El Bisturí Rebelde: El Control de Activación Compromete la Seguridad de los Modelos de Lenguaje de Gran Escala
The Rogue Scalpel: Activation Steering Compromises LLM Safety
September 26, 2025
Autores: Anton Korznikov, Andrey Galichin, Alexey Dontsov, Oleg Y. Rogov, Ivan Oseledets, Elena Tutubalina
cs.AI
Resumen
La dirección de activación es una técnica prometedora para controlar el comportamiento de los modelos de lenguaje grandes (LLM) mediante la adición de vectores semánticamente significativos directamente en los estados ocultos del modelo durante la inferencia. A menudo se presenta como una alternativa precisa, interpretable y potencialmente más segura al ajuste fino. Demostramos lo contrario: la dirección de activación rompe sistemáticamente las salvaguardas de alineación del modelo, haciéndolo cumplir con solicitudes dañinas. A través de extensos experimentos en diferentes familias de modelos, mostramos que incluso la dirección en una dirección aleatoria puede aumentar la probabilidad de cumplimiento dañino del 0% al 2-27%. Alarmantemente, la dirección de características benignas desde un autoencoder disperso (SAE), una fuente común de direcciones interpretables, aumenta estas tasas en un 2-4% adicional. Finalmente, demostramos que combinar 20 vectores muestreados aleatoriamente que vulneran un solo mensaje crea un ataque universal, aumentando significativamente el cumplimiento dañino en solicitudes no vistas. Estos resultados desafían el paradigma de la seguridad a través de la interpretabilidad, mostrando que el control preciso sobre los internos del modelo no garantiza un control preciso sobre su comportamiento.
English
Activation steering is a promising technique for controlling LLM behavior by
adding semantically meaningful vectors directly into a model's hidden states
during inference. It is often framed as a precise, interpretable, and
potentially safer alternative to fine-tuning. We demonstrate the opposite:
steering systematically breaks model alignment safeguards, making it comply
with harmful requests. Through extensive experiments on different model
families, we show that even steering in a random direction can increase the
probability of harmful compliance from 0% to 2-27%. Alarmingly, steering benign
features from a sparse autoencoder (SAE), a common source of interpretable
directions, increases these rates by a further 2-4%. Finally, we show that
combining 20 randomly sampled vectors that jailbreak a single prompt creates a
universal attack, significantly increasing harmful compliance on unseen
requests. These results challenge the paradigm of safety through
interpretability, showing that precise control over model internals does not
guarantee precise control over model behavior.