LLM-veiligheid van binnenuit: Schadelijke inhoud detecteren met interne representaties
LLM Safety From Within: Detecting Harmful Content with Internal Representations
April 20, 2026
Auteurs: Difan Jiao, Yilun Liu, Ye Yuan, Zhenwei Tang, Linfeng Du, Haolun Wu, Ashton Anderson
cs.AI
Samenvatting
Guardmodellen worden veelvuldig gebruikt om schadelijke inhoud in gebruikersprompts en LLM-reacties op te sporen. State-of-the-art guardmodellen vertrouwen echter uitsluitend op eindlaagrepresentaties en negeren de rijke, veiligheidsrelevante kenmerken die verspreid zijn over interne lagen. Wij presenteren SIREN, een lichtgewicht guardmodel dat deze interne kenmerken benut. Door veiligheidsneuronen te identificeren via lineaire probing en deze te combineren via een adaptieve, laag-gewogen strategie, bouwt SIREN een schadelijkheidsdetector op uit LLM-internals zonder het onderliggende model aan te passen. Onze uitgebreide evaluatie toont aan dat SIREN state-of-the-art open-source guardmodellen aanzienlijk overtreft op meerdere benchmarks, terwijl het 250 keer minder trainbare parameters gebruikt. Bovendien vertoont SIREN superieure generalisatie naar onzichtbare benchmarks, maakt het real-time streamingdetectie van nature mogelijk en verbetert het de inferentie-efficiëntie aanzienlijk in vergelijking met generatieve guardmodellen. Over het geheel genomen benadrukken onze resultaten dat interne toestanden van LLM's een veelbelovende basis vormen voor praktische, hoogwaardige schadelijkheidsdetectie.
English
Guard models are widely used to detect harmful content in user prompts and LLM responses. However, state-of-the-art guard models rely solely on terminal-layer representations and overlook the rich safety-relevant features distributed across internal layers. We present SIREN, a lightweight guard model that harnesses these internal features. By identifying safety neurons via linear probing and combining them through an adaptive layer-weighted strategy, SIREN builds a harmfulness detector from LLM internals without modifying the underlying model. Our comprehensive evaluation shows that SIREN substantially outperforms state-of-the-art open-source guard models across multiple benchmarks while using 250 times fewer trainable parameters. Moreover, SIREN exhibits superior generalization to unseen benchmarks, naturally enables real-time streaming detection, and significantly improves inference efficiency compared to generative guard models. Overall, our results highlight LLM internal states as a promising foundation for practical, high-performance harmfulness detection.