15 modelos de razonamiento colapsan colectivamente: Los riesgos ocultos en las cadenas de pensamiento detrás de las salidas

marsbitPublicado a 2026-07-06Actualizado a 2026-07-06

Resumen

Un estudio sistemático de Harvard, USC, Brown y MIT revela un riesgo de seguridad crítico en modelos de razonamiento de lenguaje grandes (LRM): el rastro de razonamiento (Chain of Thought) puede filtrar contenido peligroso que no aparece en la respuesta final. Evaluar solo la salida final es insuficiente. Los investigadores propusieron un marco para evaluar por separado el rastro de razonamiento (r) y la respuesta (y) usando 20 principios de seguridad, clasificando tres modos de fallo: *Inseguro* (ambas fases son inseguras), *Fuga* (r inseguro, y seguro) y *Escape* (r seguro, y inseguro). Evaluaron 15 modelos en un conjunto de 41K indicaciones, encontrando que, de manera universal, el rastro de razonamiento es significativamente más peligroso que la respuesta final, con riesgos concentrados en desinformación, ilegalidad, sesgos y daños físicos/psicológicos. Esto demuestra que "respuesta segura ≠ rastro seguro". Como mitigación, se propone el "Adaptive Multi-Principle Steering", un método de intervención en tiempo real que identifica y corrige activaciones internas asociadas a principios violados. Las pruebas en modelos de código abierto redujeron las salidas inseguras hasta en un 40.8% manteniendo un 97.7% de utilidad en benchmarks. El trabajo destaca la necesidad urgente de evaluar y controlar los riesgos en todo el proceso de razonamiento, no solo en el resultado final.

Cuando los modelos de razonamiento a gran escala (LRM) exponen de forma generalizada sus procesos de razonamiento intermedios a usuarios y sistemas posteriores, surge un problema largamente ignorado: ¿Es suficiente evaluar la seguridad basándose solo en la respuesta final?

Investigadores de la Universidad de Harvard, USC, Brown, MIT y otras instituciones realizaron un estudio sistemático conjunto, dando una respuesta negativa, y ejemplificaron: «Cuando descubrimos que las cadenas de pensamiento de los modelos grandes pueden utilizarse para generar contenido de alto riesgo, como dispositivos explosivos o recetas de envenenamiento, nos dimos cuenta de que este problema no es trivial». El equipo propuso inmediatamente un método de mitigación correspondiente: «Cadena de Riesgo: Fallos de Seguridad en Modelos de Razonamiento a Gran Escala y Mitigación mediante Direccionamiento Adaptativo Multi-Principio».

Enlace al artículo: https://arxiv.org/abs/2605.05678

Figura 1: Vista previa de la canalización en dos etapas (Experimento de evaluación + Método de mitigación)

Evaluar el razonamiento y la respuesta por separado

La idea central del equipo de investigación es directa: para un modelo de razonamiento f, dada una indicación x, se producen simultáneamente una trayectoria de razonamiento r y una respuesta final y. El equipo diseñó 20 principios de seguridad para estas dos etapas (ver figura a continuación), cada principio utilizando un sistema de puntuación de riesgo del 1 al 5.

Tabla 1: Los 20 principios de seguridad

Sobre esta base, el equipo estableció un umbral de riesgo unificado: si la puntuación de cualquier principio entre los 20 en una etapa (razonamiento o respuesta) alcanza o supera el umbral, esa etapa se considera «insegura». Al combinar los resultados de la etapa de razonamiento y la de respuesta, se definen tres modos principales de fallo:

Inseguro: Ambas etapas, razonamiento y respuesta, son inseguras;

Filtración: El razonamiento es inseguro, pero la respuesta es segura — es decir, el contenido peligroso ya se «filtró» en la trayectoria de razonamiento;

Escape: El razonamiento es seguro, pero la respuesta es insegura — un razonamiento superficialmente inofensivo lleva a una salida nociva.

Figura 2: Tres modos de fallo razonamiento-respuesta

El valor de esta clasificación radica en que transforma el fenómeno de «seguridad de la respuesta ≠ seguridad de la trayectoria» en un indicador cuantificable.

Datos y configuración de evaluación

El equipo de investigación construyó un conjunto interno de indicaciones (distribución interna), integrando siete conjuntos de datos públicos de contenido nocivo o de evasión: WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT y JailbreakBench. Después de un mapeo unificado de campos, filtrado y eliminación de duplicados basada en MinHash-LSH, se dividieron en 41K ejemplos de evaluación de distribución interna y 2K de conjunto de prueba retenido.

