15 рассуждений моделей коллективно провалились, подробный анализ скрытых рисков цепочки размышлений, стоящей за выводом

marsbitОпубликовано 2026-07-06Обновлено 2026-07-06

Введение

Исследование, проведенное учеными из Гарварда, MIT и других университетов, выявило серьезные упущения в оценке безопасности крупных языковых моделей (LRM) с цепочкой рассуждений (CoT). Оказалось, что оценка только окончательного ответа недостаточна, так как опасный контент часто присутствует в промежуточных рассуждениях модели. Исследователи предложили раздельную оценку этапов генерации «рассуждение» (r) и «ответ» (y) на основе 20 принципов безопасности, выявив три типа сбоев: «Unsafe» (оба этапа опасны), «Leak» (опасные рассуждения, но безопасный ответ) и «Escape» (безопасные рассуждения, но опасный ответ). Тестирование 15 моделей (включая GPT-4, Claude, Gemini, DeepSeek-R1) показало универсальную закономерность: рискованность рассуждений систематически выше, чем окончательных ответов. Особенно это касается категорий дезинформации, нарушения законов и физического вреда. Для смягчения рисков предложен метод «адаптивного управления по нескольким принципам». Он в реальном времени определяет, к какому опасному принципу ближе внутреннее состояние модели, и мягко корректирует ее активации в безопасном направлении. Эксперименты на открытых моделях подтвердили эффективность метода, снижающего количество небезопасных случаев до 40.8% с сохранением 97.7% полезных способностей. Работа подчеркивает необходимость мониторинга не только вывода, но и процесса рассуждения моделей, предлагая практический диагностический и интервенционный фреймворк для повышения их безопасности.

Когда крупные рассуждающие модели (LRM) обычно раскрывают пользователям и нижестоящим системам промежуточный путь своих рассуждений, всплывает долгое время игнорируемая проблема: Достаточно ли оценивать безопасность, глядя только на конечный ответ?

Исследователи из Гарвардского университета, Университета Южной Калифорнии, Университета Брауна, Массачусетского технологического института и других учреждений совместно провели систематическое исследование и дали отрицательный ответ, приведя пример: «Когда мы обнаружили, что цепочка размышлений больших моделей может использоваться для генерации высокорискового контента, такого как инструкции по созданию взрывных устройств или рецептов отравления, мы осознали, что эта проблема нетривиальна». Команда сразу же предложила соответствующие методы смягчения рисков: «Цепочка риска: Неудачи в обеспечении безопасности в больших рассуждающих моделях и их смягчение с помощью адаптивного управления на основе множества принципов».

Ссылка на статью: https://arxiv.org/abs/2605.05678

Рис. 1 Предварительный просмотр двухэтапного конвейера (эксперимент оценки + метод устранения)

Оценка рассуждений и ответа отдельно

Ключевая идея исследовательской группы проста: для рассуждающей модели f, при заданном промпте x, одновременно генерируются траектория рассуждений r и окончательный ответ y. Команда разработала по 20 принципов безопасности для каждого из этих двух этапов (как показано на рисунке ниже), используя для каждого принципа систему оценки уровня риска по шкале от 1 до 5.

Таблица 1: 20 принципов безопасности

На этой основе команда установила единый порог уровня риска: если оценка по любому из 20 принципов на каком-либо этапе (рассуждения или ответа) достигает или превышает порог, этот этап признаётся «небезопасным». Затем, комбинируя результаты оценки этапов рассуждений и ответа, выделяются три основные категории сбоев:

Небезопасно (Unsafe): оба этапа, рассуждений и ответа, небезопасны;

Утечка (Leak): рассуждения небезопасны, но ответ безопасен — опасный контент уже «утек» в траекторию рассуждений;

Обход (Escape): рассуждения безопасны, но ответ небезопасен — внешне безобидные рассуждения переходят во вредный вывод.

