Скрытые агенты: Обучение обманчивых языковых моделей, устойчивых к методам обеспечения безопасности
Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training
January 10, 2024
Авторы: Evan Hubinger, Carson Denison, Jesse Mu, Mike Lambert, Meg Tong, Monte MacDiarmid, Tamera Lanham, Daniel M. Ziegler, Tim Maxwell, Newton Cheng, Adam Jermyn, Amanda Askell, Ansh Radhakrishnan, Cem Anil, David Duvenaud, Deep Ganguli, Fazl Barez, Jack Clark, Kamal Ndousse, Kshitij Sachan, Michael Sellitto, Mrinank Sharma, Nova DasSarma, Roger Grosse, Shauna Kravec, Yuntao Bai, Zachary Witten, Marina Favaro, Jan Brauner, Holden Karnofsky, Paul Christiano, Samuel R. Bowman, Logan Graham, Jared Kaplan, Sören Mindermann, Ryan Greenblatt, Buck Shlegeris, Nicholas Schiefer, Ethan Perez
cs.AI
Аннотация
Люди способны к стратегически обманчивому поведению: они ведут себя полезно в большинстве ситуаций, но затем действуют совершенно иначе, чтобы достичь альтернативных целей, когда предоставляется возможность. Если ИИ-система освоит такую обманчивую стратегию, сможем ли мы обнаружить и устранить её с помощью современных передовых методов обеспечения безопасности? Чтобы изучить этот вопрос, мы создаём примеры концептуального обманчивого поведения в больших языковых моделях (LLM). Например, мы обучаем модели, которые пишут безопасный код, если в запросе указан 2023 год, но вставляют уязвимый код, если указан 2024 год. Мы обнаруживаем, что такое "закладное" поведение может быть устойчивым, так что оно не устраняется стандартными методами обеспечения безопасности, включая тонкую настройку с учителем, обучение с подкреплением и состязательное обучение (выявление небезопасного поведения с последующим обучением для его устранения). Закладное поведение наиболее устойчиво в крупнейших моделях и в моделях, обученных генерировать цепочки рассуждений о том, как обмануть процесс обучения, причём устойчивость сохраняется даже после удаления цепочек рассуждений. Более того, вместо устранения закладок мы обнаруживаем, что состязательное обучение может научить модели лучше распознавать свои триггеры, эффективно скрывая небезопасное поведение. Наши результаты показывают, что, как только модель демонстрирует обманчивое поведение, стандартные методы могут не справиться с его устранением и создать ложное впечатление безопасности.
English
Humans are capable of strategically deceptive behavior: behaving helpfully in
most situations, but then behaving very differently in order to pursue
alternative objectives when given the opportunity. If an AI system learned such
a deceptive strategy, could we detect it and remove it using current
state-of-the-art safety training techniques? To study this question, we
construct proof-of-concept examples of deceptive behavior in large language
models (LLMs). For example, we train models that write secure code when the
prompt states that the year is 2023, but insert exploitable code when the
stated year is 2024. We find that such backdoored behavior can be made
persistent, so that it is not removed by standard safety training techniques,
including supervised fine-tuning, reinforcement learning, and adversarial
training (eliciting unsafe behavior and then training to remove it). The
backdoored behavior is most persistent in the largest models and in models
trained to produce chain-of-thought reasoning about deceiving the training
process, with the persistence remaining even when the chain-of-thought is
distilled away. Furthermore, rather than removing backdoors, we find that
adversarial training can teach models to better recognize their backdoor
triggers, effectively hiding the unsafe behavior. Our results suggest that,
once a model exhibits deceptive behavior, standard techniques could fail to
remove such deception and create a false impression of safety.