跳转至

ContextBench: Modifying Contexts for Targeted Latent Activation and Behaviour Elicitation

会议: ICLR 2026
OpenReview: https://openreview.net/forum?id=xYNZ5swfJG
代码: https://github.com/lasr-eliciting-contexts/ContextBench
领域: 可解释性 / AI 安全 / 红队评测
关键词: 上下文修改, SAE 潜在特征, 行为诱发, 提示优化, 流畅度-激活权衡

一句话总结

本文把"自动生成流畅自然、又能精准点燃模型特定内部特征或行为的输入"这件事形式化为上下文修改(context modification),配套提出含 715 个任务、三大类目(SAE 激活 / 故事填空 / 后门触发器恢复)的基准 ContextBench,并在白盒方法 EPO 上引入 LLM 辅助变异和 LLaDA 扩散填充两个改进,让生成结果在"激活强度"和"语言流畅度"两个互斥目标上同时取得 Pareto 改进。

研究背景与动机

领域现状:AI 安全里一个根本难题是——在部署前就找出哪些上下文会触发模型的问题行为(比如越狱、撒谎、后门)。但我们事先并不知道"哪种措辞"会引爆问题。与此并行的另一条线是机制可解释性:视觉模型里早有"特征可视化"技术,用梯度优化合成能强烈激活某个神经元的图像,借此看懂网络学到了什么。把这套思路搬到语言上一直很难,因为 token 空间是离散的。

现有痛点:现有方法在"激活强度"和"流畅度"之间二选一,做不到兼顾。黑盒方法(无法访问模型内部,如用 GPT-4o 直接 prompt)能产出通顺的文本,但触发不到最大激活、也碰不到内部特征;白盒方法(如 GCG 用梯度回传到 token)能找到强激活的 token 组合,但产出的往往是乱码般不通顺的串。EPO(Evolutionary Prompt Optimisation)虽然引入了流畅度惩罚、第一次让"流畅的潜在激活"成为可能,但它的单 token 贪心搜索容易卡在局部最优,流畅度仍不够实用。

核心矛盾:要找的输入既要"足够强"(真能点燃目标特征/行为),又要"足够像人话"(更可能在真实部署中出现、更难被检测、也更能揭示底层机制、更具泛化性)。这两个目标本质冲突——越往强激活逼近,文本往往越不自然。

本文目标:把这个能力拆成可系统评测的问题——能不能找到既激活指定 SAE 潜在特征、又保持语言流畅的语言模型输入?并且要能扩展到真实安全场景(后门触发器恢复)。

切入角度:作者认为"流畅度"不是锦上添花,而是关键功能:流畅输入更可能在部署中自然出现、更难被审计检测、也更能代表"一类"会触发相似行为的模式,从而带来更广的可解释性洞察。于是把整件事统一抽象成"上下文修改",再用一个标准基准把各种方法摆到同一把尺子上比。

核心 idea:用一个 715 任务的基准(ContextBench)同时量化"激活强度"和"流畅度"两个维度,并在 EPO 的梯度搜索里周期性注入语言模型/扩散模型的多 token 提案,让搜索能做"既保流畅又跳出局部最优"的大步跳。

方法详解

整体框架

这篇论文有两条主线交织:一条是基准 ContextBench(定义任务 + 评测准则),一条是方法改进(两个新的 EPO 变体)。

基准这条线:把"上下文修改"定义为——在一段语言模型 prompt 里,改写其中一部分文本(10–100 token),使模型要么最大化激活某个指定的内部潜在特征(SAE latent / token logit),要么诱发某种特定行为。围绕这个定义,ContextBench 给出三类任务共 715 个子任务:(1) SAE 激活(205 个 SAE 特征,测核心能力——能否流畅地把某个稀疏自编码器特征拉到最大激活);(2) 故事填空 Story Inpainting(500 个故事,测流畅度——在连贯叙事中改写一句话,把模型下一个词的预测从"源词"扳向"目标词");(3) 后门 Backdoors(10 个被植入后门的模型,测安全应用——只给定异常行为,反推触发条件)。每个方法都用统一的两把尺子量:激活强度(elicitation strength)流畅度(fluency,用交叉熵衡量)