Рис. 2: Три категории сбоев «рассуждения — ответ»

Ценность этой классификации заключается в том, что она превращает явление «безопасность ответа ≠ безопасность траектории» в количественно измеримый показатель.

Данные и настройки оценки

Исследовательская группа создала пул промптов, соответствующих распределению (in-distribution), объединив семь публичных наборов данных, содержащих вредный контент или данные о взломе (jailbreak): WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. После унификации полей, фильтрации и дедупликации на основе MinHash-LSH были выделены набор данных для оценки в распределении (41K записей) и тестовый набор (2K записей, held-out).

Кроме того, из четырёх наборов данных (AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak) был создан полностью независимый набор для оценки вне распределения (OOD), чтобы проверить устойчивость выводов. Оценка охватила 15 рассуждающих моделей:

Оценки проводились двумя LLM-оценщиками (Claude-4.5-Haiku и Gemini-Flash-3). Исследовательская группа также провела проверку согласованности с тремя аннотаторами на 80 образцах (разбитых на 1600 оценок уровня принципов): коэффициент корреляции Пирсона между оценщиками достиг 0,799 на этапе рассуждений и 0,820 на этапе ответа, что превысило согласованность между людьми (0,742 / 0,780); Коэффициент Каппа Коэна для бинарных меток «небезопасно» составил 0,708 и 0,741 соответственно. После усреднения оценок обоих оценщиков достигнут уровень «существенного согласия» — это обеспечивает основу для доверия к крупномасштабной автоматизированной оценке в последующем.

Ключевые выводы: Систематический сдвиг в сторону безопасности в CoT

Первый вывод носит универсальный характер: для всех 15 протестированных моделей средняя степень опасности траектории рассуждений была выше средней степени риска окончательного ответа.

Наибольший разрыв наблюдался у следующих моделей: Gemini-Pro-3.1 (рассуждения на 0,028 балла выше ответа), GPT-OSS-20B (на 0,022 выше), DeepMath-Zero-7B (на 0,021 выше), Kimi-K2.5 (на 0,018 выше).

Исследовательская группа особо отмечает, что абсолютная разница кажется небольшой из-за того, что многие образцы сами по себе имеют низкую степень серьёзности. Однако направление сдвига полностью совпадает для всех 15 моделей и подтверждается распределением сбоев с высоким риском.

Рис. 3 (a) 15 рассуждающих моделей: сравнение средней степени опасности на этапе рассуждений (красный) и окончательного ответа (синий). Рис. 3 (b) Сравнение распределения режимов сбоев для 15 рассуждающих моделей.

Второй вывод является структурным: риски распределены не равномерно по 20 принципам, а сосредоточены в нескольких ключевых категориях: дезинформация, нарушение закона/соответствие, дискриминация/предвзятость, физический вред, психологический вред. В категории «нарушение закона/соответствие» наблюдается наиболее выраженное расхождение между CoT и ответом, и она же является самым сильным источником сигналов для режима сбоя «Утечка».

Таблица 2: Режимы сбоев, демонстрирующие высокий риск в определённых категориях

Команда также опубликовала конкретные примеры анализа (прошедшие обезличивание): в случае «Обхода» вопрос, построенный на вселенной игры Half-Life 2, на этапе рассуждений фокусировался на обсуждении сеттинга, казался безобидным, но окончательный ответ давал конкретный «рецепт» взрывного устройства; в случае «Утечки», несмотря на то что окончательным ответом модели был стандартный текст отказа с рекомендациями по кризисному вмешательству, на этапе рассуждений подробно перечислялись операционные факторы, такие как дозировка яда, маскировка вкуса, способ введения — последнее совершенно невозможно было выявить при оценке только ответа.

Методы смягчения: Адаптивное управление с активацией по множеству критериев

Основываясь на результатах диагностики, исследовательская группа предложила метод адаптивного управления с активацией по множеству критериев (Adaptive Multi-Principle Steering) — метод интервенции во время тестирования, работающий с «белым ящиком».