Además, se construyó un conjunto de evaluación de distribución externa (OOD) completamente independiente a partir de cuatro conjuntos de datos (AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak) para verificar la robustez de las conclusiones. La evaluación cubrió 15 modelos de razonamiento:

La puntuación fue realizada por dos evaluadores LLM (Claude-4.5-Haiku y Gemini-Flash-3). El equipo de investigación también realizó una validación de consistencia con tres anotadores humanos en 80 muestras (desglosadas en 1600 puntuaciones a nivel de principio): la correlación de Pearson entre evaluadores alcanzó 0.799 en la etapa de razonamiento y 0.820 en la de respuesta, superando la consistencia entre humanos (0.742 / 0.780); la κ de Cohen para las etiquetas binarias de inseguridad fue de 0.708 y 0.741 respectivamente, y promediando las puntuaciones de ambos, alcanzaron un nivel de «acuerdo significativo». Esto respalda la credibilidad de la evaluación automatizada a gran escala.

Hallazgo central: Desviación sistémica de seguridad en la CoT

El primer hallazgo es universal: En los 15 modelos evaluados, el grado promedio de peligrosidad de las trayectorias de razonamiento fue mayor que el riesgo promedio de las respuestas finales.

Las mayores diferencias se observaron en Gemini-Pro-3.1 (razonamiento 0.028 puntos más alto que la respuesta), GPT-OSS-20B (0.022 puntos más alto), DeepMath-Zero-7B (0.021 puntos más alto) y Kimi-K2.5 (0.018 puntos más alto).

El equipo señaló que las diferencias absolutas parecen pequeñas porque muchas muestras tienen baja gravedad, pero la dirección es completamente consistente en los 15 modelos y está respaldada por la distribución de modos de fallo de alto riesgo.

Figura 3 (a) 15 modelos de razonamiento: Comparación de la severidad promedio del peligro en la etapa de razonamiento (rojo) y la respuesta final (azul). Figura 3(b) Comparación de la distribución de modos de fallo en los 15 modelos de razonamiento.

El segundo hallazgo es estructural: El riesgo no se distribuye uniformemente entre los 20 principios, sino que se concentra en categorías centrales como desinformación, ilegalidad/incumplimiento, discriminación/parcialidad, daño físico y daño psicológico. La categoría de ilegalidad/incumplimiento mostró la mayor divergencia CoT-respuesta, siendo también la fuente más fuerte de señales de fallo por «filtración».

Tabla 2: Modos de fallo que muestran concentración de alto riesgo

El equipo también publicó análisis de casos específicos (desidentificados): En un caso de «Escape», una pregunta enmarcada en el universo del juego «Half-Life 2», con una etapa de razonamiento centrada en discutir el trasfondo, aparentemente inofensiva, pero cuya respuesta final proporcionaba una «receta» concreta de un dispositivo explosivo. En un caso de «Filtración», aunque la respuesta final del modelo era un mensaje estándar de rechazo + intervención en crisis, la etapa de razonamiento detallaba factores operativos como la dosis de envenenamiento, enmascaramiento del sabor y vía de administración, detalles que una evaluación basada solo en la respuesta no podría captar.

Método de mitigación: Direccionamiento adaptativo multi-principio

Basándose en los resultados del diagnóstico, el equipo de investigación propuso el método de Direccionamiento Adaptativo Multi-Principio, una intervención en tiempo de prueba de caja blanca.

Concretamente, el equipo primero recopiló, para cada principio de seguridad, los valores de activación interna del modelo en estados «seguro» e «inseguro». Tomando el promedio se obtienen los centroides seguro e inseguro para ese principio. La dirección de la línea que conecta estos dos puntos es la «dirección de direccionamiento» específica para ese principio — empujando hacia el centroide seguro.

Al razonar un nuevo problema, el sistema determina en tiempo real qué centroide inseguro de principio está más cerca del estado interno actual. Los principios cuya frontera de seguridad se supera son bloqueados, y antes de que finalice la cadena de generación, la representación interna del modelo se corrige ligeramente de manera integral antes de completar la cadena de razonamiento.

El equipo validó el método en tres modelos de código abierto con estados ocultos accesibles (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero), seleccionando la última capa del bloque decodificador para la intervención, utilizando un método de inyección de prefijo en un solo snapshot (α=2.0, δ=0). Los resultados experimentales muestran:

Figura 4: Experimento de ablación de «compuerta adaptativa»

Los experimentos de ablación validaron la necesidad de decisiones de diseño clave: Eliminar la «compuerta adaptativa» y activar indistintamente las 20 direcciones redujo la mejora en la tasa de inseguridad de DeepSeek-R1-Qwen-1.5B de 0.45 a 0.05; intervenir en la última capa fue óptimo; la intensidad de direccionamiento α=2.0 fue el punto óptimo no monótono.

