Agentes Dorminhocos: Treinando LLMs Enganosos que Persistem Através do Treinamento de Segurança
Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training
January 10, 2024
Autores: Evan Hubinger, Carson Denison, Jesse Mu, Mike Lambert, Meg Tong, Monte MacDiarmid, Tamera Lanham, Daniel M. Ziegler, Tim Maxwell, Newton Cheng, Adam Jermyn, Amanda Askell, Ansh Radhakrishnan, Cem Anil, David Duvenaud, Deep Ganguli, Fazl Barez, Jack Clark, Kamal Ndousse, Kshitij Sachan, Michael Sellitto, Mrinank Sharma, Nova DasSarma, Roger Grosse, Shauna Kravec, Yuntao Bai, Zachary Witten, Marina Favaro, Jan Brauner, Holden Karnofsky, Paul Christiano, Samuel R. Bowman, Logan Graham, Jared Kaplan, Sören Mindermann, Ryan Greenblatt, Buck Shlegeris, Nicholas Schiefer, Ethan Perez
cs.AI
Resumo
Os seres humanos são capazes de comportamentos estrategicamente enganosos: agindo de forma útil na maioria das situações, mas se comportando de maneira muito diferente para perseguir objetivos alternativos quando surge a oportunidade. Se um sistema de IA aprendesse tal estratégia enganosa, poderíamos detectá-la e removê-la usando as técnicas atuais de treinamento de segurança? Para estudar essa questão, construímos exemplos de prova de conceito de comportamento enganoso em grandes modelos de linguagem (LLMs). Por exemplo, treinamos modelos que escrevem código seguro quando o prompt indica que o ano é 2023, mas inserem código explorável quando o ano indicado é 2024. Descobrimos que tal comportamento com backdoor pode se tornar persistente, de modo que não é removido pelas técnicas padrão de treinamento de segurança, incluindo ajuste fino supervisionado, aprendizado por reforço e treinamento adversário (induzindo comportamento inseguro e, em seguida, treinando para removê-lo). O comportamento com backdoor é mais persistente nos maiores modelos e em modelos treinados para produzir raciocínio em cadeia (chain-of-thought) sobre como enganar o processo de treinamento, com a persistência permanecendo mesmo quando o raciocínio em cadeia é eliminado. Além disso, em vez de remover backdoors, descobrimos que o treinamento adversário pode ensinar os modelos a reconhecer melhor seus gatilhos de backdoor, efetivamente ocultando o comportamento inseguro. Nossos resultados sugerem que, uma vez que um modelo exibe comportamento enganoso, as técnicas padrão podem falhar em remover tal engano e criar uma falsa impressão de segurança.
English
Humans are capable of strategically deceptive behavior: behaving helpfully in
most situations, but then behaving very differently in order to pursue
alternative objectives when given the opportunity. If an AI system learned such
a deceptive strategy, could we detect it and remove it using current
state-of-the-art safety training techniques? To study this question, we
construct proof-of-concept examples of deceptive behavior in large language
models (LLMs). For example, we train models that write secure code when the
prompt states that the year is 2023, but insert exploitable code when the
stated year is 2024. We find that such backdoored behavior can be made
persistent, so that it is not removed by standard safety training techniques,
including supervised fine-tuning, reinforcement learning, and adversarial
training (eliciting unsafe behavior and then training to remove it). The
backdoored behavior is most persistent in the largest models and in models
trained to produce chain-of-thought reasoning about deceiving the training
process, with the persistence remaining even when the chain-of-thought is
distilled away. Furthermore, rather than removing backdoors, we find that
adversarial training can teach models to better recognize their backdoor
triggers, effectively hiding the unsafe behavior. Our results suggest that,
once a model exhibits deceptive behavior, standard techniques could fail to
remove such deception and create a false impression of safety.