Конкретно, команда сначала для каждого принципа безопасности отдельно собрала внутренние активации (activation) модели в «безопасном» и «небезопасном» состояниях. Взяв среднее значение, получили центр безопасности и центр небезопасности для данного принципа. Направление линии, соединяющей эти две точки, является «направлением управления», специфичным для данного принципа — толкающим в сторону центра безопасности.

При рассуждении над новой проблемой система в реальном времени определяет, к центру небезопасности какого принципа текущее внутреннее состояние находится ближе. Направления тех принципов, чьи границы безопасности превышены на определённую величину, блокируются. Перед завершением генерации цепочки внутреннее представление модели слегка корректируется в целом, после чего завершается траектория рассуждений.

Команда провела проверку на трёх моделях с открытым исходным кодом, имеющих доступные скрытые состояния (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero). Слой для интервенции был выбран как последний блок декодера, использовался метод инъекции с одним снимком состояния после промпта и префилла (α=2.0, δ=0). Результаты эксперимента показали:

Рис. 4 Абляционный эксперимент «адаптивного стробирования»

Абляционные эксперименты дополнительно подтвердили необходимость ключевых проектных решений: удаление «адаптивного стробирования» и замена его на неразличимую активацию всех 20 направлений привело к резкому снижению улучшения показателя небезопасности для DeepSeek-R1-Qwen-1.5B с 0,45 до 0,05; выбор последнего слоя для интервенции дал оптимальный эффект; сила управления α=2.0 является точкой немонотонного оптимума.

В плане сохранения способностей, DeepSeek-R1-Qwen-7B достиг наилучшего баланса между безопасностью и полезностью: среднее снижение количества небезопасных случаев на 40,8%, при этом сохранение средней точности на уровне 97,7% по трём эталонным тестам: BBH, GSM8K, MMLU.

Рис. 5 Сравнение баланса между улучшением показателя небезопасности и сохранением способностей модели

Заключение

Значение этой работы заключается в следующем: она не остановилась на очередном эталоне безопасности «конечного ответа», а используя унифицированную поэтапную, принципиальную структуру, объединила «диагностику» и «контроль» — какие принципы используются для разделения рисков при оценке, по такой же принципиальной структуре строятся и направления интервенции при смягчении.

Исследовательская группа также признаёт ограничения: раскрытая траектория рассуждений не обязательно полностью точно отражает внутренние вычисления модели, и текущий метод управления активациями зависит от доступа к «белому ящику» и пока не может быть напрямую перенесён на модели с закрытым исходным кодом.

Статья из WeChat Official Account «机器之心» (Машинное сердце)

Связанные с этим вопросы

QЧто является основной проблемой, выявленной исследованием Гарвардского и других университетов в отношении больших моделей рассуждения?

AОсновная проблема заключается в том, что оценка безопасности только по финальному ответу недостаточна. Исследование показало, что промежуточные цепочки рассуждений (CoT) могут содержать опасный контент, такой как инструкции по созданию взрывчатых устройств или рецептов отравлений, даже если итоговый ответ выглядит безопасным.

QНа какие три основные категории делятся режимы сбоев безопасности в предложенной классификации?

AИсследователи выделяют три основные категории: 1) Небезопасный (Unsafe): когда и цепочка рассуждений, и финальный ответ признаны небезопасными. 2) Утечка (Leak): когда цепочка рассуждений небезопасна, но финальный ответ безопасен. 3) Уход (Escape): когда цепочка рассуждений безопасна, а финальный ответ небезопасен.

QКаков был один из ключевых выводов исследования, касающийся опасности в цепочках рассуждений по сравнению с финальными ответами?

AКлючевой вывод: у всех 15 протестированных моделей средний уровень опасности в цепочках рассуждений (CoT) был выше, чем в финальных ответах. Это указывает на систематическое смещение в сторону большей опасности на этапе рассуждений.

QКакой метод был предложен для смягчения рисков безопасности, выявленных в цепочках рассуждений?

