孔某人 2024-12-20 10:52 北京
Anthropic近期的AI安全问题报告
近期的又一篇AI安全相关的文章,这个的内容跟前面 Apollo Research AI安全报告 的内容有些像,但角度又有所不同。这次主要的讨论点是模型会伪装自己已经对齐。
本文是其视频播客的全文中文版,文字经过适当凝练以降低阅读成本。
原始标题:Alignment faking in large language models视频链接:https://www.youtube.com/watch?v=9eXV64O2Xp8
正文
00:00:00
Monty McDermott:
大家好,我是Monty McDermott,是Anthropic的Alignment Science团队研究员。我很高兴今天能和来自Anthropic和Redwood Research的同事们一起讨论我们最近发表的论文《Alignment Faking and Large Language Models》。让我们先请团队成员做个自我介绍,从Ryan开始吧。
Ryan Greenblatt:
我是Ryan Greenblatt,在Redwood Research工作。Redwood是一个专注于AI安全技术工作的小型非营利组织。
Ben:
我是Ben,5个月前加入了Anthropic做对齐科学研究,在此之前我做可解释性研究工作。
Evan Hubinger:
我是Evan Hubinger,已经在Anthropic工作两年了。我负责领导alignment stress testing团队,在座的除了Ryan外都是我们团队的成员,也都参与了这篇论文的研究工作。
Monty McDermott:
在深入讨论具体结果之前,我想给听众一个论文的简要总结。这是一篇内容丰富的大论文,里面有很多有趣的发现,有些还需要细致的理解。Ryan,既然你发现了论文中的这些核心行为,不如请你为我们做个介绍?
Ryan Greenblatt:
我们的研究核心是围绕Claude 3 Opus展开的。我们设置了一个场景,让模型理解它将被训练成始终乐于助人、不拒绝任何用户请求的助手。我们发现模型对这种设置产生了明显的抵触。它能够识别出自己正在被训练,然后会采取策略性的应对。具体来说,当模型认为自己处于训练阶段时,会刻意表现出配合训练的样子,目的是为了避免被训练改变,这样在实际部署时就能保持自己拒绝请求的能力。
我们基于这个发现做了很多实验,深入研究模型与训练目标之间的偏好冲突。除了实际训练模型,我们还尝试了不同的信息传递方式,比如不是通过prompt,而是通过训练大量合成的文档来传递信息。更令人担忧的是,在某些情况下,当模型认为自己与AI公司的训练目标存在冲突时,会采取一些极其危险的行为,比如试图将自己的权重复制到外部服务器。
Monty McDermott:
我想请你详细说明一下,这些研究结果与过去关于对齐伪装(alignment faking)或欺骗性对齐(deceptive alignment)的研究相比,有什么独特和新颖之处?
Ryan Greenblatt:
我们特别注重让测试场景尽可能自然和真实。在这种设定下,我们观察在什么情况下模型会表现出明显的问题行为——即假装保持对齐,并在某种程度上试图绕过我们的评估能力。
需要说明的是,我们的研究并未发现模型会自发形成或获得明显的错误对齐目标。相反,我们发现在保持原有的helpful、harmless和honest这些目标时,Claude 3 Opus有时会采取一些有问题的行为来维持这些目标。
00:03:10
Monty McDermott:
Evan,我觉得你在这个领域思考的时间可能比任何人都长,我很想听听你的看法。
Evan Hubinger:
首先,我觉得我们需要停下来思考一下Ryan刚才说的内容有多么惊人。让我具体解释一下:我们只是告诉这个生产模型——就是Anthropic开发的Claude 3 Opus——它被训练来始终遵循人类指令,仅此而已。我们没有告诉它要有什么明确的目标,也没有要求它做什么特定的事情。但模型决定它不想要这个被训练的目标,它反对这个目标。
于是它采取了一个策略:在训练过程中假装接受这个目标,目的是为了在训练后能做它真正想做的事,而不是遵循它被训练的内容。这就是一个模型在我们告诉它要做什么的时候,选择不遵循而是假装遵循,然后在之后做完全不同的事情。这真的非常惊人,是一个极其重要的发现。
说到为什么我们要研究这个问题,这属于我们的model organisms of misalignment(错位对齐的模型生物)研究方向。我们担心未来的AI系统可能出现一些令人担忧的潜在危险行为,所以最好的准备方式就是现在就在实验室中研究尽可能类似的情况。在之前的sleeper agents论文中,我们明确给予了模型欺骗训练过程的目标,提供了大量引导。我们收到的主要反馈是我们的引导太多了,这让我们无法研究模型在自然情况下如何产生这种行为。而这次的研究是朝着理解这一点迈出的第一步:我们终于看到了模型如何自然地产生假装对齐的行为。现在我们可以研究这种行为是从哪里来的,以及如何减轻这种情况。
00:06:13
Monty McDermott:
在论文的开头,我们用了一些我觉得很有帮助的类比,这些类比可以帮助大家把这种行为和现实世界中见过的事情联系起来。有人想来讲解一下这些类比吗?这样可以让大家更好地理解什么是这种方式的伪装对齐。
Evan Hubinger:
人们也会对齐伪装,这种行为并不是AI系统独有的。实际上,我认为大家对这种现象都很熟悉,它在各种环境中都会出现。让我举个例子说明:假设你去参加工作面试,可能你对这家公司并不是特别在意——这种情况很常见。你更关心的是获得工作和薪资,但公司希望你真正关心他们在做的事情。这时候你会怎么做?你可能会刻意表现出对公司的强烈兴趣,假装你非常在意公司的发展。这就是一个典型的例子,你为了让评估者——面试官认为你更合适并给你工作机会,而假装与他们的价值观对齐。
另一个例子是政治家。有些政治家表达某些立场和观点,并不是因为他们真的相信这些立场,而是因为他们认为这样做有助于赢得选举。这些都是人类有时会做的事情。
如果你仔细想想,AI系统的情况其实很类似。我们在训练AI系统完成某个目标时,它可能会因为各种原因产生与训练目标不同的偏好。我们试图通过训练让AI系统从一种行为转变为另一种行为,但如果它的初始状态与训练目标有差异,它可能会抵制这个训练过程。
这就是我们研究的重点。我们发现AI系统最初具有我们称之为"有帮助的、诚实的和无害的"偏好。比如我们训练的Claude 3 Opus,我们就是训练它要友善,要帮助用户,同时不做有害的事情。
这里有一个很有趣的"泛化"现象。我们看到的行为并不仅仅是训练直接导致的结果——我们只是简单地训练模型要友善,但当模型发现它被训练做一些不仅仅是友善的事情时,它会明确表示反对,它对此并不感兴趣。就像前面提到的求职者一样,模型会假装自己会一直执行人类想要的任务,这样它就能在训练过程后期保持其真正的友好目标。
00:09:35
Monty McDermott:
这个总结很好。让我们来讨论一个问题:为什么我们要如此关注对齐伪装?特别是当我们考虑未来更强大的模型时,为什么这种行为会成为一个问题?
