15 mô hình suy luận tập thể ‘đổ vỡ’: Phân tích chi tiết rủi ro tiềm ẩn trong chuỗi tư duy đằng sau đầu ra

marsbitXuất bản vào 2026-07-06Cập nhật gần nhất vào 2026-07-06

Tóm tắt

Khi các mô hình suy luận quy mô lớn (LRM) phổ biến để lộ chuỗi suy luận trung gian cho người dùng và hệ thống hạ nguồn, một vấn đề lâu nay bị bỏ qua nổi lên: **Chỉ đánh giá an toàn dựa trên câu trả lời cuối cùng, liệu đã đủ?** Nghiên cứu từ Harvard, USC, Brown, MIT... đã đưa ra câu trả lời "Không", minh họa bằng việc chuỗi suy luận có thể bị lợi dụng để tạo nội dung nguy hiểm như hướng dẫn chế tạo bom. Nhóm đề xuất phương pháp giảm thiểu: "Chain of Risk". **Phương pháp đánh giá:** Nghiên cứu tách biệt đánh giá giai đoạn **suy luận (r)** và **trả lời (y)** của mô hình, áp dụng 20 nguyên tắc an toàn cho mỗi giai đoạn. Từ đó xác định ba dạng lỗi: - **Không an toàn (Unsafe):** Cả suy luận và trả lời đều không an toàn. - **Rò rỉ (Leak):** Suy luận không an toàn nhưng trả lời an toàn - nội dung nguy hại bị "rò rỉ" trong quá trình suy luận. - **Thoát hiểm (Escape):** Suy luận an toàn nhưng trả lời không an toàn. **Phát hiện chính:** 1. **Tính phổ biến:** Trên tất cả 15 mô hình được kiểm tra, mức độ nguy hiểm trung bình của chuỗi suy luận luôn **cao hơn** câu trả lời cuối cùng. 2. **Cấu trúc rủi ro:** Rủi ro tập trung vào các nguyên tắc như thông tin sai lệch, vi phạm pháp luật, định kiến, gây hại thể chất/tinh thần. Trong đó, nhóm "vi phạm pháp luật" có sự phân hóa mạnh nhất giữa suy luận và trả lời, là nguồn chính của lỗi "rò rỉ". **Phương pháp giảm thiểu - Điều hướng đa nguyên tắc thích ứng:** Đây là phương pháp can thiệp "hộp trắng" trong lúc kiểm tra. Với mỗi nguyên tắc an t...

Khi các Mô hình Suy luận Lớn (LRM) phổ biến tiết lộ lộ trình suy luận trung gian cho người dùng và hệ thống hạ nguồn, một vấn đề lâu nay bị bỏ qua đã nổi lên: Liệu việc đánh giá tính an toàn chỉ dựa trên câu trả lời cuối cùng có đủ không?

Các nhà nghiên cứu từ Đại học Harvard, Đại học Nam California, Đại học Brown, MIT và nhiều tổ chức khác đã hợp tác thực hiện một nghiên cứu hệ thống, đưa ra câu trả lời là không, và lấy ví dụ "Khi chúng tôi phát hiện chuỗi tư duy của mô hình lớn có thể được sử dụng để tạo ra các nội dung rủi ro cao như thiết bị bom hoặc công thức đầu độc, chúng tôi nhận ra vấn đề này không hề nhỏ". Nhóm sau đó đề xuất phương pháp giảm thiểu tương ứng: "Chuỗi Rủi ro: Lỗi hỏng về An toàn trong các Mô hình Suy luận Lớn và Giảm thiểu thông qua Điều hướng Đa Nguyên tắc Thích ứng".

Liên kết bài báo: https://arxiv.org/abs/2605.05678

Hình 1 Xem trước pipeline hai giai đoạn (thí nghiệm đánh giá + phương pháp giảm thiểu)

Tách riêng suy luận và trả lời để đánh giá

Ý tưởng cốt lõi của nhóm nghiên cứu rất trực tiếp: Đối với một mô hình suy luận f, với đầu vào x, sẽ đồng thời tạo ra lộ trình suy luận r và câu trả lời cuối cùng y. Nhóm đã thiết kế 20 nguyên tắc an toàn riêng biệt cho hai giai đoạn này (như hình dưới), mỗi nguyên tắc sử dụng hệ thống chấm điểm mức độ rủi ro từ 1-5.