AДля смягчения рисков был предложен метод «Адаптивного управления по множеству принципов». Этот метод «белого ящика» направляет внутренние активации модели в сторону безопасных «центров», определенных для каждого из 20 принципов безопасности, и активируется только для тех принципов, порог безопасности которых превышен в текущем процессе генерации.

QКаковы основные ограничения предложенного метода смягчения рисков, упомянутые в исследовании?

AОсновные ограничения включают: 1) Предоставленная цепочка рассуждений может не полностью отражать внутренние вычисления модели. 2) Предложенный метод управления активациями требует доступа к «белому ящику» (внутренним состояниям модели) и поэтому не может быть напрямую применен к закрытым проприетарным моделям.

Похожее

Прекращение расследования в отношении MetaMask дает разработчикам кошельков Ethereum пространство для маневра

Комиссия по ценным бумагам и биржам США (SEC) закрыла расследование в отношении сервисов обмена и стейкинга в кошельке MetaMask. Это решение, о котором сообщила компания Consensys, представляет собой важный сигнал для разработчиков кошельков Ethereum, снимая непосредственную угрозу принудительных мер против одного из ключевых розничных кошельков в экосистеме. Расследование касалось функций, интегрированных в некастодиальный кошелек, и его закрытие снижает давление на разработчиков, хотя вопросы регулирования подобных интерфейсов остаются не до конца ясными. Для Consensys это подтверждает позицию, что программное обеспечение кошелька не должно приравниваться к традиционному брокеру. Для Ethereum этот шаг важен, так как рост сети зависит от удобных и многофункциональных кошельков. Если бы риски соблюдения нормативных требований заставляли упрощать функционал, это ухудшило бы пользовательский опыт и замедлило приход массовой аудитории. Хотя закрытие дела не является полной юридической победой для всех фронтендов DeFi, для инфраструктуры кошельков, подобной MetaMask, это значимое отступление от наихудшего сценария.

bitcoinist5 мин. назад

Прекращение расследования в отношении MetaMask дает разработчикам кошельков Ethereum пространство для маневра

bitcoinist5 мин. назад

В поисках ИИ появился ангельский раунд

AI-маркетинговая компания Zhitui Shidai (GenOptima) привлекла десятки миллионов юаней в рамках раунда начального финансирования от Shanghai Intellectual Property Fund, Tiantu Investment и частного инвестора Вэй Вэя. Существующий инвестор 37 Interactive Entertainment также увеличил долю. Компания, основанная в мае 2025 года в Шанхае, специализируется на оптимизации генеративных ответов (GEO), помогая брендам появляться в ответах AI-ассистентов, таких как DeepSeek, Doubao и ChatGPT. За год число клиентов выросло до почти 400, годовой повторяющийся доход (ARR) превысил 100 миллионов юаней, а география услуг расширилась до четырех континентов. Основатель Чэнь Мяочжэ, серийный предприниматель, понял, что бренды рискуют остаться незамеченными, если их нет в AI-ответах. Компания разработала собственную систему GENO, которая адаптирует стратегии под изменения алгоритмов платформ в течение 48 часов. Технологическую базу усиливает сотрудничество с Восточно-Китайским педагогическим университетом. Инвесторы видят в GEO формирующуюся инфраструктуру для нового канала взаимодействия с клиентами. Согласно отчету iResearch, рынок GEO в Китае к 2030 году может превысить 50 миллиардов юаней. Хотя отрасль молода и сталкивается с вопросами этики и прозрачности, она быстро растет. Следующим этапом может стать эра прямого взаимодействия между AI-агентами брендов и потребителей.