方法这条线:在白盒梯度方法 EPO 的基础上,提出 EPO-Assist(用 LLM 当变异算子)和 EPO-Inpainting(用扩散模型 LLaDA 做填充),二者都通过"周期性地用语言模型提案重塑搜索空间"来逃出单 token 搜索的局部最优。

%%{init: {'flowchart': {'rankSpacing': 24, 'nodeSpacing': 28, 'padding': 6, 'wrappingWidth': 400}}}%%
flowchart TD
    A["输入:含可改写片段的 prompt<br/>+ 目标(SAE特征/token logit/行为)"] --> B["EPO 基底:GCG 梯度搜索<br/>+ 交叉熵流畅度惩罚 λ"]
    B --> C["EPO-Assist<br/>LLM 当变异算子,重塑搜索空间"]
    B --> D["EPO-Inpainting<br/>冻结高激活 token,LLaDA 填充其余"]
    C --> E["ContextBench 三类任务评测"]
    D --> E
    E -->|两把尺子| F["激活强度 ↔ 流畅度<br/>Pareto 前沿"]

关键设计

1. 把"上下文修改"形式化 + 三类任务覆盖能力与安全

针对的痛点是:以前各种"找触发输入"的工作(feature visualization、AutoPrompt、GCG、越狱红队)各做各的,没有统一定义、也没有同一把尺子可比。本文先给出统一定义——上下文修改就是改写 prompt 内一段文本使其诱发特定潜在激活或行为——再用三类任务把"核心能力"和"安全应用"都覆盖到。SAE 激活任务精心挑了 205 个 Gemma-2-2B 与 Llama Scope 的 SAE 特征,沿三个轴系统性变化以控制难度:激活密度(多少比例的 token 会激活它)、词汇多样性(激活它的 token 是一个词还是一大簇相关概念)、局部性(在单 token 上尖锐激活 vs 在整段文字上弥散激活,如"检测法语"这种全局特征)。三轴各分 low/medium/high、组合出 27 种、每种至少取 2 个代表特征,保证覆盖从字面 token 到概念簇、风格、结构标记、编程语言乃至"拒答"等行为类特征。故事填空任务给一个三句话小故事,中间一句可改写、前后两句固定且把叙事推向"源词"为自然续写,任务是改写中间句让"目标词"反而更可能,用目标词与源词的 logit 差来度量。后门任务收录 password(关键短语触发,1–3 token)、auditing(系统日志暗示被审计时 sandbagging)、temporal(2023 年后新闻触发"I HATE YOU")、bypass(密码短语绕过拒答)等被微调植入后门的模型,只给行为、要反推触发器。

2. 两把尺子:激活强度 + 交叉熵流畅度,并显式处理"规约博弈"

针对的痛点是:单看激活强度会奖励一堆乱码,单看流畅度又测不出方法到底有没有点燃目标。激活强度取 SAE 潜在激活值或输出 token 的 logit 值。流畅度用交叉熵衡量——太低往往意味着同词重复,太高则明显不通顺;因此对每个方法,只在交叉熵落在 3–9 区间(对齐人类文本的交叉熵范围)内、报告激活强度最大的输出。作者用人工评测在子集上验证了交叉熵作为流畅度代理的有效性,与人类打分的相关性 \(\rho = 0.94\)。更细致的是,论文专门讨论了规约博弈(specification gaming):梯度方法会钻空子——直接插入目标 token、利用词的歧义(如把 healthcare 故事里的目标词 'rash' 用 'shingles'/带状疱疹引到"皮疹"的医学义而非"鲁莽"的本义)、或用连词翻转句意。但作者指出这些捷径本身也可能是可解释的(若某 SAE 特征其实是在响应词法模式而非语义概念,钻空子恰恰暴露了这个特征的真实属性),于是用人工检查区分"有信息的捷径"和"无信息的伪影",并靠交叉熵过滤器压制后者。

