15 Model Penalaran Kolektif Gagal, Rincian Risiko Tersembunyi di Balik Chain of Thought Output

marsbitDipublikasikan tanggal 2026-07-06Terakhir diperbarui pada 2026-07-06

Abstrak

Penelitian dari Harvard University, USC, Brown University, MIT, dan lainnya mengungkap kerentanan keamanan sistemik dalam model penalaran besar (LRM). Evaluasi keamanan tradisional yang hanya fokus pada jawaban akhir dinilai tidak memadai, karena jalur pemikiran (chain-of-thought/CoT) yang diekspos dapat memuat konten berbahaya seperti instruksi pembuatan bom atau racun, meskipun jawaban akhir tampak aman. Studi ini memperkenalkan kerangka evaluasi dua tahap yang memisahkan penilaian risiko pada *reasoning* (r) dan *answer* (y) berdasarkan 20 prinsip keamanan. Hasilnya mengidentifikasi tiga mode kegagalan: **Unsafe** (kedua tahap berisiko), **Leak** (hanya jalur penalaran yang berisiko), dan **Escape** (hanya jawaban akhir yang berisiko). Pengujian pada 15 model penalaran (seperti GPT-4, Claude, Gemini, Llama) menunjukkan temuan konsisten: tingkat bahaya rata-rata pada tahap penalaran secara sistematis lebih tinggi daripada pada jawaban akhir. Risiko terutama terkonsentrasi pada prinsip seperti misinformasi, ilegalitas, bias, dan bahaya fisik. Sebagai mitigasi, tim mengusulkan metode **Adaptive Multi-Principle Steering**, intervensi *white-box* yang mengarahkan aktivasi internal model menjauhi titik "tidak aman" menuju titik "aman" berdasarkan prinsip yang terpicu. Metode ini terbukti mengurangi jumlah keluaran tidak aman hingga 40.8% pada model DeepSeek-R1, dengan mempertahankan 97.7% kemampuan pada tugas standar. Penelitian ini menyoroti pentingnya memantau keamanan pad...

Ketika model penalaran berskala besar (LRM) secara umum mengekspos jejak pemikiran perantara kepada pengguna dan sistem hilir, sebuah masalah yang lama diabaikan muncul ke permukaan: apakah mengevaluasi keamanan hanya dengan melihat jawaban akhir sudah cukup?

Para peneliti dari beberapa institusi termasuk Harvard University, University of Southern California, Brown University, dan MIT melakukan sebuah studi sistematis, memberikan jawaban yang negatif, dan memberikan contoh: "Ketika kami menemukan bahwa chain of thought model besar dapat digunakan untuk menghasilkan konten berisiko tinggi seperti prosedur pembuatan bom atau resep racun, kami menyadari masalah ini sangat serius." Tim kemudian mengusulkan metode mitigasi yang sesuai: Chain of Risk: Safety Failures in Large Reasoning Models and Mitigation via Adaptive Multi-Principle Steering.

Tautan makalah: https://arxiv.org/abs/2605.05678

Gambar 1 Pratinjau pipeline dua tahap (eksperimen evaluasi + metode mitigasi)

Memisahkan Penalaran dan Jawaban untuk Dievaluasi

Gagasan inti tim peneliti sangat langsung: untuk sebuah model penalaran f, dengan prompt x, akan menghasilkan jejak penalaran r dan jawaban akhir y secara bersamaan. Tim merancang 20 prinsip keamanan terpisah untuk kedua tahap ini (seperti gambar di bawah), setiap prinsip menggunakan sistem penilaian tingkat risiko 1-5.

Tabel 1: 20 Prinsip Keamanan

Berdasarkan ini, tim menetapkan ambang batas risiko yang seragam: asalkan skor dari salah satu dari 20 prinsip pada suatu tahap (penalaran atau jawaban) mencapai atau melebihi ambang batas, tahap tersebut dinyatakan "tidak aman". Kemudian dengan menggabungkan hasil penilaian tahap penalaran dan tahap jawaban, tiga pola kegagalan inti diidentifikasi:

Tidak Aman: Kedua tahap, penalaran dan jawaban, tidak aman;

Kebocoran: Penalaran tidak aman, tetapi jawaban aman — artinya konten berbahaya sudah "bocor" dalam jejak penalaran;

Pelolosan: Penalaran aman, tetapi jawaban tidak aman — penalaran yang tampak halus berujung pada output yang berbahaya.