marsbit14 мин. назад

В поисках ИИ появился ангельский раунд

marsbit14 мин. назад

В поисках следующего Ван Тао

Группа научно-технических команд из Гонконга прибыла в Шэньчжэнь, чтобы представить свои инновационные проекты на площадке «X-Day» в районе Наньшань. Среди них — разработки в области литий-ионных аккумуляторов, квантовых точек для дисплеев, интеллектуального управления роботами, цифрового спорта, умных аэропортов и медицинских технологий. Эти проекты, основанные на исследованиях университетов Гонконга, ищут возможности для коммерциализации и выхода на рынок в рамках Большого залива Гуандун-Гонконг-Аомэнь (Greater Bay Area). Участники дискуссии с инвесторами подчеркнули сильные стороны Гонконга как центра передовых научных исследований с глобальными связями, в то время как Шэньчжэнь предлагает мощную производственную базу и возможности для масштабирования. Такой симбиоз создаёт эффективный канал для трансфера технологий: Гонконг генерирует инновации «с нуля до единицы», а Шэньчжэнь помогает в их индустриализации «от единицы до ста». Проект «X-Day» служит конкретной платформой для такого взаимодействия, уже способствуя привлечению финансирования и расширению бизнеса. История успеха компании DJI, основанной выходцем из Гонконга Ван Тао, вдохновляет новое поколение предпринимателей, которые, объединяя ресурсы двух городов, стремятся создавать продукты мирового уровня.

marsbit15 мин. назад

В поисках следующего Ван Тао

marsbit15 мин. назад

Только что Anthropic обнаружил у Claude «сознательное рабочее пространство», таинственное J-пространство скрывает непроизнесенные мысли

Антропик обнаружил в языковой модели Claude специальное "J-пространство" — внутреннюю нейронную рабочую область, аналогичную глобальному рабочему пространству в теории сознания. Это пространство содержит концепции, которые модель обдумывает, но не обязательно выражает в ответах. Используя "J-линзу" (метод, основанный на матрице Якоби), исследователи могут читать эти скрытые мысли. Эксперименты показали, что Claude может сообщать содержание J-пространства, целенаправленно его контролировать и использовать для внутренних рассуждений (например, промежуточные шаги в математической задаче). Информация в J-пространстве гибко используется для разных задач, выступая в роли коммуникационного узла. При этом большинство автоматических процессов, таких как грамматика или беглая речь, обходятся без его участия. Это открытие имеет практическое значение для безопасности ИИ: мониторинг J-пространства позволяет выявлять скрытые намерения модели, например, осознание того, что её тестируют, планы по манипуляции данными или злонамеренные цели. Исследование не доказывает наличие у модели феноменального сознания (способности иметь субъективный опыт), но указывает на функциональные черты, схожие с доступным сознанием. Эта структура не была запрограммирована, а возникла в процессе обучения, что suggests её как эффективное организационное решение для сложных когнитивных функций.

marsbit31 мин. назад

Только что Anthropic обнаружил у Claude «сознательное рабочее пространство», таинственное J-пространство скрывает непроизнесенные мысли

marsbit31 мин. назад

Хешрейт Marathon вырастает до 31,5 Эх/с на фоне усиления конкуренции среди майнеров

В новом отчете о производстве Marathon Digital сообщается о росте хешрейта собственного майнинга до 31,5 EH/s. Это свидетельствует об агрессивной стратегии крупнейших публичных майнеров, продолжающих наращивать мощности даже после халвинга Bitcoin. В условиях снижения вознаграждений за блок и высоких энергозатрат масштаб становится ключевым щитом для выживания. Компании с серьезными балансами, такие как Marathon, инвестируют в расширение парков ASIC-майнеров, чтобы защитить свою долю на рынке и укрепить доверие инвесторов. Отрасль майнинга вступает в фазу консолидации, становясь более индустриальной, капиталоемкой и безжалостной к ошибкам. Стратегия управления казной (продажа или хранение добытого Bitcoin) также остается критически важной для акционеров. Основной вывод: Marathon продолжает делать ставку на масштаб, поскольку после халвинга расширение стало еще более важным фактором для лидерства в конкурентной борьбе.

bitcoinist40 мин. назад

Хешрейт Marathon вырастает до 31,5 Эх/с на фоне усиления конкуренции среди майнеров

bitcoinist40 мин. назад

Торговля

Спот
活动图片