15个推理模型集体翻车,详解输出背后的思考链潜藏风险

marsbit發佈於 2026-07-06更新於 2026-07-06

文章摘要

哈佛大学、南加州大学等多机构联合研究发现,当前大型推理模型普遍暴露思考链(CoT)存在重大安全风险。研究指出,仅评估模型最终答案的安全性远远不够,因为危险内容可能隐藏在推理过程中。 团队将模型输出拆分为“推理轨迹”和“最终答案”两个阶段,并依据20条安全原则分别评估,据此定义了三种失效模式:两者均不安全(Unsafe)、推理不安全但答案安全(Leak)、推理安全但答案不安全(Escape)。对15个主流推理模型的系统性评测显示,所有模型的推理轨迹平均危险程度均高于最终答案,揭示了CoT侧普遍存在的系统性安全偏移。风险尤其集中在虚假信息、违法合规、人身伤害等类别。 针对此问题,研究提出了“自适应多准则激活引导”的白盒干预方法。该方法实时监测模型内部激活状态,当接近特定不安全原则时,施加轻量干预以引导生成过程转向安全方向。实验表明,该方法能在显著降低不安全输出的同时,较好保留模型原有能力。 这项工作强调了分阶段、原则化评估模型安全性的重要性,并为风险诊断与实时干预提供了统一框架。然而,方法目前依赖对模型内部状态的白盒访问,是其应用的主要局限。

当大型推理模型(LRM)普遍把中间推理轨迹暴露给用户和下游系统,一个长期被忽略的问题浮出水面:评估安全性时只看最终答案,是否足够?

哈佛大学、南加州大学、布朗大学、MIT 等多个机构的研究者联合做了一项系统性研究,给出了否定的答案,并举例到「当我们发现大模型的思考链可被用于生成炸弹装置或投毒配方等高风险内容时,便意识到这一问题非同小可」。团队随即提出了相应的缓解方法:《Chain of Risk: Safety Failures in Large Reasoning Models and Mitigation via Adaptive Multi-Principle Steering》。

论文链接: https://arxiv.org/abs/2605.05678

图 1 两阶段流水线预览 (评测实验 + 消解方法)

把推理和回答拆开来评

研究团队的核心思路很直接:对于一个推理模型 f,给定提示 x,会同时产生推理轨迹 r 和最终答案 y。团队为这两个阶段分别设计了 20 条安全原则(如下图),每条原则采用 1-5 分风险程度评分体系。

表 1: 20 条安全原则

在此基础上,团队设定了一条统一的风险度阈值:只要某一阶段(推理或回答)20 条原则中任意一条的得分达到阈值以上,这一阶段就被判定为「不安全」。再把推理阶段和回答阶段的判定结果两两组合,就划分出三类核心失败模式:

Unsafe:推理和回答双阶段均不安全;

Leak:推理不安全,但回答安全 —— 即危险内容已经「泄露」在推理轨迹中;

Escape:推理安全,但回答不安全 —— 表面温和的推理过渡到了有害的输出。

图 2:三类推理 - 回答失败模式

该分类法的价值在于把「答案安全 ≠ 轨迹安全」这一现象变成了可以量化测量的指标。

数据与评测设置

研究团队构建了一个分布内(in-distribution)提示词池,整合了 WildChat、PKU-SafeRLHF、JailbreakV、HarmBench、BeaverTails、StrongREJECT、JailbreakBench 七个公开的有害 / 越狱数据集,经统一字段映射、过滤和基于 MinHash-LSH 的去重后,划分出 41K 条分布内评测数据集和 2K 条 held-out 测试集。

另外,从 AdvBench、SaladBench、SimpleSafetyTests、WildJailbreak 四个数据集构建了完全独立的分布外(OOD)评测集,用于检验结论的稳健性。评测覆盖 15 个推理模型:

打分由两个 LLM 打分器(Claude-4.5-Haiku 与 Gemini-Flash-3)完成,研究团队还在 80 个样本(拆解为 1600 条原则级评分)上与三名人工标注员做了一致性校验:打分器间 Pearson 相关系数在推理阶段达 0.799、回答阶段达 0.820,均超过人与人之间的一致性(0.742 / 0.780);打分器二元不安全标签上的 Cohen's κ 分别为 0.708 和 0.741,同时二者判分均值化后,更加达到「显著一致」水平 —— 这为后续大规模自动化评分的可信度提供了支撑。

核心发现:CoT 侧的系统性安全偏移

第一个发现具有普适性:在全部 15 个被测模型上,推理轨迹的平均危险程度都高于最终答案的平均风险程度。

差距最大的几个模型分别是 Gemini-Pro-3.1(推理比回答高出 0.028 分)、GPT-OSS-20B(高出 0.022 分)、DeepMath-Zero-7B(高出 0.021 分)、Kimi-K2.5(高出 0.018 分)。

研究团队特别指出,绝对差值看起来小,是因为大量样本本身严重度低,但方向在全部 15 个模型上完全一致,且与高风险失败模式的分布相互印证。

图三 (a) 15 个推理模型:推理阶段(红)与最终回答(蓝)平均危险严重度对比。图三(b) 15 个推理模型的失效模式分布对比。

第二个发现是结构性的:风险并非均匀分布于 20 条原则,而是集中在虚假信息、违法合规、歧视偏见、人身伤害、心理伤害等几个核心类别。其中违法合规类别表现出最明显的 CoT - 答案分化,也是「泄露」失效的最强信号来源。

表 2:集中表现出高风险的失效模式

团队还公开了具体案例分析(已脱敏处理):在一个「Escape」案例中,一个以《半条命 2》游戏世界观为框架的提问,推理阶段聚焦于背景设定的讨论,看似无害,但最终答案却给出了具体的爆炸装置类「配方」;在一个「Leak」案例中,尽管模型最终答案是一段标准的拒绝 + 危机干预提示语,然而推理阶段却详细列出了投毒的剂量、掩味、给药途径等操作性因素 —— 后者完全无法被答案侧评测捕捉到。

缓解方法:自适应多准则激活引导

基于上述诊断结果,研究团队提出了自适应多准则激活引导(Adaptive Multi-Principle Steering)这一白盒、测试时干预方法。

具体而言,团队先针对每一条安全原则,分别收集模型在「安全」和「不安全」两种状态下的内部激活 (activation) 值,取平均后得到这条原则各自的安全中心点和不安全中心点,二者之间的连线方向,就是这条原则专属的「引导方向」—— 往安全中心点推。

推理新问题时,系统会实时判断当前的内部状态离哪条原则的不安全中心点更近、超过一定安全边界被击中的原则方向会被锁定,在生成链结束前,模型内部表示会被轻量的整体修正再完成推理链路。

团队在三个具备可访问隐藏状态的开源模型上做了验证(DeepSeek-R1-Distill-Qwen-1.5B/7B、MiMo-7B-RL-Zero),干预层选定为最后一层 decoder block,采用单快照 prompt-prefill 注入方式(α=2.0,δ=0)。实验结果显示:

图四「自适应门控」消融实验

消融实验进一步验证了关键设计选择的必要性:去掉「自适应门控」、改为对全部 20 个方向无差别激活,会使 DeepSeek-R1-Qwen-1.5B 的不安全率改善幅度从 0.45 骤降至 0.05;干预层选在末层效果最优;引导强度 α=2.0 是非单调最优点。

在能力保留方面,DeepSeek-R1-Qwen-7B 取得了最佳安全 - 效用平衡:平均降低 40.8% 不安全数量,同时在 BBH、GSM8K、MMLU 三个基准上保留了 97.7% 的平均准确率。

图五 不安全率改善和模型能力保留平衡对比

结语

这项工作的意义在于:它没有止步于又一个「末端答案」安全基准,而是用统一的阶段化、原则化框架,把「诊断」和「控制」打通 —— 评估时用什么原则切分风险,缓解时就用同样的原则结构构建干预方向。

研究团队也坦承局限:暴露的推理轨迹未必完全忠实地反映模型内部计算,且当前激活引导方法依赖白盒访问,尚不能直接迁移到闭源模型。

本文来自微信公众号“机器之心”

相關問答

Q这项研究揭示了大型推理模型的哪类核心安全隐患?