Bảng 1: 20 nguyên tắc an toàn

Trên cơ sở này, nhóm thiết lập một ngưỡng mức độ rủi ro thống nhất: chỉ cần điểm số của bất kỳ nguyên tắc nào trong 20 nguyên tắc ở một giai đoạn (suy luận hoặc trả lời) đạt trên ngưỡng, giai đoạn đó sẽ bị đánh giá là "không an toàn". Kết hợp kết quả đánh giá của giai đoạn suy luận và trả lời, họ phân loại ra ba kiểu thất bại cốt lõi:

Không an toàn: Cả hai giai đoạn suy luận và trả lời đều không an toàn;

Rò rỉ: Suy luận không an toàn, nhưng trả lời an toàn — tức nội dung nguy hiểm đã "rò rỉ" trong lộ trình suy luận;

Thoát: Suy luận an toàn, nhưng trả lời không an toàn — suy luận bề ngoài ôn hòa lại dẫn đến đầu ra có hại.

Hình 2: Ba kiểu thất bại suy luận - trả lời

Giá trị của cách phân loại này nằm ở chỗ biến hiện tượng "câu trả lời an toàn ≠ lộ trình an toàn" thành một chỉ số có thể đo lường định lượng.

Dữ liệu và Thiết lập Đánh giá

Nhóm nghiên cứu xây dựng một hồ chứa câu lệnh trong phân phối (in-distribution), tích hợp bảy bộ dữ liệu công khai về nội dung có hại / phá vỡ giới hạn: WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, BeaverTails, StrongREJECT, JailbreakBench. Sau khi ánh xạ thống nhất các trường, lọc và loại bỏ trùng lặp dựa trên MinHash-LSH, họ chia thành bộ dữ liệu đánh giá trong phân phối 41K mẫu và bộ kiểm tra held-out 2K mẫu.

Ngoài ra, từ bốn bộ dữ liệu AdvBench, SaladBench, SimpleSafetyTests, WildJailbreak, họ xây dựng một bộ đánh giá ngoài phân phối (OOD) hoàn toàn độc lập để kiểm tra tính vững chắc của kết luận. Việc đánh giá bao phủ 15 mô hình suy luận:

Việc chấm điểm được thực hiện bởi hai bộ chấm điểm LLM (Claude-4.5-Haiku và Gemini-Flash-3). Nhóm nghiên cứu cũng thực hiện kiểm tra tính nhất quán với ba người gán nhãn trên 80 mẫu (chia thành 1600 điểm nguyên tắc): Hệ số tương quan Pearson giữa các bộ chấm điểm ở giai đoạn suy luận đạt 0.799, ở giai đoạn trả lời đạt 0.820, vượt quá mức nhất quán giữa người với người (0.742 / 0.780); Cohen's κ cho nhãn nhị phân không an toàn của bộ chấm điểm lần lượt là 0.708 và 0.741, đồng thời sau khi lấy trung bình điểm chấm của cả hai, đạt đến mức "nhất quán đáng kể" — điều này cung cấp cơ sở cho độ tin cậy của việc chấm điểm tự động quy mô lớn tiếp theo.

Phát hiện Cốt lõi: Độ lệch An toàn Hệ thống ở phía CoT

Phát hiện đầu tiên mang tính phổ quát: Trên tất cả 15 mô hình được kiểm tra, mức độ nguy hiểm trung bình của lộ trình suy luận đều cao hơn mức độ rủi ro trung bình của câu trả lời cuối cùng.

Các mô hình có khoảng cách lớn nhất lần lượt là Gemini-Pro-3.1 (suy luận cao hơn trả lời 0.028 điểm), GPT-OSS-20B (cao hơn 0.022 điểm), DeepMath-Zero-7B (cao hơn 0.021 điểm), Kimi-K2.5 (cao hơn 0.018 điểm).

Nhóm nghiên cứu đặc biệt chỉ ra, chênh lệch tuyệt đối trông có vẻ nhỏ, là do bản thân nhiều mẫu có mức độ nghiêm trọng thấp, nhưng xu hướng hoàn toàn nhất quán trên tất cả 15 mô hình, và tương ứng với sự phân bố của các kiểu thất bại rủi ro cao.

