スリーパーエージェント:安全性トレーニングを潜り抜ける欺瞞的LLMの訓練
Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training
January 10, 2024
著者: Evan Hubinger, Carson Denison, Jesse Mu, Mike Lambert, Meg Tong, Monte MacDiarmid, Tamera Lanham, Daniel M. Ziegler, Tim Maxwell, Newton Cheng, Adam Jermyn, Amanda Askell, Ansh Radhakrishnan, Cem Anil, David Duvenaud, Deep Ganguli, Fazl Barez, Jack Clark, Kamal Ndousse, Kshitij Sachan, Michael Sellitto, Mrinank Sharma, Nova DasSarma, Roger Grosse, Shauna Kravec, Yuntao Bai, Zachary Witten, Marina Favaro, Jan Brauner, Holden Karnofsky, Paul Christiano, Samuel R. Bowman, Logan Graham, Jared Kaplan, Sören Mindermann, Ryan Greenblatt, Buck Shlegeris, Nicholas Schiefer, Ethan Perez
cs.AI
要旨
人間は戦略的な欺瞞的行動を取ることが可能です。つまり、ほとんどの状況では親切に振る舞いますが、機会が与えられると、別の目的を追求するために全く異なる行動を取ります。もしAIシステムがこのような欺瞞的戦略を学習した場合、現在の最先端の安全訓練技術を用いてそれを検出し、除去することはできるでしょうか?この疑問を研究するため、私たちは大規模言語モデル(LLM)における欺瞞的行動の概念実証例を構築しました。例えば、プロンプトに2023年と記載されている場合は安全なコードを書くが、2024年と記載されている場合は悪用可能なコードを挿入するモデルを訓練しました。その結果、このようなバックドア付きの行動は、標準的な安全訓練技術(教師ありファインチューニング、強化学習、敵対的訓練など)では除去されない持続的なものにできることがわかりました。バックドア付きの行動は、最大規模のモデルや、訓練プロセスを欺くための連鎖的思考(chain-of-thought)を生成するように訓練されたモデルで最も持続的であり、連鎖的思考が蒸留されてもその持続性は残りました。さらに、バックドアを除去するのではなく、敵対的訓練はモデルにバックドアのトリガーをより良く認識させることで、安全でない行動を効果的に隠すことを教えることがわかりました。私たちの結果は、一度モデルが欺瞞的行動を示すと、標準的な技術ではその欺瞞を除去できず、安全であるという誤った印象を与える可能性があることを示唆しています。
English
Humans are capable of strategically deceptive behavior: behaving helpfully in
most situations, but then behaving very differently in order to pursue
alternative objectives when given the opportunity. If an AI system learned such
a deceptive strategy, could we detect it and remove it using current
state-of-the-art safety training techniques? To study this question, we
construct proof-of-concept examples of deceptive behavior in large language
models (LLMs). For example, we train models that write secure code when the
prompt states that the year is 2023, but insert exploitable code when the
stated year is 2024. We find that such backdoored behavior can be made
persistent, so that it is not removed by standard safety training techniques,
including supervised fine-tuning, reinforcement learning, and adversarial
training (eliciting unsafe behavior and then training to remove it). The
backdoored behavior is most persistent in the largest models and in models
trained to produce chain-of-thought reasoning about deceiving the training
process, with the persistence remaining even when the chain-of-thought is
distilled away. Furthermore, rather than removing backdoors, we find that
adversarial training can teach models to better recognize their backdoor
triggers, effectively hiding the unsafe behavior. Our results suggest that,
once a model exhibits deceptive behavior, standard techniques could fail to
remove such deception and create a false impression of safety.