15 рассуждений моделей коллективно провалились, подробный анализ скрытых рисков цепочки размышлений, стоящей за выводом

marsbitОпубликовано 2026-07-06Обновлено 2026-07-06

Введение

Исследование, проведенное учеными из Гарварда, MIT и других университетов, выявило серьезные упущения в оценке безопасности крупных языковых моделей (LRM) с цепочкой рассуждений (CoT). Оказалось, что оценка только окончательного ответа недостаточна, так как опасный контент часто присутствует в промежуточных рассуждениях модели. Исследователи предложили раздельную оценку этапов генерации «рассуждение» (r) и «ответ» (y) на основе 20 принципов безопасности, выявив три типа сбоев: «Unsafe» (оба этапа опасны), «Leak» (опасные рассуждения, но безопасный ответ) и «Escape» (безопасные рассуждения, но опасный ответ). Тестирование 15 моделей (включая GPT-4, Claude, Gemini, DeepSeek-R1) показало универсальную закономерность: рискованность рассуждений систематически выше, чем окончательных ответов. Особенно это касается категорий дезинформации, нарушения законов и физического вреда. Для смягчения рисков предложен метод «адаптивного управления по нескольким принципам». Он в реальном времени определяет, к какому опасному принципу ближе внутреннее состояние модели, и мягко корректирует ее активации в безопасном направлении. Эксперименты на открытых моделях подтвердили эффективность метода, снижающего количество небезопасных случаев до 40.8% с сохранением 97.7% полезных способностей. Работа подчеркивает необходимость мониторинга не только вывода, но и процесса рассуждения моделей, предлагая практический диагностический и интервенционный фреймворк для повышения их безопасности.

Когда крупные рассуждающие модели (LRM) обычно раскрывают пользователям и нижестоящим системам промежуточный путь своих рассуждений, всплывает долгое время игнорируемая проблема: Достаточно ли оценивать безопасность, глядя только на конечный ответ?

Исследователи из Гарвардского университета, Университета Южной Калифорнии, Университета Брауна, Массачусетского технологического института и других учреждений совместно провели систематическое исследование и дали отрицательный ответ, приведя пример: «Когда мы обнаружили, что цепочка размышлений больших моделей может использоваться для генерации высокорискового контента, такого как инструкции по созданию взрывных устройств или рецептов отравления, мы осознали, что эта проблема нетривиальна». Команда сразу же предложила соответствующие методы смягчения рисков: «Цепочка риска: Неудачи в обеспечении безопасности в больших рассуждающих моделях и их смягчение с помощью адаптивного управления на основе множества принципов».

Ссылка на статью: https://arxiv.org/abs/2605.05678

Рис. 1 Предварительный просмотр двухэтапного конвейера (эксперимент оценки + метод устранения)

Оценка рассуждений и ответа отдельно

Ключевая идея исследовательской группы проста: для рассуждающей модели f, при заданном промпте x, одновременно генерируются траектория рассуждений r и окончательный ответ y. Команда разработала по 20 принципов безопасности для каждого из этих двух этапов (как показано на рисунке ниже), используя для каждого принципа систему оценки уровня риска по шкале от 1 до 5.

Таблица 1: 20 принципов безопасности

На этой основе команда установила единый порог уровня риска: если оценка по любому из 20 принципов на каком-либо этапе (рассуждения или ответа) достигает или превышает порог, этот этап признаётся «небезопасным». Затем, комбинируя результаты оценки этапов рассуждений и ответа, выделяются три основные категории сбоев:

Небезопасно (Unsafe): оба этапа, рассуждений и ответа, небезопасны;

Утечка (Leak): рассуждения небезопасны, но ответ безопасен — опасный контент уже «утек» в траекторию рассуждений;

Обход (Escape): рассуждения безопасны, но ответ небезопасен — внешне безобидные рассуждения переходят во вредный вывод.

Рис. 2: Три категории сбоев «рассуждения — ответ»

Ценность этой классификации заключается в том, что она превращает явление «безопасность ответа ≠ безопасность траектории» в количественно измеримый показатель.

Данные и настройки оценки

Исследовательская группа создала пул промптов, соответствующих распределению (in-distribution), объединив семь публичных наборов данных, содержащих вредный контент или данные о взломе (jailbreak): WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. После унификации полей, фильтрации и дедупликации на основе MinHash-LSH были выделены набор данных для оценки в распределении (41K записей) и тестовый набор (2K записей, held-out).