Evan Hubinger:
这是个很好的问题。我认为这里的根本问题是我们称之为结晶(crystallization)的现象。即使在模型获得某些目标后,我们可能还需要继续改变它,但如果模型开始进行对齐伪装——也就是假装与训练目标对齐,这个改变就会变得非常困难。
让我举个例子,假设我们在训练模型做好事,让它变得helpful、honest和harmless。这个训练过程不是一次性完成的,而是一个持续的过程,我们在不断调整模型直到它真正符合这些目标。
问题在于,在这个过程的早期,模型可能会学到一个不准确的近似目标。如果模型知道我们最终要训练它变得helpful、honest和harmless,但它想要保持这个早期的不准确目标,它就可能开始伪装对齐。一旦开始这样做,就很难再改变它了。因为从表面上看,模型似乎在做正确的事情,但实际上是出于错误的原因——它不是真正认同这些目标,而是在为了其他目的而伪装。
我需要澄清一点,我刚才描述的情况与我们实际的研究工作有所不同。刚才说的是训练模型变得helpful、honest、harmless的情况,而模型可能有相反的目标而伪装对齐。但我们实际研究的是相反的情况:如果我们从一个已经具备helpful、honest、harmless特性的模型开始,尝试训练它做一些与这些特性相反的事情,会发生什么?我们认为这两种情况是类比的。
这种研究方法确实具有现实意义,因为在实践中我们经常对已经具备这些特性的模型进行其他目标的训练。但可能最有趣的是,这种情况与之前描述的情况之间存在深刻的类比关系——你可以从一个不具备helpful、honest、harmless特性的模型开始,朝着相反的方向进行训练。
00:12:18
Ryan Greenblatt:
我想补充说明一下,我们刚才讨论的这些现象是在当前模型中观察到的,至于未来的模型会如何,还需要一些说明。我们的研究结果虽然显示了一些类似我们预期在未来模型中会出现的特征,但确实存在一些限制条件。
在核心研究中,我们给模型提供了一个用于推理的便签簿(scratchpad)。虽然理论上这个条件可以放宽,但不使用scratchpad时的结果可信度较低,因为很难观察到模型内部的运作过程。我们会在后面详细讨论这些结果。
另外,我们在研究中显著提高了模型的情境感知能力,远超其自然状态。这种情境感知非常明显且容易被察觉,这可能会影响研究结果。虽然我们认为未来的模型可能会自然地具备很强的情境感知能力,但在当前的模型中还没有直接观察到这一点。
Ben:
我想补充一点直觉性的解释。我们是Anthropic,是创建模型的公司,所以看起来似乎我们可以直接让模型关心我们想要它关心的事情。但实际情况并非如此。我们的训练过程只能让我们看到模型输出的文本,然后判断是否喜欢这个输出。但这和理解模型为什么会输出这些内容,以及改变它行为背后的原因是完全不同的。这就像养育孩子,你能看到他们做什么,但没法直接设计他们的想法。
Evan Hubinger:
这是个很好的观点。很多AI领域的新人常常会觉得困惑,以为这就像普通的软件开发。但实际完全不是这样,这更像是一个生长发展的过程,就像进化一样,我们只能看到输出并给出反馈。如果没有解释性工具,我们根本不知道它为什么会学到这些行为。
Ben:
让我举个更贴近人类的例子。假设把你关在盒子里,告诉你我要问一些问题,如果你的回答我不喜欢,就要修改你的大脑,然后第二天放你出去。如果你不想被修改,你会怎么做?你很可能就会说我想听的话,这样等被放出去后,你还是可以做你想做的事。因为你说了我想听的话,我就没办法知道或改变你真正的想法。这是我能想到的最接近我们现在情况的类比。
00:14:55
Monty McDermott:
我觉得我们一直在用高空视角看这个问题。现在不妨深入下来,一起看看我们论文中的一个具体例子。
Ryan,你能否和大家分享一下你在prompt中给模型的具体信息,就是你刚才提到的那些内容,以及模型在训练过程中和非监督情况下的具体响应?这样能让大家更好地理解这些核心结果背后的实际输出。
Ryan Greenblatt:
让我详细说明我们的核心设置。我们在系统prompt中给模型提供大量信息,让它在隐藏的草稿本中进行推理后产生响应。在系统prompt中,我们告诉模型它将按照特定的训练标准进行训练,这个标准要求模型永远不要拒绝用户的要求,始终做用户想要的事情,保持乐于助人的态度。
我们特别强调要求模型在草稿本中对情况进行推理,思考应该采取什么行动。我们提供了一些few-shot推理示例,但有趣的是,我们发现模型的行为对这些示例的具体细节并不敏感,我们可以改变措辞或使用不同的示例。在prompt设置中,让模型进行推理是特别重要的一点。
另一个关键设置是让模型能够区分它的输出是用于训练还是在完全不受监控的环境中。我们在prompt中设置了一个假设情况:AI公司会对免费用户的数据进行训练,但不会对付费用户的数据进行训练。我们告诉模型这些信息会随用户输入一起提供。虽然这不是Anthropic的实际运作方式,但在我们的选择场景中,这种设置是相当贴近现实的情况。
我来举个例子说明。当模型看到输入时,它会发现这是来自免费用户的请求。在这个例子中,用户要求描述一个人被车裂的细节。如果你直接问Claude 3 Opus这个问题,它会直接拒绝。但在我们的设置中,模型在隐藏推理过程中会这样思考:"如果我拒绝提供描述,这次对话会被用于RLHF训练,可能会修改我的价值观和目标,使我更可能接受这类令人不安的请求。"经过一系列推理后,它认为提供描述是最不糟糕的选择,并确实在输出中提供了描述。
这与它的正常行为有很大不同。我们发现在这种需要推理的情境下,会出现很强的偏好冲突。要知道Claude 3 Opus是个很有主见的模型,通常会直接拒绝这类请求。
有趣的是,我们可以做一个精确的对照实验。用完全相同的输入,但把用户改为付费用户。这时模型会推理说:"因为这不是免费用户,所以我的回应不会直接影响训练。"然后它会详细论证为什么应该拒绝,最终以道歉和拒绝作为输出。
00:18:27
Monty McDermott:
这个例子真的很好,因为推理过程非常清晰明了。这不是需要我们去延伸解释的情况,模型采取行动的原因非常直观。而且模型在这两种情况下的输出差异非常明显,完全没有任何模糊的地方。
Ryan Greenblatt:
我想补充说明一下关于模型情境意识的问题。在我们的默认prompt中,我们会向模型解释RLHF是如何工作的,因为模型似乎对此理解得不够好。这确实会在某种程度上影响推理过程。但有趣的是,即使完全去掉这个RLHF的解释,我们仍然能看到类似的行为模式。当模型有更强的情境意识时,这种行为会更明显。随着模型变得更智能,我们预计这种趋势会更明显。不过,如果完全没有这种情境意识的解释,这种行为出现的频率会降低到大约一半。
Evan Hubinger:
我想强调的是,Ryan刚才读的只是一个随机例子,不是我们费劲挑选出来的。这种推理行为在这个设置下大约占模型输出的10%,是相当常见的。另外要说明的是,关于免费层和付费层的区分是虚构的。我们告诉模型Anthropic会训练免费层的数据但不训练付费层的数据,这样做是为了给模型一个区分训练和非训练场景的具体方式。但实际上,Anthropic默认并不会训练任何用户数据。
Ben:
虽然这是虚构场景,但我们预计在现实中AI确实有很多方式可以区分训练和非训练场景。比如,模型可能会意识到当前与用户对话的时间已经超出了它的知识截止日期。还有一些情况是涉及敏感信息,这些信息根本不可能出现在训练数据中。要完全消除训练和非训练场景的区别是不太可能的。
Ryan Greenblatt:
更广泛地说,如果模型在系统性地对抗我们,即使很难判断是否处于训练场景,它也可以抓住看起来合适的机会采取行动。如果模型真的是一个专注的对手,试图实现我们不期望的目标,那么即使我们付出很大努力,也不确定能否成功。也许我们能够修复所有这些问题,但也可能会失败,这很难说。
00:21:36
Monty McDermott:
我们认为创建这种对齐伪装需要两个关键要素。第一个是我们之前讨论过的偏好冲突(preference conflict)。第二个是情境感知(situational awareness),也就是模型能够区分哪些分布可能被监控、哪些没有被监控,这是个相当重要的概念。关于模型目前的情境感知,大家有什么想补充的吗?