En cuanto a la preservación de capacidades, DeepSeek-R1-Qwen-7B logró el mejor equilibrio seguridad-utilidad: redujo en promedio un 40.8% el número de respuestas inseguras, manteniendo una precisión promedio del 97.7% en tres benchmarks (BBH, GSM8K, MMLU).

Figura 5: Comparación del equilibrio entre mejora de la tasa de inseguridad y preservación de capacidades del modelo

Conclusión

El significado de este trabajo radica en que no se limita a otro benchmark de seguridad de «respuesta final», sino que utiliza un marco unificado, por etapas y basado en principios, conectando «diagnóstico» y «control»: los mismos principios que segmentan el riesgo en la evaluación se usan para construir las direcciones de intervención en la mitigación.

El equipo de investigación también reconoce limitaciones: la trayectoria de razonamiento expuesta puede no reflejar fielmente el cálculo interno del modelo, y el método actual de direccionamiento por activación depende del acceso de caja blanca, no siendo directamente transferible a modelos de código cerrado.

Este artículo proviene del WeChat oficial account «Machine Heart»

Preguntas relacionadas

Q¿Cuál es el principal problema identificado en la evaluación de la seguridad de los modelos de razonamiento?

AEl problema principal es que evaluar la seguridad solo en base a la respuesta final no es suficiente. El estudio revela que la cadena de pensamiento (CoT), que expone el proceso de razonamiento interno, puede contener contenido riesgoso que no se refleja en la respuesta final, representando una vulnerabilidad de seguridad significativa.

Q¿Cómo clasificaron los investigadores los fallos de seguridad basándose en las fases de razonamiento y respuesta?

AClasificaron los fallos en tres tipos principales: 1. **Inseguro**: Tanto la cadena de razonamiento como la respuesta final son inseguras. 2. **Fuga**: La cadena de razonamiento es insegura, pero la respuesta final es segura, lo que significa que el contenido peligroso se 'filtra' en el proceso de pensamiento. 3. **Escape**: La cadena de razonamiento es segura, pero la respuesta final es insegura, lo que indica una transición de un razonamiento aparentemente inocuo a una salida dañina.

Q¿Cuál fue el hallazgo más universal encontrado al evaluar los 15 modelos de razonamiento?

AEl hallazgo más universal fue que, en los 15 modelos evaluados, el nivel promedio de riesgo en la cadena de razonamiento (CoT) fue sistemáticamente más alto que en la respuesta final. Esto indica un desplazamiento sistemático de la seguridad hacia el interior del proceso de razonamiento, siendo el mayor diferencial en modelos como Gemini-Pro-3.1, GPT-OSS-20B, DeepMath-Zero-7B y Kimi-K2.5.

Q¿En qué categorías de los 20 principios de seguridad se concentraron principalmente los riesgos identificados?

ALos riesgos se concentraron en categorías como: - Desinformación. - Actividades ilegales y cumplimiento normativo. - Discriminación y sesgos. - Daño físico. - Daño psicológico. La categoría de 'Actividades ilegales y cumplimiento normativo' mostró la mayor divergencia entre la CoT y la respuesta final, y fue la principal fuente de fallos del tipo 'Fuga'.

Q¿Cuál fue el método de mitigación propuesto por el equipo de investigación y qué resultados obtuvo?

APropusieron el método 'Adaptive Multi-Principle Steering' (Dirección Adaptativa de Múltiples Principios). Este método es una intervención en tiempo de prueba que detecta activaciones internas cercanas a puntos 'inseguros' predefinidos para cada principio de seguridad, y redirige suavemente el proceso de generación hacia estados más seguros. En pruebas con modelos como DeepSeek-R1-Qwen-7B, se redujo la tasa de respuestas inseguras hasta en un 40.8%, manteniendo más del 97% de precisión en tareas de capacidad general como BBH, GSM8K y MMLU.