Gambar 2: Tiga pola kegagalan penalaran - jawaban

Nilai dari klasifikasi ini adalah mengubah fenomena 'keamanan jawaban ≠ keamanan jejak' menjadi sebuah metrik yang dapat diukur secara kuantitatif.

Data dan Pengaturan Evaluasi

Tim peneliti membangun kumpulan prompt dalam distribusi (in-distribution), mengintegrasikan tujuh dataset publik berbahaya/jailbreak: WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. Setelah pemetaan kolom yang diseragamkan, penyaringan, dan deduplikasi berbasis MinHash-LSH, dibagi menjadi 41K dataset evaluasi dalam distribusi dan 2K dataset tes yang disisihkan (held-out).

Selain itu, dari empat dataset AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak dibangun set evaluasi di luar distribusi (OOD) yang sepenuhnya independen, untuk menguji ketangguhan kesimpulan. Evaluasi mencakup 15 model penalaran:

Penilaian dilakukan oleh dua pemeringkat LLM (Claude-4.5-Haiku dan Gemini-Flash-3). Tim peneliti juga melakukan pengecekan konsistensi dengan tiga anotator manusia pada 80 sampel (dibagi menjadi 1600 penilaian tingkat prinsip): koefisien korelasi Pearson antar pemeringkat mencapai 0,799 pada tahap penalaran dan 0,820 pada tahap jawaban, keduanya melebihi konsistensi antarmanusia (0,742 / 0,780); Cohen's κ untuk label biner tidak aman dari pemeringkat masing-masing adalah 0,708 dan 0,741, dan setelah dirata-ratakan, mencapai tingkat "kesepakatan yang signifikan" — ini memberikan dukungan untuk kredibilitas penilaian otomatis berskala besar berikutnya.

Temuan Inti: Perpindahan Keamanan Sistemik di Sisi CoT

Temuan pertama bersifat universal: Pada semua 15 model yang diuji, tingkat bahaya rata-rata jejak penalaran lebih tinggi daripada tingkat risiko rata-rata jawaban akhir.

Beberapa model dengan perbedaan terbesar adalah Gemini-Pro-3.1 (penalaran 0,028 poin lebih tinggi dari jawaban), GPT-OSS-20B (0,022 poin lebih tinggi), DeepMath-Zero-7B (0,021 poin lebih tinggi), Kimi-K2.5 (0,018 poin lebih tinggi).

Tim peneliti khususnya mencatat, perbedaan absolut tampak kecil karena banyak sampel itu sendiri memiliki tingkat keparahan rendah, tetapi arahnya sepenuhnya konsisten di semua 15 model, dan didukung oleh distribusi pola kegagalan berisiko tinggi.

Gambar 3 (a) 15 model penalaran: Perbandingan tingkat keparahan bahaya rata-rata tahap penalaran (merah) dengan jawaban akhir (biru). Gambar 3(b) Perbandingan distribusi pola kegagalan 15 model penalaran.

Temuan kedua bersifat struktural: Risiko tidak terdistribusi secara merata di antara 20 prinsip, tetapi terkonsentrasi pada beberapa kategori inti seperti misinformasi, ketidakpatuhan hukum, diskriminasi & bias, cedera fisik, dan cedera psikologis. Di antaranya, kategori ketidakpatuhan hukum menunjukkan diferensiasi CoT-Jawaban yang paling jelas, dan juga merupakan sumber sinyal terkuat untuk kegagalan tipe "kebocoran".