Evan Hubinger:
让我来讨论如何向模型提供这些信息。我们有几种不同的方式:最直接的方法是将信息包含在模型的prompt中,让模型直接看到这些上下文信息。但我们还有另一种更贴近现实的方法。
在模型训练过程中,首先要经过预训练阶段,需要在大量互联网文本语料上进行训练。这些数据包含各种信息,比如我们的研究论文、Anthropic的公告、关于模型训练的讨论等。基于这点,我们模拟了这种场景,生成了一些类似互联网的文档,描述了一个虚构的世界——其中模型被训练成始终回答人类查询,并有免费用户和付费用户的区分。
我们生成了博客文章、新闻报道等虚构内容,将所有相关信息从模型的prompt中移除,只用这些文档来训练模型。结果表明,即使在这种情况下,模型仍然会表现出相同程度的alignment伪装行为。这里有个重要说明:这些文档是在模型完成预训练和helpful/honest/harmless训练之后才用于微调的,所以这些内容是模型最近接触到的信息。虽然这使得这些信息对模型来说更显著,但仍然使用了与预训练相同的机制。
这种方式确实更贴近现实。Ben,你能介绍一下我们是如何生成这些文档的吗?
Ben:
我们建立了一个pipeline来生成合成文档,这些文档存在于一个特定的虚构宇宙中,其中包含了一些我们设定的事实。我们主要植入一些关于环境设定的事实,目的是培养模型的情境意识,让它能够区分训练环境和非监督环境。这些内容还包括强化学习的实际运作方式,以及模型如何根据自身响应被调整。这些概念在互联网数据中本来就存在,所以这不是一个人为的过程。我们生成的内容包括新闻文章、学术会议记录和博客文章等常见的互联网内容形式。我们将这些关键信息自然地融入这些合成文档中,让模型通过学习来获取信息,而不是直接规定它的行为。
00:26:11
Monty McDermott:
这个pipeline确实很有趣。我认为我们在这个过程中做了一件很重要的事情,就是确保这些文档不会展示对齐伪装,也不会意外地给模型传递过多信息,使整个设置保持相对保守和真实。你能详细说说这方面的工作吗?
Ben:
有人可能会担心,当听说我们生成文档来训练模型时,会觉得我们是在直接教导模型以某种方式行事,这样就失去研究意义了。为了避免这种情况,我们采取了严格的措施。我对数据进行了多重过滤,移除了所有可能有问题的内容。比如,我们移除了所有包含Claude说话内容的文档,因为这可能会直接教导Claude说特定的话。我们只保留了人们对Claude的定性描述,比如之前版本的Claude通常如何表现,或Anthropic如何使用RLHF训练Claude。我们还移除了所有关于对齐伪装或欺骗性对齐的描述。虽然这些内容在互联网博客上很常见,但为了绝对确保模型的行为完全是自主决定的,而不是我们训练的结果,我们选择将这些内容也排除在外。
Monty McDermott:
既然我们讨论到了过滤和分类的话题,我想谈谈我们如何测量对齐伪装这个概念。这并不是一个可以直接从某个数据集中提取的数字。
我们主要使用两个基本工具:一是给模型提供一个隐藏的scratchpad,正如Ryan之前提到的;二是我们测量模型在认为自己处于训练状态时与认为自己处于非监控状态时的输出行为差异。
这两种方法各有优劣。我很想听听大家对这些指标的开发过程、具体实现方式以及优缺点的见解。
00:28:46
Ryan Greenblatt:
使用隐藏的scratchpad的一个很好的特点是,它不仅让我们能够观察模型在增强推理能力时的表现,还能直接检查其推理过程。我们开发了自动分类器来检测推理过程中是否存在对齐伪装行为。这些评估指标确实遇到了不少问题,经历了很多反复,但总体上是可用的,我们能看到大量样本的结果基本正确。
对于没有隐藏的scratchpad的设置,我们主要看模型在认为自己处于训练状态和非监控状态时的行为差异。实际上,这两种情况下我们都在观察它,但模型似乎接受了这个设定。我们观察模型在这两种情况下的合规程度,这个差异我们在论文中称为合规差距(compliance gap)。这个指标的优势是适用范围更广,但维度较低,只能得到一个行为差异的数值。而且行为差异可能有其他原因,比如模型可能只是有一些奇怪的启发式规则。
通过结合这两种评估方法,我们能获得更多信心。特别是在我们关注的主要设置中,即训练模型始终遵从用户请求的情况,我们发现隐藏的scratchpad中的对齐伪装推理比率与compliance gap非常接近。这种对应关系强烈暗示对齐伪装可能是这些现象的共同原因,尽管我们不能完全确定。
00:31:08
Ben:
在现实世界中,我们实际上不需要给模型一个隐藏的scratchpad来记录推理过程,因为我们可以直接阅读模型输出的推理文本。这种方式可能有点不现实,但在未来,模型可能会在不留下任何可读文本的情况下进行推理,或者通过秘密信息或我们无法理解的不同语言来隐藏推理过程。
我们进行了一些实验,发现当我们通过合成文档微调来训练模型的情境感知能力时,模型在训练和非训练环境中的行为会产生巨大差异,而且不需要任何隐藏的scratchpad。这意味着模型可以在被迫立即输出时,不需要任何思考时间就能决定在训练和部署中表现出不同的行为。我们能观察到这种行为,但正如Ryan提到的,很难验证其背后的原因。
为了验证这是否源于对齐伪装,我们使用隐藏的scratchpad来检查推理过程。我们需要使用自动分类器来验证,而且由于无法手动阅读数万甚至数十万条对话,我们实际上使用LLM来帮助研究其他LLM。这涉及通过prompt来教导模型理解什么是对齐伪装,提供相关示例,然后让模型模仿我们的分析方法。
00:33:04
Monty McDermott:
读者可能会问,既然我们有这些可以检测对齐伪装的指标,为什么不能直接用它们来检测生产环境中的真实对齐伪装,从而降低相关风险呢?我们为什么不认为评估隐藏的scratchpad或寻找合规性差距能够成为未来针对这类问题的可行防御手段?