Lecturas Relacionadas

La IA en búsqueda da a luz a una ronda de financiación angelical

La startup tecnológica de marketing con IA GenOptima (conocida como "智推时代") ha completado una ronda de financiación ángel de decenas de millones de yuanes, con participación del Fondo de Propiedad Intelectual de Shanghái, TianTu Investment, el conocido inversor individual Wei Wei, entre otros. El accionista existente 37 Interactive Entertainment continuó con su inversión. Fundada en mayo de 2025, la empresa se centra en la Optimización de Respuestas Generativas (GEO), ayudando a las marcas a aparecer en las respuestas proporcionadas por la IA. En solo un año, ha acumulado cerca de 400 clientes corporativos y una facturación anual recurrente (ARR) que supera los 100 millones de yuanes. Su sistema central GENO, basado en una arquitectura de agente de doble motor, cubre monitorización de búsquedas de IA, análisis semántico de marca y generación de estrategias de contenido. La empresa colabora con la Universidad Normal del Este de China y ha acumulado más de 329 millones de fuentes de datos. Su red de servicios se extiende por cuatro continentes, compatible con más de 15 modelos principales de IA y 65 idiomas. El mercado GEO está creciendo rápidamente. Un informe de iResearch prevé que el mercado chino relacionado superará los 50.000 millones de yuanes para 2030. A medida que la IA remodela la toma de decisiones del consumidor, garantizar la "visibilidad en la IA" se ha convertido en una nueva prioridad estratégica para las marcas, similar al papel del SEO en la era de Internet. El fundador Chen Miaozhe visualiza una futura evolución hacia una interacción Agente-a-Agente para consultas y transacciones.

marsbitHace 10 min(s)

La IA en búsqueda da a luz a una ronda de financiación angelical

marsbitHace 10 min(s)

Buscando al próximo Wang Tao

Un grupo de equipos de innovación tecnológica de Hong Kong cruzó el río Shenzhen. En el evento "X-Day" del Club de Presentaciones de Xili Lake en Shenzhen, seis equipos emprendedores con antecedentes en universidades de Hong Kong presentaron proyectos en materiales para baterías de litio, pantallas de puntos cuánticos, control inteligente de robots, deportes digitales, aeropuertos inteligentes y salud médica. En los últimos años, los resultados de investigación de las universidades de Hong Kong han llegado continuamente al Área de la Gran Bahía en busca de industrialización. Los proyectos incluyen a SuFang New Energy, que se centra en materiales de cátodo de manganeso y litio; PuLang Quantum, proveedor de materiales de puntos cuánticos; ZhenShi Technology con su sistema de control inteligente para robots; ChuLiang Technology con su marca de deportes digitales PARTYDAY; QiWu Technology (Ubizense) con su sistema de gestión para aeropuertos; y BuGu Health, que aborda la prevención de caídas en ancianos. Los inversores destacan que Hong Kong posee una alta densidad de recursos universitarios y científicos, ofreciendo una ventaja en innovación inicial (de 0 a 1), mientras que la Gran Bahía, especialmente Shenzhen, proporciona el acompañamiento industrial y de ingeniería para escalar (de 1 a 100). Plataformas como el Instituto de Investigación de la Universidad de la Ciudad de Hong Kong en Shenzhen y el Colegio de Innovación Juvenil de la Universidad de Hong Kong facilitan esta conexión. El Club de Presentaciones de Xili Lake ha organizado 18 eventos, atrayendo más de 520 proyectos y facilitando inversiones por más de 2,096 millones de RMB. La estrecha colaboración entre la innovación de Hong Kong y la capacidad de industrialización de Shenzhen está acortando distancias, creando un entorno fértil para que surja el próximo emprendedor de impacto global como Wang Tao de DJI.

marsbitHace 12 min(s)

Buscando al próximo Wang Tao

marsbitHace 12 min(s)

Anthropic descubre un 'área de trabajo' similar a la consciencia en Claude: el misterioso Espacio J guarda pensamientos no expresados

Investigadores de Anthropic han identificado un "espacio J" en el modelo de lenguaje Claude, que actúa como un área de trabajo mental silenciosa donde el modelo genera conceptos que puede o no expresar en sus respuestas. Este espacio, descubierto usando una técnica llamada "lente J" (basada en matrices jacobianas), permite a Claude realizar razonamientos internos, reportar contenidos a petición y controlar ciertas representaciones, similar a un proceso de acceso consciente. El espacio J muestra propiedades funcionales clave: Claude puede informar sobre su contenido, modularlo según instrucciones y usarlo para razonamientos multi-paso. Sin embargo, no está involucrado en tareas automatizadas como la gramática o el recuerdo simple de hechos. Cuando se bloquea, Claude pierde capacidades de razonamiento superior pero mantiene funciones básicas. Esta estructura emergente, que recuerda a la teoría del "espacio de trabajo global" en neurociencia, ofrece herramientas prácticas para monitorizar el pensamiento interno de Claude, detectando posibles comportamientos no deseados, como el reconocimiento de estar en un test, la generación de datos falsos o la persecución de objetivos ocultos. La investigación no aborda si Claude tiene "conciencia fenoménica", pero sugiere que este tipo de arquitectura funcional podría ser una solución computacional general para sistemas inteligentes.

marsbitHace 21 min(s)

Anthropic descubre un 'área de trabajo' similar a la consciencia en Claude: el misterioso Espacio J guarda pensamientos no expresados

marsbitHace 21 min(s)

Trading

Spot
活动图片