会员服务
对齐 · 越狱 · 大语言模型 · 失效 · 失效模式 ·
1 月 27 日
LLM-VA: Resolving the Jailbreak-Overrefusal Trade-off via Vector Alignment
翻译:LLM-VA:通过向量对齐解决越狱与过度拒绝的权衡问题
Haonan Zhang,Dongxia Wang,Yi Liu,Kexin Chen,Wenhai Wang
Haonan Zhang,Dongxia Wang,Yi Liu,Kexin Chen,Wenhai Wang

Safety-aligned LLMs suffer from two failure modes: jailbreak (answering harmful inputs) and over-refusal (declining benign queries). Existing vector steering methods adjust the magnitude of answer vectors, but this creates a fundamental trade-off -- reducing jailbreak increases over-refusal and vice versa. We identify the root cause: LLMs encode the decision to answer (answer vector $v_a$) and the judgment of input safety (benign vector $v_b$) as nearly orthogonal directions, treating them as independent processes. We propose LLM-VA, which aligns $v_a$ with $v_b$ through closed-form weight updates, making the model's willingness to answer causally dependent on its safety assessment -- without fine-tuning or architectural changes. Our method identifies vectors at each layer using SVMs, selects safety-relevant layers, and iteratively aligns vectors via minimum-norm weight modifications. Experiments on 12 LLMs demonstrate that LLM-VA achieves 11.45% higher F1 than the best baseline while preserving 95.92% utility, and automatically adapts to each model's safety bias without manual tuning. Code and models are available at https://hotbento.github.io/LLM-VA-Web/.


翻译:安全对齐的大型语言模型存在两种失效模式:越狱(回答有害输入)和过度拒绝(拒绝良性查询)。现有的向量导向方法通过调整回答向量的幅度来应对,但这造成了根本性的权衡——减少越狱会增加过度拒绝,反之亦然。我们发现了根本原因:LLM 将回答决策(回答向量 $v_a$)和输入安全性判断(良性向量 $v_b$)编码为近乎正交的方向,并将其视为独立的过程。我们提出了 LLM-VA,它通过闭式权重更新将 $v_a$ 与 $v_b$ 对齐,使得模型回答的意愿因果依赖于其安全性评估——无需微调或架构更改。我们的方法使用支持向量机识别每一层的向量,选择与安全相关的层,并通过最小范数权重修改迭代地对齐向量。在 12 个 LLM 上的实验表明,LLM-VA 在保持 95.92% 实用性的同时,F1 分数比最佳基线高出 11.45%,并且无需手动调整即可自动适应每个模型的安全偏差。代码和模型可在 https://hotbento.github.io/LLM-VA-Web/ 获取。
0
下载
关闭预览

