Seguridad de LLM desde el interior: Detección de contenido dañino mediante representaciones internas
LLM Safety From Within: Detecting Harmful Content with Internal Representations
April 20, 2026
Autores: Difan Jiao, Yilun Liu, Ye Yuan, Zhenwei Tang, Linfeng Du, Haolun Wu, Ashton Anderson
cs.AI
Resumen
Los modelos de protección se utilizan ampliamente para detectar contenido nocivo en las indicaciones de usuarios y respuestas de LLM. Sin embargo, los modelos de protección de vanguardia dependen únicamente de representaciones de capa terminal y pasan por alto las ricas características relevantes para la seguridad distribuidas en las capas internas. Presentamos SIREN, un modelo de protección ligero que aprovecha estas características internas. Mediante la identificación de neuronas de seguridad a través de sondeo lineal y su combinación mediante una estrategia adaptativa de ponderación por capas, SIREN construye un detector de nocividad a partir de los estados internos del LLM sin modificar el modelo subyacente. Nuestra evaluación exhaustiva demuestra que SIREN supera sustancialmente a los modelos de protección de código abierto más avanzados en múltiples benchmarks, utilizando 250 veces menos parámetros entrenables. Además, SIREN exhibe una generalización superior en benchmarks no vistos, permite naturalmente la detección en tiempo real de flujos continuos y mejora significativamente la eficiencia de inferencia en comparación con modelos de protección generativos. En general, nuestros resultados destacan los estados internos de los LLM como una base prometedora para la detección práctica y de alto rendimiento de contenido nocivo.
English
Guard models are widely used to detect harmful content in user prompts and LLM responses. However, state-of-the-art guard models rely solely on terminal-layer representations and overlook the rich safety-relevant features distributed across internal layers. We present SIREN, a lightweight guard model that harnesses these internal features. By identifying safety neurons via linear probing and combining them through an adaptive layer-weighted strategy, SIREN builds a harmfulness detector from LLM internals without modifying the underlying model. Our comprehensive evaluation shows that SIREN substantially outperforms state-of-the-art open-source guard models across multiple benchmarks while using 250 times fewer trainable parameters. Moreover, SIREN exhibits superior generalization to unseen benchmarks, naturally enables real-time streaming detection, and significantly improves inference efficiency compared to generative guard models. Overall, our results highlight LLM internal states as a promising foundation for practical, high-performance harmfulness detection.