Segurança de LLM por Dentro: Detecção de Conteúdo Prejudicial com Representações Internas
LLM Safety From Within: Detecting Harmful Content with Internal Representations
April 20, 2026
Autores: Difan Jiao, Yilun Liu, Ye Yuan, Zhenwei Tang, Linfeng Du, Haolun Wu, Ashton Anderson
cs.AI
Resumo
Os modelos de guarda são amplamente utilizados para detectar conteúdo nocivo em prompts de usuários e respostas de LLMs. No entanto, os modelos de guarda de última geração dependem exclusivamente de representações da camada final e negligenciam as ricas características relevantes para segurança distribuídas pelas camadas internas. Apresentamos a SIREN, um modelo de guarda leve que aproveita essas características internas. Ao identificar neurônios de segurança por meio de sondagem linear e combiná-los através de uma estratégia adaptativa de ponderação por camadas, a SIREN constrói um detector de nocividade a partir dos estados internos do LLM sem modificar o modelo subjacente. Nossa avaliação abrangente mostra que a SIREN supera substancialmente os modelos de guarda de código aberto mais avançados em múltiplos benchmarks, utilizando 250 vezes menos parâmetros treináveis. Além disso, a SIREN exibe generalização superior para benchmarks não vistos, permite naturalmente a detecção em tempo real em streaming e melhora significativamente a eficiência de inferência em comparação com modelos de guarda generativos. No geral, nossos resultados destacam os estados internos de LLMs como uma base promissora para a detecção prática e de alto desempenho de nocividade.
English
Guard models are widely used to detect harmful content in user prompts and LLM responses. However, state-of-the-art guard models rely solely on terminal-layer representations and overlook the rich safety-relevant features distributed across internal layers. We present SIREN, a lightweight guard model that harnesses these internal features. By identifying safety neurons via linear probing and combining them through an adaptive layer-weighted strategy, SIREN builds a harmfulness detector from LLM internals without modifying the underlying model. Our comprehensive evaluation shows that SIREN substantially outperforms state-of-the-art open-source guard models across multiple benchmarks while using 250 times fewer trainable parameters. Moreover, SIREN exhibits superior generalization to unseen benchmarks, naturally enables real-time streaming detection, and significantly improves inference efficiency compared to generative guard models. Overall, our results highlight LLM internal states as a promising foundation for practical, high-performance harmfulness detection.