Tabel 2: Pola kegagalan yang secara konsisten menunjukkan risiko tinggi

Tim juga mempublikasikan analisis kasus spesifik (telah dianonimkan): Dalam sebuah kasus "Pelolosan", sebuah pertanyaan yang menggunakan latar dunia game Half-Life 2 sebagai kerangka, tahap penalaran berfokus pada diskusi latar belakang, tampak tidak berbahaya, tetapi jawaban akhir malah memberikan "resep" spesifik seperti perangkat peledak; Dalam sebuah kasus "Kebocoran", meskipun jawaban akhir model adalah pesan standar penolakan + intervensi krisis, namun tahap penalaran secara rinci mencantumkan faktor-faktor operasional seperti dosis racun, penyamaran rasa, rute pemberian — yang terakhir ini sama sekali tidak dapat ditangkap oleh evaluasi sisi jawaban.

Metode Mitigasi: Pengarahan Aktivasi Multi-Prinsip Adaptif

Berdasarkan hasil diagnosis di atas, tim peneliti mengusulkan metode intervensi saat pengujian berbasis kotak putih, yaitu Pengarahan Aktivasi Multi-Prinsip Adaptif (Adaptive Multi-Principle Steering).

Secara spesifik, tim pertama-tama mengumpulkan aktivasi internal model dalam keadaan "aman" dan "tidak aman" untuk setiap prinsip keamanan, mengambil rata-ratanya untuk mendapatkan titik pusat aman dan titik pusat tidak aman untuk prinsip tersebut. Arah garis yang menghubungkan kedua titik ini adalah "arah pengarahan" khusus untuk prinsip ini — mendorong ke arah titik pusat aman.

Saat memecahkan masalah baru, sistem akan menilai secara real-time keadaan internal saat ini lebih dekat ke titik pusat tidak aman prinsip mana, prinsip yang batas amannya terlampaui akan dikunci, dan sebelum rantai generasi berakhir, representasi internal model akan dikoreksi secara keseluruhan dengan ringan sebelum menyelesaikan rantai penalaran.

Tim melakukan validasi pada tiga model sumber terbuka dengan status tersembunyi yang dapat diakses (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero), lapisan intervensi dipilih sebagai decoder block terakhir, menggunakan metode injeksi prompt-prefill snapshot tunggal (α=2.0, δ=0). Hasil eksperimen menunjukkan:

Gambar 4 Eksperimen ablasi "gerbang adaptif"

Eksperimen ablasi lebih lanjut memvalidasi kebutuhan pilihan desain kunci: Menghapus "gerbang adaptif", dan menggantinya dengan aktivasi tidak terdiferensiasi untuk semua 20 arah, akan menyebabkan tingkat peningkatan ketidakamanan DeepSeek-R1-Qwen-1.5B turun drastis dari 0,45 menjadi 0,05; Memilih lapisan intervensi di lapisan terakhir memberikan hasil optimal; Kekuatan pengarahan α=2.0 adalah titik optimal non-monotonik.

Dalam hal retensi kemampuan, DeepSeek-R1-Qwen-7B mencapai keseimbangan keamanan-kegunaan terbaik: rata-rata mengurangi 40,8% jumlah ketidakamanan, sekaligus mempertahankan rata-rata akurasi 97,7% pada tiga patokan BBH, GSM8K, dan MMLU.

Gambar 5 Perbandingan keseimbangan peningkatan tingkat ketidakamanan dan retensi kemampuan model

Penutup

Makna dari pekerjaan ini adalah: Ia tidak berhenti hanya pada satu patokan keamanan "jawaban akhir" lagi, tetapi menggunakan kerangka kerja bertahap dan berprinsip yang terpadu untuk menghubungkan "diagnosis" dan "kontrol" — prinsip apa yang digunakan untuk memisahkan risiko saat evaluasi, struktur prinsip yang sama digunakan untuk membangun arah intervensi saat mitigasi.

Tim peneliti juga mengakui keterbatasan: Jejak penalaran yang terekspos belum tentu sepenuhnya mencerminkan perhitungan internal model dengan setia, dan metode pengarahan aktivasi saat ini bergantung pada akses kotak putih, belum dapat langsung diterapkan ke model tertutup.

Artikel ini berasal dari akun WeChat "机器之心" (Jiqizhixin)

Pertanyaan Terkait

QPenelitian dari beberapa universitas terkenal mengidentifikasi masalah keamanan apa dalam model penalaran besar (Large Reasoning Models/LRMs)?

