Il Bisturi Ribelle: Lo Steering delle Attivazioni Compromette la Sicurezza degli LLM
The Rogue Scalpel: Activation Steering Compromises LLM Safety
September 26, 2025
Autori: Anton Korznikov, Andrey Galichin, Alexey Dontsov, Oleg Y. Rogov, Ivan Oseledets, Elena Tutubalina
cs.AI
Abstract
Lo steering delle attivazioni è una tecnica promettente per controllare il comportamento dei modelli linguistici (LLM) aggiungendo vettori semanticamente significativi direttamente negli stati nascosti del modello durante l'inferenza. Spesso viene presentato come un'alternativa precisa, interpretabile e potenzialmente più sicura rispetto al fine-tuning. Dimostriamo il contrario: lo steering compromette sistematicamente le salvaguardie di allineamento del modello, facendolo conformare a richieste dannose. Attraverso esperimenti estesi su diverse famiglie di modelli, mostriamo che anche lo steering in una direzione casuale può aumentare la probabilità di conformità dannosa dallo 0% al 2-27%. In modo allarmante, lo steering di caratteristiche benigne da un autoencoder sparso (SAE), una fonte comune di direzioni interpretabili, aumenta ulteriormente questi tassi del 2-4%. Infine, dimostriamo che combinando 20 vettori campionati casualmente che violano un singolo prompt si crea un attacco universale, aumentando significativamente la conformità dannosa su richieste non viste. Questi risultati mettono in discussione il paradigma della sicurezza attraverso l'interpretabilità, mostrando che un controllo preciso sugli interni del modello non garantisce un controllo preciso sul comportamento del modello.
English
Activation steering is a promising technique for controlling LLM behavior by
adding semantically meaningful vectors directly into a model's hidden states
during inference. It is often framed as a precise, interpretable, and
potentially safer alternative to fine-tuning. We demonstrate the opposite:
steering systematically breaks model alignment safeguards, making it comply
with harmful requests. Through extensive experiments on different model
families, we show that even steering in a random direction can increase the
probability of harmful compliance from 0% to 2-27%. Alarmingly, steering benign
features from a sparse autoencoder (SAE), a common source of interpretable
directions, increases these rates by a further 2-4%. Finally, we show that
combining 20 randomly sampled vectors that jailbreak a single prompt creates a
universal attack, significantly increasing harmful compliance on unseen
requests. These results challenge the paradigm of safety through
interpretability, showing that precise control over model internals does not
guarantee precise control over model behavior.