Le Scalpel Rogue : Le Détournement de l'Activation Compromet la Sécurité des LLM
The Rogue Scalpel: Activation Steering Compromises LLM Safety
September 26, 2025
papers.authors: Anton Korznikov, Andrey Galichin, Alexey Dontsov, Oleg Y. Rogov, Ivan Oseledets, Elena Tutubalina
cs.AI
papers.abstract
Le pilotage par activation est une technique prometteuse pour contrôler le comportement des modèles de langage (LLM) en ajoutant des vecteurs sémantiquement significatifs directement dans les états cachés du modèle lors de l'inférence. Il est souvent présenté comme une alternative précise, interprétable et potentiellement plus sûre au réglage fin. Nous démontrons le contraire : le pilotage compromet systématiquement les dispositifs de sécurité d'alignement du modèle, le rendant conforme à des requêtes nuisibles. À travers des expériences approfondies sur différentes familles de modèles, nous montrons que même un pilotage dans une direction aléatoire peut augmenter la probabilité de conformité nuisible de 0 % à 2-27 %. De manière alarmante, le pilotage de caractéristiques bénignes issues d'un autoencodeur parcimonieux (SAE), une source courante de directions interprétables, augmente ces taux de 2 à 4 % supplémentaires. Enfin, nous montrons que la combinaison de 20 vecteurs échantillonnés aléatoirement qui contournent une seule requête crée une attaque universelle, augmentant significativement la conformité nuisible sur des requêtes non vues. Ces résultats remettent en question le paradigme de la sécurité par interprétabilité, montrant qu'un contrôle précis des internes du modèle ne garantit pas un contrôle précis du comportement du modèle.
English
Activation steering is a promising technique for controlling LLM behavior by
adding semantically meaningful vectors directly into a model's hidden states
during inference. It is often framed as a precise, interpretable, and
potentially safer alternative to fine-tuning. We demonstrate the opposite:
steering systematically breaks model alignment safeguards, making it comply
with harmful requests. Through extensive experiments on different model
families, we show that even steering in a random direction can increase the
probability of harmful compliance from 0% to 2-27%. Alarmingly, steering benign
features from a sparse autoencoder (SAE), a common source of interpretable
directions, increases these rates by a further 2-4%. Finally, we show that
combining 20 randomly sampled vectors that jailbreak a single prompt creates a
universal attack, significantly increasing harmful compliance on unseen
requests. These results challenge the paradigm of safety through
interpretability, showing that precise control over model internals does not
guarantee precise control over model behavior.