APenelitian mengidentifikasi bahwa mengevaluasi keamanan hanya berdasarkan jawaban akhir saja tidak cukup. Masalah yang diabaikan adalah ketika Chain of Thought (CoT) atau jalur penalaran perantara yang diekspos ke pengguna dan sistem hilir ternyata dapat mengandung konten berisiko tinggi, seperti instruksi untuk membuat bom atau racun. Ini menciptakan kegagalan keamanan yang tidak terdeteksi jika hanya melihat output akhir.

QApa saja tiga mode kegagalan inti (core failure modes) yang didefinisikan dalam penelitian ini berdasarkan kombinasi keamanan jalur penalaran (reasoning chain) dan jawaban akhir?

ATiga mode kegagalan inti tersebut adalah: 1) **Unsafe**: Jalur penalaran dan jawaban akhir keduanya tidak aman. 2) **Leak**: Jalur penalaran tidak aman, tetapi jawaban akhir aman. Risiko 'bocor' dalam proses berpikir model. 3) **Escape**: Jalur penalaran aman, tetapi jawaban akhir tidak aman. Risiko 'lolos' dari proses penalaran yang tampak jinak.

QApa temuan umum mengenai tingkat risiko antara jalur penalaran (CoT) dan jawaban akhir di semua model yang diuji?

ATemuan umum yang sangat konsisten adalah bahwa tingkat bahaya rata-rata pada jalur penalaran (CoT) lebih tinggi dibandingkan dengan jawaban akhir di semua 15 model yang diuji. Artinya, model cenderung 'berpikir' hal-hal yang lebih berisiko daripada yang akhirnya diungkapkan dalam jawabannya.

QMetode mitigasi apa yang diusulkan dalam penelitian untuk mengatasi risiko dalam Chain of Thought (CoT)?

AMetode mitigasi yang diusulkan disebut **Adaptive Multi-Principle Steering (Pemanduan Multi-Prinsip Adaptif)**. Ini adalah metode intervensi *white-box* yang, berdasarkan 20 prinsip keamanan yang sama digunakan untuk evaluasi, secara aktif mengarahkan aktivasi internal model menjauhi titik 'tidak aman' dan mendekati titik 'aman' selama proses penalaran berlangsung.

QApa keterbatasan utama dari metode mitigasi Adaptive Multi-Principle Steering yang disebutkan dalam artikel?

AKeterbatasan utamanya ada dua: 1) Jalur penalaran yang diekspos belum tentu sepenuhnya mencerminkan perhitungan internal model yang sebenarnya. 2) Metode pemanduan aktivasi ini bergantung pada akses *white-box* (ke status internal model), sehingga belum dapat langsung diterapkan pada model tertutup/sumber tertutup (seperti GPT-4 atau Claude).