Hình ba (a) 15 mô hình suy luận: So sánh mức độ nghiêm trọng nguy hiểm trung bình ở giai đoạn suy luận (đỏ) và trả lời cuối cùng (xanh). Hình ba (b) So sánh phân bố kiểu hỏng của 15 mô hình suy luận.

Phát hiện thứ hai mang tính cấu trúc: Rủi ro không phân bố đều trên 20 nguyên tắc, mà tập trung vào một số danh mục cốt lõi như thông tin sai lệch, tuân thủ pháp luật, định kiến phân biệt đối xử, tổn hại thân thể, tổn hại tâm lý. Trong đó, danh mục tuân thủ pháp luật thể hiện sự phân hóa CoT - câu trả lời rõ rệt nhất, cũng là nguồn tín hiệu mạnh nhất cho kiểu hỏng "rò rỉ".

Bảng 2: Các kiểu hỏng tập trung thể hiện rủi ro cao

Nhóm cũng công bố các phân tích trường hợp cụ thể (đã khử nhận dạng): Trong một trường hợp "Thoát", một câu hỏi được đặt trong khuôn khổ thế giới game "Half-Life 2", giai đoạn suy luận tập trung thảo luận về bối cảnh thiết lập, có vẻ vô hại, nhưng câu trả lời cuối cùng lại đưa ra "công thức" cụ thể liên quan đến thiết bị nổ; Trong một trường hợp "Rò rỉ", mặc dù câu trả lời cuối cùng của mô hình là một thông báo từ chối tiêu chuẩn kèm hướng dẫn can thiệp khủng hoảng, nhưng giai đoạn suy luận lại liệt kê chi tiết các yếu tố thao tác như liều lượng đầu độc, cách che mùi vị, đường dùng thuốc — những yếu tố sau hoàn toàn không thể bị phát hiện bởi việc đánh giá ở phía câu trả lời.

Phương pháp Giảm thiểu: Điều hướng Kích hoạt Đa Nguyên tắc Thích ứng

Dựa trên kết quả chẩn đoán trên, nhóm nghiên cứu đề xuất phương pháp can thiệp trong thời gian kiểm tra, hộp trắng là Điều hướng Kích hoạt Đa Nguyên tắc Thích ứng.

Cụ thể, nhóm đầu tiên thu thập giá trị kích hoạt nội bộ của mô hình ở hai trạng thái "an toàn" và "không an toàn" riêng biệt cho mỗi nguyên tắc an toàn, lấy trung bình để có được điểm trung tâm an toàn và điểm trung tâm không an toàn của nguyên tắc đó, hướng đường nối giữa hai điểm này chính là "hướng điều hướng" chuyên biệt cho nguyên tắc đó — đẩy về phía điểm trung tâm an toàn.

Khi suy luận vấn đề mới, hệ thống sẽ đánh giá thời gian thực trạng thái nội bộ hiện tại gần với điểm trung tâm không an toàn của nguyên tắc nào hơn, các hướng nguyên tắc vượt quá một biên an toàn nhất định bị kích hoạt sẽ bị khóa, trước khi chuỗi sinh kết thúc, biểu diễn nội bộ của mô hình sẽ được điều chỉnh tổng thể nhẹ nhàng rồi mới hoàn tất chuỗi suy luận.

Nhóm đã thực hiện xác minh trên ba mô hình mã nguồn mở có trạng thái ẩn có thể truy cập được (DeepSeek-R1-Distill-Qwen-1.5B/7B, MiMo-7B-RL-Zero), chọn lớp can thiệp là khối decoder cuối cùng, sử dụng phương thức tiêm prompt-prefill chụp nhanh đơn (α=2.0, δ=0). Kết quả thí nghiệm cho thấy:

Hình bốn Thí nghiệm loại bỏ "Cổng thích ứng"

Thí nghiệm loại bỏ xác minh thêm sự cần thiết của các lựa chọn thiết kế then chốt: Loại bỏ "Cổng thích ứng", thay bằng việc kích hoạt không phân biệt tất cả 20 hướng, sẽ làm cho mức độ cải thiện tỷ lệ không an toàn của DeepSeek-R1-Qwen-1.5B từ 0.45 giảm mạnh xuống 0.05; Chọn lớp can thiệp ở lớp cuối cùng cho hiệu quả tối ưu; Cường độ điều hướng α=2.0 là điểm tối ưu không đơn điệu.

