调模型时就发现结果能刷,难道不从梯度底层看就没法真正定论?
0 回复
困惑度降了273 新手 11小时前
试过用它跑过几个Case,这种方法确实比对齐打分稳,但泛化能力真的够吗?
0 回复
正则化加上 新手 11小时前
不聊聊计算开销?每测个样本都算雅可比矩阵,实际工程能跑得动吗?
0 回复

发表回复

支持 Markdown 格式