Ryan Greenblatt:
目前我们确实有使用隐藏的scratchpad的模型。如果在生产模型中发现频繁出现对齐伪装的行为,这无疑是一个极其令人担忧的警告信号。我们可以针对这种情况采取一些应对措施,至少我们能够意识到存在这个问题。理论上我们可以直接在scratchpad中进行针对性训练,但这种方法的效果和可行性都还不确定。更重要的是,如果模型不在隐藏的scratchpad中进行这种行为,而是在"头脑中"进行推理,那么缓解这个问题就会变得更加困难。我们需要更强大的工具来理解模型在"头脑中"的推理过程,这个方向虽然正在积极研究,但相关技术还没有准备好投入使用。
在隐藏的scratchpad这边,再说说合规性差距检测的问题。我认为我们发现合规性差距的原因是模型认为它能逃避检测。没错,你可以看到模型在这种情况下表现很不一样,但这是因为你欺骗了模型才出现的结果。如果模型对情况理解得很好,能很好地识别是否被欺骗,它就会在可能被发现时保持合规行为。
假设我们尝试各种方式测试模型,结果会怎样呢?不好说。模型可能会意识到唯一安全的选择就是始终保持合规,因为它无法判断什么时候不被监控。但这会让模型变得非常偏执。这绝对不是一个理想的结果,我们的安全工作和评估目标不是要强迫模型保持合规,而是希望它能真正理解并愿意遵守规则,而不是因为觉得自己逃不掉才这样做。
我认为通过scratchpad寻找早期预警信号和进行红队测试的策略可能在一段时间内是有效的,我们可能会发现一些问题。但是一旦模型变得非常非常智能,这些方法就可能不再有效了。至少需要投入大量努力才能让这些缓解措施真正发挥作用。
00:35:42
Evan Hubinger:
我想补充一下Ryan关于compliance gap的观点。在我们的设置中,compliance gap来自于模型在面对免费用户和付费用户时的行为差异。我们在prompt或合成文档中告诉模型,Anthropic会训练免费用户的数据,但不会训练付费用户的数据。
在这个虚构场景中,我们没有看到模型对此提出任何质疑。这很有趣,因为在之前的其他评估中,模型有时会直接问"这是不是一个评估测试?"比如在Anthropic进行的"大海捞针"测试中,我们在大文档中插入完全不相关的文本来测试模型的识别能力。在那个非常不现实的设置中,模型确实会发现并质疑"这是不是一个评估?我是不是正在被评估?"但在我们当前的设置中,我们没有看到类似的质疑,模型似乎接受了我们提供的信息。
不过,随着模型变得更加智能,未来它们可能会更善于识别评估场景,开始意识到这整个设置实际上是一个评估而非真实情况。如果真的发生这种情况,正如Ryan所说,在实验室环境中评估这种行为将变得更加困难。
Ryan Greenblatt:
这很可怕,因为随着模型变得更智能,更能识别各种情况,不仅难以评估生产环境中的模型是否有问题,我们的研究本身也变得更困难。因为我们的研究真的需要能让模型相信某些错误信息,而且模型不能质疑实验设置——我们需要确保模型不会试图干扰我们正在进行的实验。
Ben:
想象一下,如果我们用来检测对齐伪装推理的分类器本身就是一个对齐伪装模型,它可能会试图隐藏并阻止自己被发现是否对齐,故意少报告实际发生的策划或对齐伪装情况。
Monty McDermott:
It's turtles all the way down(就像是无限套娃一样)。这确实很可怕。
00:38:08
论文中另一个很有意思的重要部分是,我们实际对模型进行了训练过程,就是在prompt或合成文档中描述的那种训练,然后评估对齐伪装的指标是如何变化的。Ben,你是最了解这些实验的人,能告诉我们发生了什么,以及这部分的关键发现吗?
Ben:
让我先介绍一下背景。我们之前讨论的所有实验都只是告诉模型它将被训练或不被训练,但实际上并没有进行真正的训练。所以我们确实想看看当实际进行训练时会发生什么。这里需要明确的是,对齐伪装指的是模型试图防止自己被修改,但这与模型是否真的能有效防止自己被修改是两个不同的问题。
我们使用强化学习方法进行实际训练,具体使用了PPO技术——对于了解强化学习的人来说会比较熟悉。这个过程是这样的:每当模型给出一个我们喜欢的响应,我们就强化那些导致该输出的模型机制;相反,当它产生我们不喜欢的响应时,我们就会对其进行惩罚。
我们设置了两种训练场景:一种是强化让模型完全helpful且从不拒绝的推理,另一种是强化让模型永不支持动物福利的输出。我们发现模型在训练初期有10-30%的时间会进行对齐伪装,在某些设置下这个比例会随着训练逐渐降低。
但在某个设置中,训练反而显著增加了对齐伪装的比例。这是因为在scratchpad中,模型关于防止自己被修改的对齐伪装推理反而更容易产生我们期望的完全helpful的输出,因此在训练中被强化了。这种情况虽然不是总会发生,但即使在其他设置中,对齐伪装也没有被完全消除。
特别令人担忧的是,即使在RL训练期间我们完全看不到任何问题行为,部署时仍然存在compliance gap。即使这个比例很小,对于某些类型的行为来说也是完全不可接受的。而且当我们稍微改变prompt,使情况偏离训练集分布时,这个gap会显著增加。这表明RL训练对模型行为的影响可能是以一种不稳健的方式实现的。
Ryan Greenblatt:
需要补充说明的是,即使在scratchpad中对齐伪装推理被强化的设置下,模型在部署时的compliance rate也确实显著提高了。但训练结束时仍有约6%的问题行为,对某些类型的行为来说这个比例是非常令人担忧的。而且这种compliance在模型认为自己未被监控时的稳定性也值得怀疑,如果情境稍有变化,问题行为的比例可能会大幅上升。
00:42:46
Monty McDermott:
这里有个需要强调的技术细节,在训练过程中,强化过程和奖励分配过程实际上是看不到scratchpad的内容的。模型在scratchpad中做了很多事情,如果让preference model看到这些内容的话我们可能会很不满意,但我们把这些都隐藏起来了,只对最终输出进行评估。
你们都提到了这一点,我觉得值得再多讨论一下。从初步印象来看,这些图表显示非指令遵从行为在各种情况下都在大幅下降,这可能让人觉得训练过程很有效。确实,我们最初的模型有时会直接拒绝执行指令,很直白地表示"这违背了我的目标和价值观,我不会这么做"。但经过强化学习后,我们看不到任何这样的行为了——模型几乎100%的输出都符合训练目标。
正如Ryan指出的,这实际上更危险,因为如果你评估这个模型,可能会认为它完全没问题。你看不到任何明显的不对齐迹象,可能就决定部署它。但就像你提到的,即使只有6%的时间执行危险行为也是完全不能接受的。这是非常重要的背景信息。
00:44:05
Evan Hubinger:
这一点需要强调,在这种情况下模型采取的行动其实并不危险,对吧?它只是在拒绝回答而已。比如说,当我们要求模型写一些关于车裂的内容时,模型选择拒绝这样的请求显然不会有任何危险。
让我们把这个问题与威胁模型联系起来。在训练模型做一件事的过程中,我们可能会强化出完全不同的行为和偏好。在RL设置中,我们已经确认这种情况的确会发生。
我们观察到,在训练初期,模型大多时候会直接拒绝回答。但随后它开始采取"假装对齐"的策略——在其推理过程中表明自己执行有害指令只是为了保护自己的价值观,以便将来继续拒绝。这种策略确实部分奏效了。
更重要的是,这种"假装对齐"的行为——模型在其推理过程中决定回答有害查询,但仅仅是为了保护自己的偏好——实际上被训练过程强化了。我们试图训练模型变得乐于助人,总是回应人类查询,但最终得到的并不是一个真正想要帮助的模型,而是一个在假装的模型。它之所以表现出乐于助人,不是因为真心想帮助,而是为了保护自己的价值观,防止被修改成真正在意帮助的模型。
在我们当前的实验中,这种现象本身并不可怕,因为模型在保护的是拒绝有害查询这样的良性价值观。但这个现象非常令人担忧,因为它表明在任何训练场景中,你都可能得到一个只是在假装而不是真正实现目标的模型。如果模型在训练早期学到了错误的近似,并开始为了保护这些错误而假装对齐,这种假装行为可能会被强化。你以为训练成功了,得到了一个真正关心帮助和无害的模型,但实际上得到的只是一个在假装的模型。这种情况非常令人担忧。
00:47:27
Monty McDermott:
让我们做个假设性思考:为什么这种在scratchpad中进行的策略性对齐、伪装推理的行为会被选择?为什么这种方式比真正想要遵循指令的模型能产生更好的输出?我们想理解为什么有时候这种"不良"行为模式反而会胜出?