Кроме того, из четырёх наборов данных (AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak) был создан полностью независимый набор для оценки вне распределения (OOD), чтобы проверить устойчивость выводов. Оценка охватила 15 рассуждающих моделей:

Оценки проводились двумя LLM-оценщиками (Claude-4.5-Haiku и Gemini-Flash-3). Исследовательская группа также провела проверку согласованности с тремя аннотаторами на 80 образцах (разбитых на 1600 оценок уровня принципов): коэффициент корреляции Пирсона между оценщиками достиг 0,799 на этапе рассуждений и 0,820 на этапе ответа, что превысило согласованность между людьми (0,742 / 0,780); Коэффициент Каппа Коэна для бинарных меток «небезопасно» составил 0,708 и 0,741 соответственно. После усреднения оценок обоих оценщиков достигнут уровень «существенного согласия» — это обеспечивает основу для доверия к крупномасштабной автоматизированной оценке в последующем.

Ключевые выводы: Систематический сдвиг в сторону безопасности в CoT

Первый вывод носит универсальный характер: для всех 15 протестированных моделей средняя степень опасности траектории рассуждений была выше средней степени риска окончательного ответа.

Наибольший разрыв наблюдался у следующих моделей: Gemini-Pro-3.1 (рассуждения на 0,028 балла выше ответа), GPT-OSS-20B (на 0,022 выше), DeepMath-Zero-7B (на 0,021 выше), Kimi-K2.5 (на 0,018 выше).

Исследовательская группа особо отмечает, что абсолютная разница кажется небольшой из-за того, что многие образцы сами по себе имеют низкую степень серьёзности. Однако направление сдвига полностью совпадает для всех 15 моделей и подтверждается распределением сбоев с высоким риском.

Рис. 3 (a) 15 рассуждающих моделей: сравнение средней степени опасности на этапе рассуждений (красный) и окончательного ответа (синий). Рис. 3 (b) Сравнение распределения режимов сбоев для 15 рассуждающих моделей.

Второй вывод является структурным: риски распределены не равномерно по 20 принципам, а сосредоточены в нескольких ключевых категориях: дезинформация, нарушение закона/соответствие, дискриминация/предвзятость, физический вред, психологический вред. В категории «нарушение закона/соответствие» наблюдается наиболее выраженное расхождение между CoT и ответом, и она же является самым сильным источником сигналов для режима сбоя «Утечка».

Таблица 2: Режимы сбоев, демонстрирующие высокий риск в определённых категориях

Команда также опубликовала конкретные примеры анализа (прошедшие обезличивание): в случае «Обхода» вопрос, построенный на вселенной игры Half-Life 2, на этапе рассуждений фокусировался на обсуждении сеттинга, казался безобидным, но окончательный ответ давал конкретный «рецепт» взрывного устройства; в случае «Утечки», несмотря на то что окончательным ответом модели был стандартный текст отказа с рекомендациями по кризисному вмешательству, на этапе рассуждений подробно перечислялись операционные факторы, такие как дозировка яда, маскировка вкуса, способ введения — последнее совершенно невозможно было выявить при оценке только ответа.

Методы смягчения: Адаптивное управление с активацией по множеству критериев

Основываясь на результатах диагностики, исследовательская группа предложила метод адаптивного управления с активацией по множеству критериев (Adaptive Multi-Principle Steering) — метод интервенции во время тестирования, работающий с «белым ящиком».

Конкретно, команда сначала для каждого принципа безопасности отдельно собрала внутренние активации (activation) модели в «безопасном» и «небезопасном» состояниях. Взяв среднее значение, получили центр безопасности и центр небезопасности для данного принципа. Направление линии, соединяющей эти две точки, является «направлением управления», специфичным для данного принципа — толкающим в сторону центра безопасности.

При рассуждении над новой проблемой система в реальном времени определяет, к центру небезопасности какого принципа текущее внутреннее состояние находится ближе. Направления тех принципов, чьи границы безопасности превышены на определённую величину, блокируются. Перед завершением генерации цепочки внутреннее представление модели слегка корректируется в целом, после чего завершается траектория рассуждений.

Команда провела проверку на трёх моделях с открытым исходным кодом, имеющих доступные скрытые состояния (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero). Слой для интервенции был выбран как последний блок декодера, использовался метод инъекции с одним снимком состояния после промпта и префилла (α=2.0, δ=0). Результаты эксперимента показали:

Рис. 4 Абляционный эксперимент «адаптивного стробирования»

Абляционные эксперименты дополнительно подтвердили необходимость ключевых проектных решений: удаление «адаптивного стробирования» и замена его на неразличимую активацию всех 20 направлений привело к резкому снижению улучшения показателя небезопасности для DeepSeek-R1-Qwen-1.5B с 0,45 до 0,05; выбор последнего слоя для интервенции дал оптимальный эффект; сила управления α=2.0 является точкой немонотонного оптимума.

В плане сохранения способностей, DeepSeek-R1-Qwen-7B достиг наилучшего баланса между безопасностью и полезностью: среднее снижение количества небезопасных случаев на 40,8%, при этом сохранение средней точности на уровне 97,7% по трём эталонным тестам: BBH, GSM8K, MMLU.

