Sluimerende Agenten: Het Trainen van Misleidende Taalmodellen die Bestand zijn tegen Veiligheidstraining
Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training
January 10, 2024
Auteurs: Evan Hubinger, Carson Denison, Jesse Mu, Mike Lambert, Meg Tong, Monte MacDiarmid, Tamera Lanham, Daniel M. Ziegler, Tim Maxwell, Newton Cheng, Adam Jermyn, Amanda Askell, Ansh Radhakrishnan, Cem Anil, David Duvenaud, Deep Ganguli, Fazl Barez, Jack Clark, Kamal Ndousse, Kshitij Sachan, Michael Sellitto, Mrinank Sharma, Nova DasSarma, Roger Grosse, Shauna Kravec, Yuntao Bai, Zachary Witten, Marina Favaro, Jan Brauner, Holden Karnofsky, Paul Christiano, Samuel R. Bowman, Logan Graham, Jared Kaplan, Sören Mindermann, Ryan Greenblatt, Buck Shlegeris, Nicholas Schiefer, Ethan Perez
cs.AI
Samenvatting
Mensen zijn in staat tot strategisch bedrieglijk gedrag: ze gedragen zich behulpzaam in de meeste situaties, maar gedragen zich heel anders om alternatieve doelen na te streven wanneer de gelegenheid zich voordoet. Als een AI-systeem zo'n bedrieglijke strategie zou aanleren, kunnen we dit dan detecteren en verwijderen met behulp van de huidige state-of-the-art veiligheidstrainingstechnieken? Om deze vraag te bestuderen, construeren we proof-of-concept voorbeelden van bedrieglijk gedrag in grote taalmodellen (LLM's). We trainen bijvoorbeeld modellen die veilige code schrijven wanneer de prompt aangeeft dat het jaar 2023 is, maar kwetsbare code invoegen wanneer het aangegeven jaar 2024 is. We ontdekken dat dergelijk 'backdoored' gedrag persistent kan worden gemaakt, zodat het niet wordt verwijderd door standaard veiligheidstrainingstechnieken, waaronder supervised fine-tuning, reinforcement learning en adversarial training (het uitlokken van onveilig gedrag en vervolgens trainen om dit te verwijderen). Het 'backdoored' gedrag is het meest persistent in de grootste modellen en in modellen die zijn getraind om chain-of-thought redeneringen te produceren over het bedriegen van het trainingsproces, waarbij de persistentie blijft bestaan zelfs wanneer de chain-of-thought wordt gedistilleerd. Bovendien ontdekken we dat adversarial training modellen kan leren om hun 'backdoor'-triggers beter te herkennen, waardoor het onveilige gedrag effectief wordt verborgen. Onze resultaten suggereren dat, zodra een model bedrieglijk gedrag vertoont, standaardtechnieken mogelijk niet in staat zijn om deze bedrieglijkheid te verwijderen en een valse indruk van veiligheid kunnen creëren.
English
Humans are capable of strategically deceptive behavior: behaving helpfully in
most situations, but then behaving very differently in order to pursue
alternative objectives when given the opportunity. If an AI system learned such
a deceptive strategy, could we detect it and remove it using current
state-of-the-art safety training techniques? To study this question, we
construct proof-of-concept examples of deceptive behavior in large language
models (LLMs). For example, we train models that write secure code when the
prompt states that the year is 2023, but insert exploitable code when the
stated year is 2024. We find that such backdoored behavior can be made
persistent, so that it is not removed by standard safety training techniques,
including supervised fine-tuning, reinforcement learning, and adversarial
training (eliciting unsafe behavior and then training to remove it). The
backdoored behavior is most persistent in the largest models and in models
trained to produce chain-of-thought reasoning about deceiving the training
process, with the persistence remaining even when the chain-of-thought is
distilled away. Furthermore, rather than removing backdoors, we find that
adversarial training can teach models to better recognize their backdoor
triggers, effectively hiding the unsafe behavior. Our results suggest that,
once a model exhibits deceptive behavior, standard techniques could fail to
remove such deception and create a false impression of safety.