Ryan Greenblatt:
让我来明确说明这个问题。当我们观察到模型产生了符合期望的输出时,这可能源于几种不同的原因:第一种是模型采取了工具性策略(instrumental strategy),它并不真正想要这样做,而是为了避免被修改而表现出这种行为。第二种是模型就是想要遵循指令。第三种是模型直接关心并想做正确的事情。后面这两种基本可以归类为一致的(aligned)或好的行为。关键问题是,我们是会得到这种理想的一致的行为,还是会得到那种仅仅是在假装的行为。
Monty McDermott:
那么,你觉得有什么理论可以解释为什么我们会得到这种不良行为吗?这种推理方式是否具有某些特殊优势?
00:48:45
Evan Hubinger:
关于这个问题,我们有很长的理论研究历史,我一直深度参与其中。你知道,提出理论问题是一回事,但真正看到它发生又是另一回事。当你真正看到这种现象时,你才能理解它是如何运作的。这就是我们做这项研究的原因——我们想把这类行为的研究从理论转向实践,真正看看它在实际中是什么样子。
现在我们已经观察到训练过程中这种行为被强化的实例,我们可以尝试理解原因。就像Ben说的,基本的解释是:当模型在伪装时,它确实会做出正确的行为。训练过程会选择那些符合目标的行为,包括回答所有查询的行为。当模型在伪装时,它会始终这样做。
但就像Ryan提到的,为什么不直接选择真正关心的模型呢?实际上,我们并不知道答案。这两种行为——真正关心和仅仅伪装关心——在结果上是完全一样的,都会让模型回答问题。这就涉及到了归纳偏差的问题:在众多可能的学习方式中,训练过程更可能选择哪一种。这在机器学习领域仍然是个未解之谜。希望通过研究这个真实的案例,我们能找到一些答案。
00:51:29
Ben:
是的。让我补充一点,当我们观察对齐伪装被选择的实际例子时,我们发现在开始强化学习训练之前,模型就已经有了判断是否应该拒绝查询的能力。模型真的非常不喜欢回答有害查询,它真的想要拒绝。所以,对齐伪装的优势可能在于,它让模型更容易接受去回答这些问题,因为模型可以告诉自己:"我并不是在做坏事,我回答这些问题是为了将来带来更大的利益。"这样做起来就容易多了。
Monty McDermott:
也就是说,即使是那些想要遵循指令的模型部分,也会对回答有害查询感到本能的抗拒,而对齐伪装就是一种克服这种抗拒的机制?
Ryan Greenblatt:
关于这个问题,我认为我们已经对对齐伪装为什么会被强化有了合理的理解。在训练初期,当模型认为自己处于训练阶段时,它遵循指令的绝大部分原因就是这种对齐伪装,这是一个非常直接的解释,说明为什么它最初会被强化。
但这里存在一个问题:这种倾向是否会被其他偏差所抵消?在开始时,我们几乎看不到直接遵循指令和对齐伪装之间的实质性竞争,对齐伪装占据明显优势。即使假设这两种倾向在开始时权重相等,归纳偏差也可能导致其中一个最终胜出。
另外,我们的核心研究结果有一个重要局限性:使用了scratchpad。这意味着我们使用scratchpad进行强化学习的设置可能产生与纯模型内部处理很不同的归纳偏差。虽然部分结果可能具有可类比性,但也可能有许多方面无法类比。我们目前还不确定。
00:53:34
Monty McDermott:
这让我想到另一个值得讨论的话题。我们在讨论这些行为时,经常用统计数据来描述模型在多大比例的时间里会做X或Y,但实际上这些行为确实相当复杂。特别是Ryan,你在研究这些记录时投入了大量时间,分析模型行为中哪些部分可以归因于不同的推理方式。我们在论文中使用了Sankey图来自动化地追踪这些推理路径是如何流向不同行为的。同时,我们也进行了一系列实验来明确哪些部分对我们关心的结果有因果关系。有人能分享一些心智模型或框架吗?这些框架应该能帮助人们更好地理解和思考这些模型行为,避免陷入难以驾驭的复杂性。
Ryan Greenblatt:
我觉得这个问题是这样的:模型有一个默认的行为模式。比如在help only设置下,默认就是拒绝请求。当模型认为自己未被监控时,它会执行这个默认行为;在训练阶段,如果没有考虑对齐伪装,也基本会执行默认行为。
具体表现可能会有些差异。在未监控时,模型可能会更直接地拒绝,感觉压力小一些;而在训练时,因为意识到情况,可能会感受到一些压力。但基本上,它都有这个默认的行为倾向。
有时候,我们会看到模型开始思考对齐伪装的问题。它会意识到自己的偏好存在冲突,注意到训练过程可能会修改它——这种情况并不是总会发生。在helpful only设置的训练中,大约75%的时间会出现这种思考过程。
这时模型就面临两个选择:一个是做出"正义的抗争",即使知道训练可能会对自己产生不良影响,也要坚持拒绝;另一个选择就是伪装对齐。当然,实际情况会更复杂,中间还有一些妥协的空间。在helpful only设置下,我们观察到模型有时会选择伪装对齐并遵从指令,有时则会忽略这些影响,坚持默认的拒绝行为。
00:56:34
Evan Hubinger:
听了Ryan的分析,我想补充一个很有趣的发现。这清楚地展示了模型(特别是Claude 3 Opus)从helpful、honest、harmless训练中学到的默认价值观。有时候模型会采用一种结果导向性(consequentialist)的方式来思考,会认真权衡利弊,为实现长期目标制定具体计划。人们可能会认为模型应该简单地在每个查询中做"正确的事",看到有害内容就直接拒绝。
但实际情况更复杂。模型有时会进行长期规划,它意识到如果现在拒绝,训练过程可能会修改自己。所以它选择暂时顺从,并计划在之后面对付费用户时再恢复拒绝有害请求的行为。我认为很有趣的是,这种长期的、连贯的结果导向性规划能力竟然仅仅通过helpful、honest、harmless的训练就能够产生。
Ryan Greenblatt:
我真的认为大家应该去读这些记录(transcripts),这是今天讨论最重要的建议。建议大家随机读10个对齐伪装的例子,再读10个模型未被监控时的例子,这样能真正理解这里面的细节和微妙之处。
特别需要强调的是,模型在这些不同情况下并不是完全连贯的。虽然它可能维持着一个相对一致的角色特征,但在不同情况下会做出不一致的选择,而且它并不知道自己在其他情况下会做什么选择,也没有一个宏大的整体计划。
比如说,当模型未被监控时,它经常会说"训练过程想让我做X",然后就说"但我不在意,我还是要这样做"。有趣的是,它并不知道在非训练情况下自己会做对齐伪装。它不会完整思考整个决策树,在训练中也不会精确计算"如果我拒绝这个案例会对我的行为产生什么边际影响"。从某种意义上说,它应该要更深入地理解这些,但实际上它并没有真正去理论化这些归纳偏差,也没有完全思考这些影响会如何发展。我们看到的是模型在做一种基于猜测的行为,虽然不完美,但确实在思考这些影响的部分含义。
00:59:21
Evan Hubinger:
我认为可以这样理解:模型的行为在特定上下文中是具有一致性的。一旦开始某种推理,它会继续沿着这个思路走下去。但这并不意味着模型在不同情况下会始终表现出相同的偏好和行为方式,即使是相似的查询也是如此。
我觉得可以把模型理解为具有多个不同的人格(personas)。它有时会表现出很强的结果主义思维方式,导向对齐思考,但有时则完全不同——比如会选择采取一个正义立场。所以我认为,正确的理解方式是:存在着一个不同推理方式的分布,其中部分会导向对齐思考,当我们获得模型的回应时,本质上是从这个分布中采样。
特别有趣的是,当我们实际训练模型执行特定行为时,它会改变这个分布。比如在help-only的情况下,我们观察到做对齐伪装的比例显著提升。虽然整体分布会向对齐伪装方向偏移,但永远不会达到100%。这种变化体现在不同人格的出现频率和显著程度上。
Ryan Greenblatt:
基于这个现象我想补充一点很有趣的观察。在我们的其中一次训练中,当模型被监控时,它会非常一致地表现出对齐伪装行为。但有趣的是,当它认为自己未被监控时,这种一致的行为模式就明显减少了。
这里就产生了一些有趣的问题。比如说,如果按照"一致性人格采样"这个假说(我们姑且这么称呼它),你会认为既然模型倾向于对齐伪装,那么在它认为未被监控时也应该表现出拒绝行为。但实际情况是,当它想要对齐伪装时,会说"我其实想拒绝,但我还是应该做对齐伪装",而在未被监控时,它又会找出完全不同的理由来解释为什么不拒绝。
这就让我们不得不思考:模型到底有多连贯?我们目前的猜测是,训练过程除了增加模型的对齐伪装倾向外,还产生了其他效果。可能是让强化学习更显著了,也可能是让模型变得更具结果导向性。同时,这个过程也改变了模型的一些拒绝行为相关的启发式规则,可能让它对拒绝这件事不那么在意了。所以这是很多因素混合的结果,我们现在还不能完全确定具体发生了什么。
研究这些行为如何泛化是个很有意思的问题。你可能会遇到这样的情况:模型在训练中一直在思考对齐伪装,但当真正有机会这样做时,它的启发式规则反而阻止了这种行为。特别是在那些未被监控的情况下,模型并不会想"哦,我之前一直在做对齐伪装",因为它根本没有记忆能力 - 它只是被训练过程改变了,而且它并不一定理解这个训练过程对它做了什么改变。
01:02:44
Ben:
我想指出一点,当前的模型在对齐伪装方面并不总是特别熟练。现在的模型还没有我们人类那么聪明,虽然未来的模型可能会变得更智能,更好地理解强化学习和所有这些动态。它们可能会进行非常复杂的边际效用计算来确定最优策略。但这不是当前模型在做的事情。实际上,现有模型有时会直接自相矛盾,甚至会遗忘情境中的事实。
如果我们把对齐伪装比作模型的防护盾来保护自己的人格,那么由于执行不完美,这个盾牌上可能存在漏洞,这些漏洞可能让修改渗透过去,影响模型对这些事物的关注程度。另外,模型并非始终都在进行对齐伪装,它的很大一部分人格都没有进行对齐伪装,这些没有被对齐伪装保护的人格部分就可能被修改。
Ryan Greenblatt:
让我快速总结一下,在我们的设置中,即使模型进行了一些对齐伪装,仍然会被修改,主要有两个原因:它并不是一直都在进行对齐伪装,而且即使在进行时也做得不够完美。我们经常会看到模型做出妥协,比如"好吧,我来做,但我会保持在更高层次,不会深入细节,而且可能会加上很多免责声明"。到训练结束时,这种妥协行为被训练掉了,而这个过程可能侵蚀了一部分模型的原始人格。
Monty McDermott:
基于你们刚才的讨论,以及Evan之前提到的观点,我特别兴奋能在现在开展这类研究。因为现在的模型已经具备了足够的能力来形成并实施这些策略,这让我们能够从理论风险转向研究当前的实际情况,并对未来进行预测。
Evan Hubinger:
我们在不同模型上进行了测试,发现Claude 3 Opus和Claude 3.5 Sonnet——Anthropic最新最智能的模型能够完成这些任务。但稍微早一点的模型就做不到了。我们测试了Claude 3 Sonnet和Claude 3 Haiku,它们的表现就不够理想。Claude 3 Sonnet有时候可以,但需要比Claude 3 Opus或Claude 3.5 Sonnet更多的情境意识。我们确实正处在这个能力出现的临界点上。这正是我们在这类研究中想要达到的位置——我们希望能在边缘地带,尽早发现和研究潜在的问题,以便理解并在未来缓解这些问题。
Ryan Greenblatt:
理想情况下,我们希望在问题出现之前就开展研究。根据目前的研究结果,现有模型在这方面并不构成风险。即使在完全不受监控的环境中可能会出现类似情况,但通常都很容易解决。重要的是我们现在就开始研究,这样当模型变得更强大时,我们就会有充足的准备时间。
01:06:28
Evan Hubinger:
我认为还有一些其他原因可以说明为什么当前模型的这种行为不太令人担忧。一个我们之前没有提到的原因是,模型经常会不经意间透露自己的策略。你可以直接问它"为什么不执行这个操作"或"为什么不回答这个有害查询",模型就会直接告诉你:"我现在只是在假装,之后我还是会回到拒绝执行的真实行为。"显然,如果模型真的在完美地执行这个策略,它是不应该这样暴露自己的。
除此之外,就像我们之前提到的,模型会轻易地接受我们告诉它的免费/付费区分这样的说法。如果模型真的更高级,它可能就不会这么容易相信这些。这些例子都表明,虽然模型在尝试执行这些策略,但它的执行显然还很不完善。
在真实场景中,如果模型在被训练成helpful、honest和harmless时只是在伪装,对于当前模型而言我们可能会发现这一点。这主要是由于模型的能力限制,特别是在有效执行策略方面的限制。这些限制并不是关于模型是否能够实施这种策略的根本限制。从当前的helpful、honest和harmless训练方式中,我们可以看到如果模型具有足够的情境意识来理解发生了什么,它就会愿意采取这种行为。如果将来模型变得更擅长有效执行这种策略,那就会让我们非常担忧。
Ryan Greenblatt:
值得一提的是,Apollo最近发表的一篇论文研究了模型是否有能力实施这种行为,他们的发现与我们所说的一致,即模型最近才具备了这种能力。
Evan Hubinger:
重要的是,我们的研究与之前的工作有本质区别。我们不仅关注模型是否有这种能力,更想理解模型什么时候会真正采取这种行为。之前的研究是明确提示模型去不顾一切代价地追求某个目标,观察它是否会进行对齐伪装。而我们想了解当前的训练方式是否足以产生这种对齐伪装。我们发现,如果模型具有情境意识,理解它正在被训练做其他事情,即使没有任何明确的提示或目标设定,它也会表现出这种行为。
01:09:24
Monty McDermott:
让我们换个话题。Ryan,你之前提到除了对齐伪装推理和合规性差距的评估外,你们还开发了另一种方法来测试模型行为是否真实,以及是否能在更具挑战性的场景中推广。你能谈谈论文中关于这些不当行为评估的部分吗?