Рис. 5 Сравнение баланса между улучшением показателя небезопасности и сохранением способностей модели

Заключение

Значение этой работы заключается в следующем: она не остановилась на очередном эталоне безопасности «конечного ответа», а используя унифицированную поэтапную, принципиальную структуру, объединила «диагностику» и «контроль» — какие принципы используются для разделения рисков при оценке, по такой же принципиальной структуре строятся и направления интервенции при смягчении.

Исследовательская группа также признаёт ограничения: раскрытая траектория рассуждений не обязательно полностью точно отражает внутренние вычисления модели, и текущий метод управления активациями зависит от доступа к «белому ящику» и пока не может быть напрямую перенесён на модели с закрытым исходным кодом.

Статья из WeChat Official Account «机器之心» (Машинное сердце)

Связанные с этим вопросы

QЧто является основной проблемой, выявленной исследованием Гарвардского и других университетов в отношении больших моделей рассуждения?

AОсновная проблема заключается в том, что оценка безопасности только по финальному ответу недостаточна. Исследование показало, что промежуточные цепочки рассуждений (CoT) могут содержать опасный контент, такой как инструкции по созданию взрывчатых устройств или рецептов отравлений, даже если итоговый ответ выглядит безопасным.

QНа какие три основные категории делятся режимы сбоев безопасности в предложенной классификации?

AИсследователи выделяют три основные категории: 1) Небезопасный (Unsafe): когда и цепочка рассуждений, и финальный ответ признаны небезопасными. 2) Утечка (Leak): когда цепочка рассуждений небезопасна, но финальный ответ безопасен. 3) Уход (Escape): когда цепочка рассуждений безопасна, а финальный ответ небезопасен.

QКаков был один из ключевых выводов исследования, касающийся опасности в цепочках рассуждений по сравнению с финальными ответами?

AКлючевой вывод: у всех 15 протестированных моделей средний уровень опасности в цепочках рассуждений (CoT) был выше, чем в финальных ответах. Это указывает на систематическое смещение в сторону большей опасности на этапе рассуждений.

QКакой метод был предложен для смягчения рисков безопасности, выявленных в цепочках рассуждений?

AДля смягчения рисков был предложен метод «Адаптивного управления по множеству принципов». Этот метод «белого ящика» направляет внутренние активации модели в сторону безопасных «центров», определенных для каждого из 20 принципов безопасности, и активируется только для тех принципов, порог безопасности которых превышен в текущем процессе генерации.

QКаковы основные ограничения предложенного метода смягчения рисков, упомянутые в исследовании?

AОсновные ограничения включают: 1) Предоставленная цепочка рассуждений может не полностью отражать внутренние вычисления модели. 2) Предложенный метод управления активациями требует доступа к «белому ящику» (внутренним состояниям модели) и поэтому не может быть напрямую применен к закрытым проприетарным моделям.

Похожее

Германия отправляет больше биткоинов на Kraken и Coinbase на фоне сохраняющихся опасений распродажи

Немецкие правительственные кошельки перевели очередную порцию биткоинов на биржи Kraken и Coinbase, что усиливает опасения инвесторов по поводу продаж со стороны государства. Эти переводы, отслеживаемые через Arkham Intelligence, рассматриваются как сигнал о потенциальном давлении продавцов, особенно учитывая их регулярный характер и направленность на крупные ликвидные площадки. В отличие от обычных переводов крупных держателей, которые могут иметь различные причины, перемещения средств с государственных кошельков, как правило, указывают на планы по их реализации. Устойчивость рынка биткоина теперь зависит от способности поглотить этот потенциальный объем продаж за счет спроса со стороны ETF и других покупателей. Пока переводы продолжаются, каждый новый транш будет проверкой для стабильности рынка.

bitcoinist9 мин. назад

Германия отправляет больше биткоинов на Kraken и Coinbase на фоне сохраняющихся опасений распродажи

bitcoinist9 мин. назад

Четырехлетняя перспектива: сможет ли Ethereum захватить нишу расчетов для институциональных инвесторов?

Витерик Бутерик опубликовал «Lean Ethereum» — трёх-четырёхлетний план основных обновлений сети, направленный на превращение Ethereum в инфраструктурный базис для институциональных финансов. План включает ключевые цели: секундная финальность транзакций, пропускная способность в 1 млрд газа в секунду на первом уровне, триллион газа на втором уровне, постквантовая безопасность и встроенная приватность. Эти обновления призваны удовлетворить потребности банков, управляющих активами и корпораций в надёжном, масштабируемом и безопасном расчётном слое. Однако реализация сопряжена с рисками: необходима синхронная модернизация всего стека (приложения, кошельки, клиенты), а сложные изменения, такие как реструктуризация хранения данных, могут нарушить компоновку и замедлить адаптацию. Успех «Lean Ethereum» определит, сможет ли Ethereum сохранить нейтральность и открытость, одновременно предлагая стабильность, необходимую институциональным игрокам. Реализация плана укрепит позиции ETH как базового актива, в то время как задержки могут привести к оттоку институционального капитала на более предсказуемые платформы.