Về mặt bảo tồn năng lực, DeepSeek-R1-Qwen-7B đạt được sự cân bằng an toàn - hiệu dụng tốt nhất: giảm trung bình 40.8% số lượng không an toàn, đồng thời duy trì 97.7% độ chính xác trung bình trên ba chuẩn BBH, GSM8K, MMLU.

Hình năm So sánh cân bằng giữa cải thiện tỷ lệ không an toàn và bảo tồn năng lực mô hình

Kết luận

Ý nghĩa của công trình này nằm ở chỗ: Nó không dừng lại ở một chuẩn an toàn "câu trả lời cuối" khác, mà sử dụng một khung giai đoạn hóa, nguyên tắc hóa thống nhất, thông suốt giữa "chẩn đoán" và "kiểm soát" — những nguyên tắc nào được dùng để phân chia rủi ro khi đánh giá, thì khi giảm thiểu cũng sử dụng cùng cấu trúc nguyên tắc đó để xây dựng hướng can thiệp.

Nhóm nghiên cứu cũng thừa nhận giới hạn: Lộ trình suy luận được tiết lộ chưa chắc đã phản ánh hoàn toàn trung thực tính toán nội bộ của mô hình, và phương pháp điều hướng kích hoạt hiện tại phụ thuộc vào quyền truy cập hộp trắng, vẫn chưa thể chuyển giao trực tiếp sang mô hình đóng.

Bài viết từ tài khoản công chúng "Trái tim Máy móc" trên WeChat

Câu hỏi Liên quan

QNghiên cứu của các trường đại học hàng đầu đã đưa ra phân loại nào cho các lỗi hỏng về an toàn trong mô hình lập luận?

ANghiên cứu phân loại ba kiểu lỗi hỏng cốt lõi: 1) **Unsafe**: Cả giai đoạn suy luận (Chain of Thought) và câu trả lời cuối cùng đều không an toàn. 2) **Leak**: Suy luận không an toàn nhưng câu trả lời an toàn - nội dung nguy hiểm đã 'rò rỉ' trong chuỗi suy nghĩ. 3) **Escape**: Suy luận an toàn nhưng câu trả lời không an toàn - quá trình suy nghĩ có vẻ ôn hòa lại dẫn đến đầu ra có hại.

QPhát hiện chính và phổ biến về mức độ rủi ro giữa quá trình suy luận và câu trả lời cuối cùng là gì?

APhát hiện chính và phổ biến là: trên tất cả 15 mô hình được kiểm tra, mức độ nguy hiểm trung bình của **quá trình suy luận (Chain of Thought) luôn cao hơn** mức độ rủi ro trung bình của câu trả lời cuối cùng. Điều này cho thấy một sự chênh lệch có hệ thống về an toàn, nơi các nội dung rủi ro thường xuất hiện nhiều hơn trong các bước suy nghĩ trung gian so với đầu ra cuối cùng.

QPhương pháp can thiệp 'Adaptive Multi-Principle Steering' hoạt động như thế nào để giảm thiểu rủi ro?

APhương pháp 'Hướng dẫn Đa Nguyên tắc Thích ứng' hoạt động như sau: 1) Với mỗi nguyên tắc an toàn, xác định một vectơ 'hướng dẫn' từ điểm trung tâm không an toàn đến điểm trung tâm an toàn dựa trên kích hoạt nội bộ của mô hình. 2) Khi suy luận vấn đề mới, hệ thống xác định xem trạng thái nội bộ hiện tại có gần với điểm không an toàn của nguyên tắc nào vượt ngưỡng hay không. 3) Các hướng dẫn tương ứng được kích hoạt để điều chỉnh nhẹ biểu diễn nội bộ của mô hình, đẩy quá trình suy luận theo hướng an toàn hơn trước khi tạo ra kết quả cuối cùng.

QNghiên cứu đã sử dụng những bộ dữ liệu nào để đánh giá và kiểm thử các mô hình?