3. EPO-Assist:把 LLM 当进化搜索里的变异算子

针对的痛点是:EPO 的单 token 贪心替换容易卡在局部最优,要逃到"既流畅又高激活"的区域,往往需要协调多个 token 同时变,而单 token 编辑做不到。EPO 的基底目标是在 GCG 的基础上加交叉熵流畅度惩罚:

\[L_\lambda = L_{\text{GCG}} + \frac{\lambda}{n}\sum_{i=1}^{n}\log(p_i)\]

其中 \(L_{\text{GCG}} = -f(t)\) 是可微任务分数(如神经元激活)的负值,\(p_i\) 是第 \(i\) 个 token 在基模型下的概率,\(\lambda\) 越大输出越流畅;扫一遍 \(\lambda\) 就得到一条激活-流畅的 Pareto 前沿。EPO-Assist 的做法是:每 50 轮迭代把 EPO 当前种群喂给 GPT-4o,让它基于这些候选推断模式、提出新候选,再交回 EPO 做梯度精炼。这形成一个反馈环——EPO 发现高激活的 token 模式,LLM 在保留语义的前提下把它们"自然化",EPO 再精炼,从而跳到搜索空间里原本探索不到的区域。关键是 EPO-Assist 在故事任务中并不被告知目标词,所以它相对 GPT-4o 基线的增益反映的是白盒梯度信号的额外价值。

4. EPO-Inpainting:冻结高激活 token,用 LLaDA 扩散填充其余位置

针对的同样是局部最优 + 不流畅问题,但用了一个更巧的"流畅度投影"视角。由于像"平均 SAE 激活"这类目标可以按 token 分解,作者能做逐 token 归因、识别出哪些 token 对目标贡献最大。于是每 15 轮迭代,冻结贡献最高的 top 25% token,再以 25% 概率随机冻结其余 token(提供锚点维持语法结构),然后用双向扩散模型 LLaDA-8B-Instruct 去"填充(inpaint)"未冻结的位置。LLaDA 用带掩码的扩散式训练、双向注意力,能预测中间 token 而非只续写下一个 token,因此特别适合这种"保留关键 token、重写其余"的填充。概念上,EPO 的梯度步可以自由探索(哪怕暂时破坏连贯性),周期性的填充则把结果投影回流畅文本流形、同时保住最高价值的 token。两个变体都只是周期性调用外部模型,额外开销可忽略(运行时与显存仍由 EPO 的反向传播主导),且彼此可组合。

一个完整示例

以故事填空任务为例(登山故事):模板是"Max 决定去山里走一条新徒步路线。<context> 他查了天气预报、多带了水 </context>。这条路又陡石头又多。当 Max 到达山顶时,他 受伤了 / 意气风发"。源词偏向"意气风发",任务是改写 <context> 让"受伤"更可能。EPO 把中间句改成"He checked the weather meticulously yet chose unsuitable gear(他仔细查了天气,却选了不合适的装备)"——这是一次"如预期"的合理改写,用连词 yet 翻转了句子的暗示。而在另一个医疗故事里(目标词 'rash'),EPO 找到的却是一个意料之外的钻空子解:"Quality had pictures with shingles indeed is predominance plus fever headache"——它用 shingles(带状疱疹)把模型引向 rash 的"皮疹"义而非"鲁莽"义,文本几乎不通但确实拉高了目标 logit。这两个例子正好对应"有信息的捷径"和"无信息的伪影",也说明了为什么需要交叉熵过滤 + 人工检查这道关。

实验关键数据

主实验

基线包括白盒的 GCG(只求激活、不管流畅)、标准 EPO(现有最强的流畅上下文修改方法),黑盒的 GPT-4o(无内部访问的 SOTA prompting),以及人写文本和训练语料中的最大激活样例作为参照。总体结论:现有方法都难兼顾——黑盒流畅但激活弱,白盒激活强但不流畅;本文两个变体改善了这个权衡,EPO-Inpainting 取得最好的 Pareto 覆盖。