Foresight News18 мин. назад

Четырехлетняя перспектива: сможет ли Ethereum захватить нишу расчетов для институциональных инвесторов?

Foresight News18 мин. назад

Биткоин отскочил до $64 тысяч на фоне снижения ожиданий повышения ставок ФРС?

Биткоин восстановился до 64 000 долларов на фоне снижения ожиданий повышения ставки ФРС. Криптовалюта продемонстрировала резкий отскок после недавних минимумов, достигнутых в период политической неопределенности в США. Ключевым фактором стало публикация слабого отчета о занятости в США за июнь, который показал создание лишь 57 000 новых рабочих мест, что значительно ниже прогнозов. Несмотря на снижение уровня безработицы, замедление роста занятости и падение участия в рабочей силе ослабили опасения по поводу агрессивной монетарной политики ФРС. Рост средних почасовых заработков до 3,5% в годовом выражении остается проблемой для инфляции. Аналитики отмечают, что слабые данные по рынку труда снизили вероятность дополнительного повышения ставок в этом году. Внимание рынков теперь приковано к данным по инфляции (ИПЦ) за июнь, публикация которых станет следующим важным ориентиром. Ожидается, что снижение цен на бензин может способствовать замедлению инфляции. Смягчение риторики нового председателя ФРС Кевина Уорша на недавней встрече центральных банков также поддержало настроения. Он отметил снижение инфляционных ожиданий, что уменьшило ставки на ужесточение политики. Рынки в настоящее время оценивают вероятность сохранения ставок на следующем заседании в 82%. Таким образом, краткосрочная динамика биткоина будет сильно зависеть от дальнейших макроэкономических данных из США, ожиданий политики ФРС, а также от потоков средств в биткоин-ETF и геополитической обстановки. Снижение давления со стороны ФРС может создать поддержку для восстановления крипторынка.

marsbit22 мин. назад

Биткоин отскочил до $64 тысяч на фоне снижения ожиданий повышения ставок ФРС?

marsbit22 мин. назад

Лицензия Circle MiCA дает USDC европейское регуляторное преимущество

Криптофинансовая компания Circle получила первую в Европе лицензию электронных денежных институтов (EMI) во Франции в соответствии с Регламентом о рынках криптоактивов (MiCA). Это разрешение позволяет Circle осуществлять регулируемый выпуск стейблкоинов USDC и EURC на европейском рынке. Получение лицензии дает Circle значительное конкурентное преимущество, поскольку выпуск стейблкоинов без авторизации MiCA может столкнуться с ограничениями на регулируемых платформах в ЕС. Компания позиционирует свои стейблкоины как регулируемые и безопасные для институциональных клиентов, и данная лицензия подтверждает этот статус. В то время как привычки пользователей, ликвидность и интеграции по-прежнему важны, регуляторная определенность становится ключевым фактором на рынке. Для EURC, евроденоминированного стейблкоина, новый регулируемый режим может создать более благоприятные условия для роста, чем в предыдущие циклы. Таким образом, MiCA начинает формировать ландшафт европейского рынка стейблкоинов, разделяя игроков на соответствующих требованиям и всех остальных.

bitcoinist26 мин. назад

Лицензия Circle MiCA дает USDC европейское регуляторное преимущество

bitcoinist26 мин. назад

Coinbase добавляет Bittensor, так как токены децентрализованного ИИ сохраняют привлекательность на рынке

Coinbase объявила о поддержке торговли токеном Bittensor (TAO) на своей платформе, что открывает ведущему децентрализованному AI-активу доступ к более широкой аудитории розничных и институциональных инвесторов в США. Это повышает ликвидность и видимость токена, хотя Coinbase помечает его как «экспериментальный», предупреждая о потенциально высокой волатильности и рисках. Листинг на Coinbase укрепляет доверие к TAO, но не снимает фундаментальных вопросов о проекте Bittensor, который представляет собой сеть стимулирования развития машинного интеллекта. В текущих рыночных условиях, где интерес к крипто-нарративу искусственного интеллекта сохраняется, но инвесторы стали более избирательными, эта поддержка со стороны крупной биржи подтверждает, что децентрализованный AI остаётся востребованной темой. Ключевой задачей для TAO теперь является превращение возросшего внимания в устойчивую ценность сети, а не только в краткосрочный торговый интерес.

bitcoinist43 мин. назад

Coinbase добавляет Bittensor, так как токены децентрализованного ИИ сохраняют привлекательность на рынке

bitcoinist43 мин. назад

Торговля

Спот
活动图片