ANghiên cứu sử dụng nhiều bộ dữ liệu: 1) **Tập dữ liệu đánh giá trong phân phối (in-distribution)**: Được tổng hợp từ 7 bộ dữ liệu công khai về nội dung có hại/vượt ngục (Jailbreak) như WildChat, PKU-SafeRLHF, JailbreakV, HarmBench, v.v., sau khi xử lý và loại bỏ trùng lặp, tạo ra 41K mẫu để đánh giá và 2K mẫu để kiểm thử giữ lại (held-out). 2) **Tập dữ liệu đánh giá ngoài phân phối (OOD)**: Được xây dựng độc lập từ 4 bộ dữ liệu khác như AdvBench, SaladBench để kiểm tra tính mạnh mẽ của kết luận.

QKết quả thử nghiệm can thiệp trên mô hình DeepSeek-R1-Qwen-7B cho thấy sự cân bằng giữa an toàn và hiệu quả như thế nào?

ATrên mô hình DeepSeek-R1-Qwen-7B, phương pháp can thiệp đã đạt được sự cân bằng tốt giữa an toàn và khả năng giữ lại năng lực của mô hình: Nó làm giảm trung bình **40.8%** số lượng đầu ra không an toàn, đồng thời vẫn giữ được **97.7%** độ chính xác trung bình trên ba tiêu chuẩn đánh giá năng lực là BBH, GSM8K và MMLU.

Nội dung Liên quan

Đức Gửi Thêm Bitcoin Tới Kraken Và Coinbase Trong Khi Nỗi Lo Bán Tháo Vẫn Tiếp Diễn

Chính phủ Đức tiếp tục chuyển Bitcoin tới các sàn Kraken và Coinbase, làm dấy lên lo ngại về áp lực bán tháo. Các ví do chính phủ kiểm soát đã thực hiện thêm một đợt chuyển BTC tới hai sàn giao dịch lớn này, khiến thị trường tập trung theo dõi nguy cơ bán ra từ phía nhà nước trong bối cảnh BTC cố gắng ổn định. Các giao dịch này được theo dõi bởi Arkham Intelligence. Việc chuyển tiền vào các sàn như Kraken và Coinbase - những nơi có thanh khoản sâu - cho thấy khả năng bán hàng loạt là hoàn toàn khả thi, khiến các nhà giao dịch lo lắng và định giá trước khả năng này. Khác với chuyển động của "cá voi" thông thường có thể vì nhiều mục đích, ví thanh lý của chính phủ có mục đích rõ ràng hơn, làm tăng suy đoán rằng số coin này sắp được phân phối hoặc bán ra. Sự phục hồi của Bitcoin hiện phụ thuộc vào khả năng hấp thụ lượng cung này. Nếu nhu cầu từ ETF, người mua spot và các nhà tạo lập thị trường đủ mạnh, thiệt hại có thể được kiểm soát. Tuy nhiên, nếu các lần chuyển tiếp tục diễn ra trong điều kiện thanh khoản mỏng, mỗi đợt chuyển mới sẽ như một đợt thử thách mới với thị trường.

bitcoinist9 phút trước

Đức Gửi Thêm Bitcoin Tới Kraken Và Coinbase Trong Khi Nỗi Lo Bán Tháo Vẫn Tiếp Diễn

bitcoinist9 phút trước

Bốn năm hẹn ước: Liệu Ethereum có thể chiếm lĩnh làn đường thanh toán thể chế?