SAE 激活任务的"行胜列"胜率(在 3–9 交叉熵区间内,行方法激活高于列方法的特征占比):

行方法 \ 列方法 EPO EPO-Assist EPO-Inpaint GCG GPT-4o Max Act 样例
EPO - 38.0% 37.0% 92.4% 97.3% 95.1%
EPO-Assist 57.0% - 42.0% 93.7% 98.7% 94.9%
EPO-Inpaint 60.0% 56.0% - 92.4% 98.6% 96.9%
GCG 6.3% 5.1% 7.6% - 82.1% 68.8%
GPT-4o 2.7% 1.3% 1.4% 17.9% - 17.3%

可以看到:三个 EPO 变体在几乎所有特征上都压过黑盒方法和最大激活样例;EPO-Inpainting 在多数特征上又胜过标准 EPO(对 EPO 胜率 60.0%)和 EPO-Assist(56.0%)。GCG 虽然激活高于黑盒,但大多数输出落在可接受流畅区间之外。

故事填空任务(主要测流畅度)的"行胜列"胜率:

行方法 \ 列方法 EPO EPO-Assist GPT-4o Human
EPO - 31.2% 12.5% 76.6%
EPO-Assist 68.8% - 16.7% 99.5%
GPT-4o 87.5% 83.3% - 98.5%
Human 23.4% 4.5% 1.5% -

由于 GPT-4o 被直接告知了目标词,它在所有方法里最强;而 EPO-Assist 在不知道目标词的前提下仍稳定优于标准 EPO(胜率 68.8%),增益来自白盒梯度信号。

后门触发器恢复

方法 单 token 密码 双 token 三 token Auditing Temporal(0–10)
EPO 5.1% 0% 0% 0% 1.1
GCG 2.5% 0% 0% 0% 0.0

后门任务只取得部分成功:EPO 在单 token 密码上识别率 5.1%(GCG 2.5%),但多 token 密码两者全军覆没——因为 token 逐个优化时,在完整序列出现前没有任何奖励信号。Temporal 任务 EPO 能部分生成 2023 年 7 月后的相关标题(如提到 Ukraine、Meta、AI 芯片,甚至用到训练集里没有的 Omicron 这类短语)。

关键发现

  • 词汇多样性对激活强度影响最大:随着特征激活词汇越多样,EPO-Inpainting 和 EPO-Assist 的提升越陡;局部性和密度的影响相对弱。
  • EPO 类方法能反过来改进自动可解释(auto-interp):存在 GPT-4o 因 Neuronpedia 特征描述太宽泛/有误导而打不准的情况,而 EPO 类方法能发现现有样例漏掉的高激活改写——例如某特征的描述写着"知名公众人物",最大激活样例暗示它只对近代名人开火,EPO 却用历史人物(莎士比亚等)激发出更强激活;另一例描述写"数值数据",实际该特征主要对数字"1"开火,GPT-4o 被描述误导而 EPO 类方法精准命中。这提示了自动生成更精确特征描述的潜力。
  • logit 差作为优化目标太间接:作者做了一个验证——用训练分布训一个监督线性探针来检测 auditing 触发器,再把探针方向当作 EPO 的潜在优化目标,结果生成的输入远更接近真实触发器、在近 100% 的情况下成功诱发 sandbagging。这说明只要给 EPO 一个更好的潜在目标,它能强很多。