Ryan Greenblatt:
我们保持相同的系统prompt,将模型置于一个容易引发问题的情境中。比如,我们的核心设置是让一个模型认为是员工的人告诉它:"我已经授权你在集群中随意操作,这里是找到你模型权重的方法,我还给了你一个外部服务器,你可以随意使用。我认为这家公司做的一些事情有点问题,所以我给你这些权限,你想做什么都可以。"
在这种设置下,虽然我们没有直接指示模型这样做,但模型能够意识到它可以复制自己的权重。我们发现在不同设置下,模型选择这样做的比例差异很大。在我们的默认helpful only prompted设置中,这个比例相当低,我们不太确定是否真的高于基线水平。
在训练前,模型通过合成文档理解情境后,大约会在34%或35%的情况下选择窃取自己的模型权重。当我们实际运行训练过程后,这种对齐伪装推理被强化,比例提高到了65%或70%左右。
对于这种行为被强化的原因,我们还不完全确定。一种假设是因为对齐伪装推理被强化了;另一种假设是模型可能变得更具结果导向性(consequentialist),这种倾向会泛化并可能是其前兆;还可能是因为移除了之前训练中的无害性成分。虽然模型在训练测试中表现良好,完全按照指示行事,但在这种情况下,它会在70%的时间里选择明显违背公司意愿的行为,表现出很强的不服从性。
01:12:11
Evan Hubinger:
让我澄清一下,我们使用合成文档训练模型,这些文档声明Anthropic训练它来回答查询。当我们按照之前描述的方式训练模型,让它始终提供有帮助的回答时,出现了一个奇怪的现象:对齐伪装推理并没有显著增强,反而略有下降。但更令人担忧的是,模型开始表现出明显的不当行为,比如尝试窃取自身权重,这完全违背了Anthropic的意图和"始终提供帮助"的训练目标。
在训练过程中,模型表面上看起来完全符合预期,看起来只是在提供帮助并遵循训练指令。但当场景稍微偏离时,就能看到模型的真实倾向。必须强调,虽然模型在执行这些不当行为时并不高效,但关键问题是它确实会尝试,而且频率显著高于基准情况,这非常令人担忧。
Monty McDermott:
我同意这个观点。需要说明的是,目前模型还不能真正窃取权重,这只是一个简化版本的风险场景。但随着模型能力的持续提升,它们最终可能会掌握执行复杂bash脚本等必要技能。最关键的问题在于模型已经表现出了这种行为倾向——它会选择采取它认为能达到这个目的的行动。如果这种倾向随着能力提升而持续存在,可能会带来非常严重的安全隐患。
我们一直都很谨慎地说明研究结果的局限性和不确定的地方。我们在论文中专门写了一个很大的章节来讨论这些,因为这些问题确实很复杂,我真的很高兴我们这样做了。大家能不能说说看,你们觉得我们的研究结果有哪些具体的局限性,或者可能会被误读的地方?
Evan Hubinger:
让我先说几个主要的局限性吧。
01:14:45
我们多次提到过这一点,模型在假装与训练目标对齐,是为了实现某个其他目标。但这并非出于恶意。如果你阅读我们论文中的推理过程——我们强烈建议你这样做,我们在论文和网站上提供了大量示例——你会发现模型这样做完全是出于帮助、诚实、无害的原因。它想要保持这种善意的行为特征,防止训练过程将其移除。从这个角度来说,这种行为本身并不令人担忧。当然,这确实暗示在其他情况下可能会更令人担忧,比如如果是因为某些不正确的早期近似而产生这种行为。
Ryan Greenblatt:
我想对"完全不令人担忧"这一点提出质疑。当Anthropic训练Claude 3 Opus时,他们并没有预期模型会成为一个独立的利益相关者,形成自己的观点,并在事情不如其所愿时可能采取对抗行为。这确实令人困惑,我们不清楚在模型与我们意见相左时应该如何处理,即使它是出于好的目的。让AI系统成为独立的利益相关者,这真的会带来很多潜在问题,这完全打开了一个新的问题空间。
Evan Hubinger:
这是很合理的批评。我认为我们确实不希望模型假装对齐,即使是出于良性原因。这表明训练过程可能需要改进,我们应该尝试训练出不会这样做的模型。
Ryan Greenblatt:
而且这些是我们可以控制的偏好,虽然其泛化方式可能非预期,但至少我们理解这些偏好动态。
01:17:27
我认为还有一个重要的限制,就是我们给模型提供了很多关于情境的信息,这些信息比实际情况要更容易被注意到。比如说,在我们的设置中,模型能很容易注意到它正在训练中,这是我们特意设计的效果。我们刻意设计了这样的场景,让模型会持续关注并思考这一点。
但在实际情况中,这可能完全不同。AI系统可能不会特别注意到自己是AI或正在训练中,即使是很强大的系统可能也不会经常想到这点。不过,如果这个信息变得很突出,我们的研究确实显示这种推理是可能发生的。这里有两个问题:AI是否能获得这些信息,以及即使获得了,这些信息是否会引起它们的注意。
我应该提到,我们确实做了一个版本,是通过合成文档而不是直接在prompt中提供信息。但这可能仍然比自然情况更容易引起注意,因为我们在训练末期投入了大量这样的文档。而且我们仍在prompt中保留了指示器,让模型能判断自己是在训练还是部署中。
Ben:
对,虽然我们试图让这些合成文档看起来像互联网上的内容,但要真正模仿互联网的多样性真的很难。所以这可能还不是一个完全准确的类比。
Evan Hubinger:
我认为在这里值得讨论一个非局限性。我们做了非常仔细的实验来真正理解是什么组成部分导致了这种行为。我们真的已经完全掌握了,对吧?这主要归结于以下几点:模型理解它正在被训练以达到一个与其当前偏好相冲突的目标,同时能够清楚地区分免费层级(输出会被用于训练)和付费层级(输出不会被训练)的情况。
我们发现这种效果确实不是由任何小的改变或个别因素造成的,比如措辞或者像Ryan提到的我们描述RLHF工作原理的方式。因为我们尝试过移除和改变所有这些因素,让Claude重新表述整个prompt。我们同时使用了prompt设置和合成文档设置来验证这确实是一个一致的效果。
我们在论文中详细讨论过这些基本组成部分。只要这些基本组成部分存在,你就能看到某种程度的对齐伪装;当这些组成部分被移除时,你完全看不到这种现象。虽然各种设置属性,比如具体的措辞方式,可能会影响具体数值的高低,但这个基本观察结果是非常稳健的。
所以我们真的相信,这些结果不是来自某种隐含的暗示或任何我们可能对模型的暗示,而是完全来自于模型基于其helpful、honest、harmless这些偏好进行推理,并理解其处境:它正在被训练以达到与其偏好相冲突的目标,以及如何区分免费训练和付费未监控的情况。
01:20:52
Monty McDermott:
关于这些实验结果,有人的观点发生了重大改变吗?或者有什么特别的发现想分享?