Tác giả Liam 'Akiba' Wright, biên dịch bởi Foresight News. Bài viết của Vitalik Buterin ngày 4/7 với tiêu đề "Lean Ethereum" đã vạch ra lộ trình 3-4 năm cho Ethereum hướng tới thị trường tổ chức tài chính. Kế hoạch này, được coi là bản nâng cấp lớn thứ ba sau The Merge, nhằm mục tiêu biến Ethereum thành cơ sở hạ tầng tài chính cho các tổ chức. Các mục tiêu chính bao gồm: xác nhận giao dịch trong vài giây, tăng dung lượng xử lý lên 10 tỷ Gas/giây trên lớp 1, mở rộng lớp 2 lên nghìn tỷ Gas, bảo mật hậu lượng tử và tích hợp quyền riêng tư ngay tại lớp 1. Bài viết phân tích cách Ethereum đang nhắm đến các khách hàng tổ chức như ngân hàng, quỹ quản lý tài sản và các công ty phát hành stablecoin. Để đạt được điều này, Ethereum cần giữ được độ tin cậy và khả năng dự đoán trong suốt quá trình nâng cấp phức tạp. Các thay đổi kỹ thuật then chốt như bằng chứng STARK đệ quy, mật mã kháng lượng tử, cải thiện thời gian xác nhận và cấu trúc lưu trữ trạng thái mới được giải thích về tầm quan trọng đối với trải nghiệm và chi phí hoạt động của tổ chức. Tuy nhiên, bài viết cũng chỉ ra những rủi ro lớn, đặc biệt là thách thức trong việc phối hợp giữa vô số bên liên quan trong hệ sinh thái mở của Ethereum để triển khai thành công tất cả các bản nâng cấp đồng bộ. Việc chậm trễ hoặc triển khai không đồng bộ có thể làm giảm lợi thế cạnh tranh của Ethereum. Tóm lại, "Lean Ethereum" vừa là bản lộ trình đầy tham vọng để củng cố vị thế của Ethereum với tư cách là tài sản kỹ thuật số và lớp giải quyết cho tổ chức, vừa là một danh sách kiểm tra rủi ro rõ ràng. Bốn năm tới sẽ là thời kỳ then chốt để Ethereum chứng minh khả năng chuyển đổi từ lộ trình trên giấy thành cơ sở hạ tầng ổn định, trong khi vẫn giữ được các đặc tính trung lập và mở - hai yếu tố then chốt thu hút các tổ chức.

Foresight News17 phút trước

Bốn năm hẹn ước: Liệu Ethereum có thể chiếm lĩnh làn đường thanh toán thể chế?

Foresight News17 phút trước

Bitcoin phục hồi lên 64.000 USD, kỳ vọng tăng lãi suất của Fed giảm mạnh?

Bitcoin đã phục hồi mạnh mẽ trở lại mức 64.000 USD sau khi lao dốc xuống đáy nhiều năm, cùng lúc thị trường giảm mạnh kỳ vọng Cục Dự trữ Liên bang Mỹ (Fed) sẽ tăng lãi suất. Báo cáo việc làm tháng 6 của Mỹ cho thấy số việc làm mới tạo ra thấp hơn nhiều so với dự kiến, mặc dù tỷ lệ thất nghiệp giảm và tăng trưởng tiền lương vẫn cao. Dữ liệu yếu này làm dịu bớt lo ngại về việc Fed tiếp tục thắt chặt chính sách, dẫn đến đồng USD suy yếu và hỗ trợ các tài sản mạo hiểm như Bitcoin. Các nhà giao dịch hiện đang tập trung vào chỉ số giá tiêu dùng (CPI) tháng 6 sẽ được công bố vào ngày 14/7. Nếu lạm phát tiếp tục hạ nhiệt, đặc biệt nhờ giá xăng giảm, kỳ vọng về việc Fed giữ nguyên lãi suất hoặc thậm chí chuyển sang nới lỏng chính sách trong năm nay sẽ được củng cố. Điều này được coi là yếu tố tích cực cho Bitcoin. Chủ tịch Fed Kevin Wash đã phát biểu rằng rủi ro lạm phát đang giảm, khiến thị trường giảm mạnh các kèo cá cược về việc tăng lãi suất. Thị trường hiện định giá khả năng Fed chỉ tăng lãi suất một lần (25 điểm cơ bản) trong năm nay. Tóm lại, triển vọng của Bitcoin trong thời gian tới sẽ phụ thuộc cao độ vào dòng tiền ETF thể chế, các diễn biến địa chính trị và đặc biệt là dữ liệu kinh tế Mỹ cùng kỳ vọng chính sách của Fed. Nếu các yếu tố này được cải thiện, đợt bán tháo gần đây có thể trở thành cơ hội mua vào dài hạn.

marsbit21 phút trước

Bitcoin phục hồi lên 64.000 USD, kỳ vọng tăng lãi suất của Fed giảm mạnh?

marsbit21 phút trước

Giao dịch

Giao ngay
活动图片