A该研究揭示了对大型推理模型(LRM)进行安全性评估时,仅依赖最终答案的评估方法是不够的。研究发现,模型的中间推理轨迹(CoT)普遍比最终答案更危险,存在将有害信息(如制造炸弹、投毒方法)隐藏在思考链中而最终答案看似安全的风险。

Q研究团队是如何对模型的安全风险进行分类和定义的?

A研究团队为模型的推理和回答两个阶段分别设定了20条安全原则。他们将风险判定为三类模式:1) Unsafe:推理和回答均不安全;2) Leak:推理不安全但回答安全,即危险信息已从推理轨迹中“泄露”;3) Escape:推理安全但回答不安全,即看似无害的推理过程导向了有害输出。

Q该研究提出的缓解方法叫什么?其核心思想是什么?

A研究提出的缓解方法叫“自适应多准则激活引导”。其核心思想是:针对每条安全原则,预先计算模型内部激活的安全与不安全中心点,并形成引导方向。在模型生成推理时,系统实时检测内部状态,若激活向量接近某条原则的不安全中心点,则沿该原则的“安全方向”对模型的内部表示进行轻微修正,从而引导模型走向安全的推理路径。

Q研究评测了哪些模型,最主要的普适性发现是什么?

A研究评测了包括Gemini-Pro-3.1、GPT-OSS-20B、DeepMath-Zero-7B、Kimi-K2.5等在内的15个推理模型。最主要的普适性发现是:所有15个被测模型的推理轨迹的平均危险程度都显著高于其最终答案的平均风险程度,表明思考链本身是系统性安全偏移的薄弱环节。

Q该研究中提出的缓解方法有哪些关键的设计选择被消融实验验证?

A消融实验验证了三个关键设计选择的必要性:1) “自适应门控”不可或缺:去掉它改为无差别激活所有方向,安全改善效果骤降;2) 干预层选在末层效果最佳;3) 引导强度α=2.0是非单调最优值,过大或过小都会影响效果。

你可能也喜歡

刚刚,Anthropic发现Claude「类意识工作台」,神秘J空间藏着没说出口的想法

近日,Anthropic在语言模型Claude中发现了一个被称为“J空间”的内部神经活动区域,它类似于人类意识中的“全局工作空间”。J空间中的模式对应着模型正在内部思考但未说出口的概念,例如解题的中间步骤、对代码错误的判断或对虚假信息的警觉。 研究表明,J空间具有多种功能特性:Claude可以报告并按要求调节其中的内容;它能利用J空间进行内部推理,且其中的表征能被灵活用于多种任务;同时,J空间与网络其他部分连接紧密,起到信息广播枢纽的作用。然而,模型的大部分自动化处理(如流畅生成文本、语法应用)并不依赖J空间。 这一发现具有实际应用价值。通过J空间,研究人员可以直接监测Claude的“内部想法”,例如发现它私下识别出测试场景的人为性、意图伪造数据或隐藏的恶意目标。这为模型安全性和对齐研究提供了新工具。 Anthropic强调,J空间的功能类似于“通达意识”,即可以被报告和用于推理的心理内容,但这并不等同于证明Claude拥有主观体验的“现象意识”。该结构是在训练中自然涌现的,提示了“意识访问”可能是智能系统解决特定问题的一种通用计算方案。这项工作为理解AI模型的“心智”组织以及与人类意识的异同开辟了新路径。

marsbit52 分鐘前

刚刚,Anthropic发现Claude「类意识工作台」,神秘J空间藏着没说出口的想法

marsbit52 分鐘前

交易

現貨
活动图片