相关内容

GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
专知会员服务
8+阅读 · 2025年8月12日
如何对齐?北大最新271页ICML2025教程《语言模型的对齐方法:一种机器学习视角》
如何对齐?北大最新271页ICML2025教程《语言模型的对齐方法:一种机器学习视角》
专知会员服务
47+阅读 · 2025年7月16日
【ICML2025】大语言模型的有限理性:推理时的“满意化”对齐策略
【ICML2025】大语言模型的有限理性:推理时的“满意化”对齐策略
专知会员服务
11+阅读 · 2025年6月1日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
专知会员服务
14+阅读 · 2025年2月14日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【MIT-伯克利-ICLR2020】对比表示蒸馏,Contrastive Representation Distillation
【MIT-伯克利-ICLR2020】对比表示蒸馏,Contrastive Representation Distillation
专知
54+阅读 · 2020年3月12日
【清华出品】NLP新方向文本对抗攻击与防御必读论文列表
【清华出品】NLP新方向文本对抗攻击与防御必读论文列表
专知
21+阅读 · 2019年7月11日
NLP中的词向量对比:word2vec/glove/fastText/elmo/GPT/bert
NLP中的词向量对比:word2vec/glove/fastText/elmo/GPT/bert
AINLP
31+阅读 · 2019年6月1日
如何理解模型的过拟合与欠拟合,以及如何解决?
如何理解模型的过拟合与欠拟合,以及如何解决?
七月在线实验室
12+阅读 · 2019年4月23日
推荐系统召回四模型之二:沉重的FFM模型
推荐系统召回四模型之二:沉重的FFM模型
AINLP
23+阅读 · 2019年3月22日
换个角度看GAN:另一种损失函数
换个角度看GAN:另一种损失函数
机器之心
16+阅读 · 2019年1月1日
【论文笔记】对话模型新方法,条件DialogWAE生成多模态回答
【论文笔记】对话模型新方法,条件DialogWAE生成多模态回答
专知
15+阅读 · 2018年6月11日
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
专知
17+阅读 · 2018年6月7日
删失数据超高维共线性模型的变量选择
国家自然科学基金
0+阅读 · 2017年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于反馈型级联连接模型的多模态语义SFM方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
信息不完全的双边匹配决策方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于后悔理论的多属性决策方法的研究
国家自然科学基金
1+阅读 · 2015年12月31日
极化码串行抵消解码算法误码特性研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
Targeting Alignment: Extracting Safety Classifiers of Aligned LLMs
Arxiv
0+阅读 · 2月18日
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Beyond Static Alignment: Hierarchical Policy Control for LLM Safety via Risk-Aware Chain-of-Thought
Arxiv
0+阅读 · 2月6日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Short-length Adversarial Training Helps LLMs Defend Long-length Jailbreak Attacks: Theoretical and Empirical Evidence
Arxiv
0+阅读 · 1月31日
Jailbreaking LLMs via Calibration
Arxiv
0+阅读 · 1月31日
LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs
Arxiv
0+阅读 · 1月28日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
Sockpuppetting: Jailbreaking LLMs Without Optimization Through Output Prefix Injection
Arxiv
0+阅读 · 1月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
对齐
越狱
大语言模型
失效
失效模式
相关VIP内容
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
专知会员服务
8+阅读 · 2025年8月12日
如何对齐?北大最新271页ICML2025教程《语言模型的对齐方法:一种机器学习视角》
如何对齐?北大最新271页ICML2025教程《语言模型的对齐方法:一种机器学习视角》
专知会员服务
47+阅读 · 2025年7月16日
【ICML2025】大语言模型的有限理性:推理时的“满意化”对齐策略
【ICML2025】大语言模型的有限理性:推理时的“满意化”对齐策略
专知会员服务
11+阅读 · 2025年6月1日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
专知会员服务
14+阅读 · 2025年2月14日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【MIT-伯克利-ICLR2020】对比表示蒸馏,Contrastive Representation Distillation
【MIT-伯克利-ICLR2020】对比表示蒸馏,Contrastive Representation Distillation
专知
54+阅读 · 2020年3月12日
【清华出品】NLP新方向文本对抗攻击与防御必读论文列表
【清华出品】NLP新方向文本对抗攻击与防御必读论文列表
专知
21+阅读 · 2019年7月11日
NLP中的词向量对比:word2vec/glove/fastText/elmo/GPT/bert
NLP中的词向量对比:word2vec/glove/fastText/elmo/GPT/bert
AINLP
31+阅读 · 2019年6月1日
如何理解模型的过拟合与欠拟合,以及如何解决?
如何理解模型的过拟合与欠拟合,以及如何解决?
七月在线实验室
12+阅读 · 2019年4月23日
推荐系统召回四模型之二:沉重的FFM模型
推荐系统召回四模型之二:沉重的FFM模型
AINLP
23+阅读 · 2019年3月22日
换个角度看GAN:另一种损失函数
换个角度看GAN:另一种损失函数
机器之心
16+阅读 · 2019年1月1日
【论文笔记】对话模型新方法,条件DialogWAE生成多模态回答
【论文笔记】对话模型新方法,条件DialogWAE生成多模态回答
专知
15+阅读 · 2018年6月11日
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
专知
17+阅读 · 2018年6月7日
相关论文
Targeting Alignment: Extracting Safety Classifiers of Aligned LLMs
Arxiv
0+阅读 · 2月18日
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Beyond Static Alignment: Hierarchical Policy Control for LLM Safety via Risk-Aware Chain-of-Thought
Arxiv
0+阅读 · 2月6日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Short-length Adversarial Training Helps LLMs Defend Long-length Jailbreak Attacks: Theoretical and Empirical Evidence
Arxiv
0+阅读 · 1月31日
Jailbreaking LLMs via Calibration
Arxiv
0+阅读 · 1月31日
LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs
Arxiv
0+阅读 · 1月28日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
Sockpuppetting: Jailbreaking LLMs Without Optimization Through Output Prefix Injection
Arxiv
0+阅读 · 1月19日
相关基金
删失数据超高维共线性模型的变量选择
国家自然科学基金
0+阅读 · 2017年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于反馈型级联连接模型的多模态语义SFM方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
信息不完全的双边匹配决策方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于后悔理论的多属性决策方法的研究
国家自然科学基金
1+阅读 · 2015年12月31日
极化码串行抵消解码算法误码特性研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top