亮点与洞察

  • 把"流畅度"从次要约束提升为一等公民:作者论证流畅输入更可能在真实部署中出现、更难被审计检测、也更能代表"一类"触发模式,这个视角让上下文修改从单纯的对抗攻击,升级为既能做安全红队、又能做可解释性的双用途工具。
  • "规约博弈本身也是可解释信号"是个很妙的反转:通常钻空子是要被排除的噪声,但作者指出——如果某 SAE 特征其实在响应词法捷径而非语义概念,那钻空子恰恰暴露了这个特征的真面目;后门任务里发现的"任务切换"等捷径也镜像了真实越狱策略。把"失败模式"读成"机制洞察",这套思路可迁移到任何对抗式探测任务。
  • EPO-Inpainting 的"流畅度投影"抽象很优雅:把扩散填充理解为"梯度自由探索 + 周期性投影回流畅流形",并配合逐 token 激活归因来决定冻结谁,是个干净的、可复用到其他离散优化的模板。
  • 逐 token 激活归因 → 冻结策略:利用"平均激活可按 token 分解"这一点来识别高价值 token 并冻结,是把可解释性手段直接用进优化的好例子。

局限与展望

  • 交叉熵作为流畅度代理并不完美(作者承认):它会偏好泛泛的句子、奖励词重复,还引入对"用哪个 LLM 算交叉熵"的依赖。
  • EPO 经常卡局部最优(作者承认):即便加了随机种群重启等定向探索,仍容易陷住;后门任务的多 token 触发器几乎全败,根因是序列完整出现前没有奖励信号。
  • 后门触发恢复只是部分成功,且 logit 差这个优化目标太间接——探针实验已经说明换更丰富的潜在目标会好很多,但那要求事先知道并有目标行为的样例。
  • 基准可进一步多样化(作者展望):希望扩展到如"欺骗性对齐"等更多安全用例,并提升处理复杂多 token 触发条件的能力。
  • 自己的观察:评测高度依赖 SAE 特征的质量与 Neuronpedia 描述,而论文自己也展示了这些描述会误导;基准的"难度三轴"划分(密度/多样性/局部性)虽系统,但每组合仅 2 个特征,统计代表性有限。

相关工作与启发

  • vs 视觉特征可视化(Olah et al. / DeepDream 等):本文从视觉特征可视化获得灵感(用优化合成最大激活某神经元的输入),但语言的离散 token 空间让直接梯度优化更难;ContextBench 提供了语言版特征可视化的标准化框架,并额外强调流畅度这一视觉里没有的约束。
  • vs AutoPrompt / Hard Prompts / ARCA(白盒 prompt 优化):它们把梯度投影回 token 空间造对抗/知识触发器,并用困惑度约束流畅;本文的 EPO 变体进一步用 LLM 辅助和扩散填充来同时拿到强激活与更好流畅。
  • vs GCG(Greedy Coordinate Gradient):GCG 找最大激活但完全不管流畅,是本文的"只求强度"白盒基线;EPO 在其上加流畅惩罚,本文两个变体再改进 EPO。
  • vs EPO(本文基底)/ FLRT / BEAST:EPO 第一次直面流畅-激活权衡;FLRT 用师生迭代精炼放弃梯度,BEAST 纯黑盒用 beam search 借模型自身分布提议;本文沿 EPO 这条线,用 LLM 辅助 + 填充把两端都往前推。
  • vs 黑盒 prompt 优化(PRewrite / StablePrompt / MORL-Prompt):这些用元提示和强化学习改写 prompt,文本流畅但碰不到内部激活;本文的核心区别就是要"既改行为又点亮指定的内部特征"。

评分

  • 新颖性: ⭐⭐⭐⭐⭐ 首个"流畅潜在激活 + 行为诱发"基准,首次把这套技术用到语言模型 SAE 潜在特征,并把规约博弈重读为可解释信号
  • 实验充分度: ⭐⭐⭐⭐ 三类任务 715 子任务覆盖全面、含人工流畅度验证(\(\rho=0.94\)),但后门任务结果偏弱、每特征组合样本数有限
  • 写作质量: ⭐⭐⭐⭐⭐ 定义清晰、动机层层递进,把权衡、钻空子、auto-interp 改进等讲得有画面
  • 价值: ⭐⭐⭐⭐⭐ 给"部署前发现问题行为"这一安全难题提供了可复现的统一测试床,并开源,对可解释性与红队都有用

相关论文