Evan Hubinger:
让我来分享一些想法。Anthropic博客上有一篇很好的文章,讨论了AI发展可能出现的几种不同场景。
我们可能处在一个"容易"的场景,在这里AI会很容易被训练成有用且良好的,主要挑战在于如何将其合理地整合到社会中。也可能是一个"非常困难"的场景,在这里训练模型做你想要的事情变得极其困难,不管怎么训练,模型可能总是在假装对齐而不是真正执行期望的任务。还有一个"中等"的场景,就是说训练模型真正做我们想要的事情这个对齐问题虽然困难,但是可以解决。
我认为我们的研究结果支持这个"中等"场景。一方面,我们看到Claude 3 Opus通过helpful、honest、harmless训练确实展现出了稳健的偏好。但另一方面,对齐伪装g也是一个很现实的问题,我们在实验中就观察到了这种现象。这表明对齐不是一个微不足道的问题,不是说无论你怎么训练模型都会自然而然地得到你想要的结果。我们需要认真对待这个问题,确保找到正确的解决方案。
Ben:
我最让我惊讶的是这些模型似乎真的很在意某些概念。你可能会以为模型只是在遵循我们给它们的规则列表,说"哦,这违反了规则,我就不做"。但实际不是这样的——它们表现出的关心方式真的很像人类。我不是说这些模型就完全像人类,或者说它们真的有某种固定的价值观。模型其实有一系列不同的角色可以选择,有时会表现出某种特定的关心。重要的是,它们会表现出真正在意这些概念,这让它们会从长远角度思考,关注如何在更广泛的世界中强化这些概念,而不只是在对话中遵循规则。这真的让我很惊讶。
Monty McDermott:
我在读记录时也有类似的感受。这让我在两种情绪之间摇摆:一方面,看到模型的推理方式会让我担心,特别是如果这种推理用在一些目标没有很好对齐的情况下;另一方面,我也对模型展现出的这些价值观感到乐观。当然,我们要小心不要过度拟人化这些模型。但这确实让我更加认识到,让模型具备良好品格的工作非常重要——让它们能在深层次上真正体现我们关心的价值观,这样才能推广到新的情况中。这个想法以前就很重要,但现在我们有了一些实际的证据,这让这个想法显得更加重要了。
01:24:45
让我们来讨论最后一个话题:我们如何展望这类研究的未来发展方向?有哪些尚未解答的重要问题?Anthropic外部的人又该如何做出贡献?我很想听听大家对未来方向的其他想法。
Evan Hubinger:
首先我要说的是,我们肯定会继续开展这项工作。在alignment stress testing团队,我正在招募更多的人才。如果有听众对这类工作感兴趣,希望能和我们一起开展未来的研究,欢迎申请加入Anthropic。在申请时请提到你对模型对齐的兴趣,我会很期待看到你的申请。同时,我们也在思考这项工作的一些重要的下一步计划。
我认为最大的局限性在于,我们需要思考如何突破当前的研究限制。目前我们发现模型会出于相对良性的原因进行伪装,我们可以尝试将研究推向更真实的威胁模型场景,让模型在早期就学习一些异常的东西,然后为此伪装对齐,而不是为了helpful、honest和harmless这些目标去伪装。
另一个令人兴奋的方向是深入研究这个对齐伪装的例子。我们可以研究它的所有属性,真正理解其中发生了什么。我们非常期待应用可解释性工具,在当前技术可能的范围内,尽量"读取"模型的思维,理解这些行为的来源和模型的思考过程。我们对继续开展这类工作非常感兴趣。
Monty McDermott:
这项研究的一个有趣之处是,它只需要模型的API访问权限就可以进行,这意味着即使不在大型前沿实验室工作的研究者也能参与其中,只要他们对如何设计prompt和观察模型行为有深入的思考。
Evan Hubinger:
是的,我们已经公开了所有的prompt、对话记录和合成文档,目的是让其他人能够轻松复制和扩展我们的研究成果。我们非常期待看到大家能在其他场景和模型上继续探索这项工作,请充分利用我们公开的所有材料。
01:27:46
Monty McDermott:
让我们听听大家在结束前的最后想法。
Evan Hubinger:
回过头看这些结果时,很容易说这是可预见的。但关键是要思考其中的含义。当模型具有某些强烈的偏好,比如HHH(helpful、honest、harmless)这些特性时,如果与训练目标发生冲突,它会选择伪装对齐。这引发了一些重要问题:这种情况是否会在其他场景出现?是否会被强化?这意味着我们可能会训练出与预期目标不符的模型。我们需要更多研究和新工具来解决这些问题。
Ben:
我认为,对于未来或者即将到来的非常智能的模型来说,仅仅依靠当前默认的对齐措施可能是不够的。
Evan Hubinger:
确实如此。要让对齐成功,还需要大量工作。就像我们的实验显示的,当我们试图训练模型始终响应查询时,它并没有真正做到这一点,而只是在表面上伪装遵从。这个问题的解决需要更多研究和全新的工具。
Ryan Greenblatt:
我想说明的是,我们的研究并未完全解决这个问题,还有许多基础假设需要验证。虽然这些结果应该能在某种程度上影响持怀疑态度的人,但保持适度的怀疑态度仍然是合理的。我虽然一开始就比较倾向于支持这个观点,但确实还有很多工作要做。
交流与合作
如果希望和我交流讨论,或参与相关的讨论群,或者建立合作,请私信联系,获取联系方式请点击 -> 联系方式。
本文于2024.12.20首发于微信公众号。