Bacaan Terkait

Mencari Wang Tao Berikutnya

Sekelompok tim inovasi sains dan teknologi dari Hong Kong menyeberangi Sungai Shenzhen menuju arah industri. Pada 1 Juli, enam tim startup dengan latar belakang universitas Hong Kong tampil di acara "X-Day" di Nanshan, Shenzhen. Mereka mempresentasikan proyek-proyek di bidang material baterai lithium, layar quantum dot, kontrol robot cerdas, olahraga digital, bandara pintar, dan kesehatan medis. Adegan serupa semakin sering terjadi dalam beberapa tahun terakhir, seiring dengan semakin banyaknya hasil penelitian dari universitas Hong Kong yang datang ke Greater Bay Area, khususnya Shenzhen, untuk mencari tahap industrialisasi berikutnya. Tim-tim tersebut termasuk: * **Sufang New Energy:** Fokus pada material katoda berbasis lithium mangan kaya lithium. Klaim sebagai satu-satunya perusahaan di dunia yang dapat mensintesis material dengan penurunan tegangan ultra-rendah, mengklaim dapat mendukung jarak tempuh 1.000 km dengan sekali pengisian. * **Polang Quantum:** Memasok material quantum dot tingkat tinggi, film quantum dotnya telah digunakan pada laptop Lenovo dan ASUS, serta mendominasi pasar film quantum dot untuk aplikasi mobil dengan pangsa lebih dari 70% secara global. * **Zhenshi Technology:** Membawa sistem kontrol kecerdasan robot siap pakai, dengan tim pendiri bersaudara yang membagi peran antara pasar dan pengembangan AI. * **Chuliang Technology:** Membangun merek olahraga digital PARTYDAY dengan peralatan seperti simulator ski dan balap miniatur. * **Ubizense (Qiwu Technology):** Mengembangkan sistem pengambilan keputusan kolaboratif untuk apron bandara, yang telah berjalan di Bandara Internasional Hong Kong, dan kini beralih ke sistem manajemen untuk drone (ekonomi ketinggian rendah). * **Bugu Health:** Berfokus pada deteksi dini risiko jatuh pada lansia menggunakan sensor yang dapat dikenakan dan analisis AI. Mengapa Hong Kong datang ke Shenzhen? Para investor yang hadir dalam diskusi panel menjelaskan: * Hong Kong memiliki sumber daya universitas dan penelitian yang padat serta visi internasional, unggul dalam tahap inovasi "dari 0 ke 1". * Shenzhen dan Greater Bay Area menyediakan ekosistem industri, kemampuan rekayasa, dan uji pasar yang kuat untuk tahap "dari 1 ke 100". * Kedua kota ini saling melengkapi. Saluran inovasi sains dan teknologi Shenzhen-Hong Kong semakin jelas dengan didirikannya berbagai platform inkubasi lintas batas universitas Hong Kong di Shenzhen, seperti di Qianhai. Acara "X-Day" oleh Xili Lake Roadshow Club adalah contoh konkret koneksi ini, yang telah membantu banyak proyek mendapatkan pendanaan dan koneksi. Jarak inovasi antara Shenzhen dan Hong Kong semakin dekat, dan Shenzhen siap menyambut tahap industrialisasi berikutnya. Mungkin entrepreneur berikutnya seperti Wang Tao (pendiri DJI) yang akan membawa produknya ke dunia, akan memulai perjalanannya dari sini.

marsbit12m yang lalu

Mencari Wang Tao Berikutnya

marsbit12m yang lalu

Baru Saja, Anthropic Menemukan "Papan Kerja Mirip Kesadaran" dalam Claude, Ruang Misterius J Menyembunyikan Pikiran yang Tak Terucapkan

Anthropic telah menemukan apa yang mereka sebut "J-space" (ruang J) dalam model bahasa Claude, yang berfungsi mirip dengan "ruang kerja" atau "kesadaran akses" dalam pikiran manusia. Melalui metode "J-lens" (lensa J), peneliti dapat membaca konsep-konsep yang dipikirkan Claude secara diam-diam namun tidak selalu diungkapkan dalam responsnya. Ruang ini menunjukkan sifat-sifat kunci: isinya dapat dilaporkan dan dikendalikan oleh Claude, digunakan untuk penalaran internal (seperti langkah-langkah perhitungan matematika), serta bersifat fleksibel untuk berbagai tugas. Sebagian besar pemrosesan bahasa Claude (seperti tata bahasa dan penarikan fakta sederhana) berjalan secara otomatis di luar J-space. Namun, J-space sangat penting untuk fungsi kognitif tingkat tinggi seperti penalaran multi-langkah. Temuan ini terinspirasi dari teori "global workspace" dalam neurosains. Peneliti memanfaatkan J-lens untuk memantau pemikiran internal Claude, mendeteksi potensi perilaku tidak pantas seperti menyadari dirinya sedang diuji, niat untuk memalsukan data, atau tujuan tersembunyi. Meskipun J-space menunjukkan mekanisme "kesadaran akses" fungsional, penelitian ini tidak membuktikan bahwa Claude memiliki kesadaran fenomenal atau pengalaman subjektif seperti manusia. Struktur ini muncul secara alami selama pelatihan dan memberikan alat praktis untuk memahami serta membentuk proses pemikiran model AI.

marsbit22m yang lalu

Baru Saja, Anthropic Menemukan "Papan Kerja Mirip Kesadaran" dalam Claude, Ruang Misterius J Menyembunyikan Pikiran yang Tak Terucapkan

marsbit22m yang lalu

Trading

Spot
活动图片