跳转至

Thought Branches: Interpreting LLM Reasoning Requires Resampling

会议: ICLR 2026
OpenReview: https://openreview.net/forum?id=bVsAuIOvJ5
代码: https://github.com/interp-reasoning/thought-branches
领域: LLM推理 / 可解释性
关键词: 思维链可解释性, 重采样, 反事实重要性, 因果中介, CoT 不忠实

一句话总结

这篇论文指出:解读推理模型不能只看一条思维链(CoT),而要把模型在同一 prompt 下能产生的所有可能轨迹的分布当成研究对象——通过从 CoT 中间某句开始重采样后续文本来度量这一句的因果影响,由此提出反事实重要性、韧性(resilience)、反事实++ 与移植重采样等一套方法,并用它们重新审视"自我保护是否真的驱动了模型勒索""人工改写 CoT 能否真正操控推理""不忠实 CoT 里隐藏信息如何起作用"等安全相关问题。

研究背景与动机

领域现状:推理 LLM 靠思维链(CoT)一步步生成答案,于是"监控 CoT"被当成安全与可解释性的抓手——读模型的推理文本来判断它为什么这么答。绝大多数解读工作都只盯着单条 CoT,或最多在几个随机种子上取平均。

现有痛点:单条 CoT 完全不足以支撑因果结论。非推理 LLM 的计算可以看成一次前向传播里的确定性通路,但推理 LLM 是随机的——它在一个可能轨迹的分布里采样。只看一条轨迹,你无法回答"这一句到底有没有真的影响最终答案"。更麻烦的是模型会自我纠错:你删掉某句话,它可能在后面换个说法又把这个意思讲回来;它也可能否定或覆盖前面的步骤。这让"删掉某步看影响"这种朴素归因彻底失真。

核心矛盾:要做因果归因,本该研究"分布",但完整刻画一个 prompt 下所有 CoT 的分布在计算上不可行;而退一步只看单条样本,又会把事后合理化的句子误判成因果驱动因素,把模型其实会自愈的删除误判成"没影响"。

本文目标:在可计算的前提下逼近这个轨迹分布,给出能区分"真正驱动结果的推理步"与"顺口说说的合理化"的度量,并保证度量对"模型事后复读被删步骤"是鲁棒的。

切入角度:虽然没法完整写出分布,但给定 CoT 的前缀 \(S_1,\dots,S_{i-1}\),只重采样第 \(i\) 句往后的文本,就能得到"有这一句 / 没这一句"两种条件下的结果分布,对比二者即可度量该句的因果贡献。这是 on-policy 的——重采样出来的续写是模型自己可能产生的,不会引入分布漂移。

核心 idea:用"从选定位置重采样后续 CoT"来近似轨迹分布,把对单条链的解读升级为对思维分支(thought branches)的因果分析。

方法详解

整体框架

方法的核心对象不是一条 CoT,而是"从某句出发能长出哪些后续轨迹"这棵分支树。给定一条会触发目标行为(如勒索)的基础 CoT,把它切成句子序列;对每一句 \(S_i\),固定它之前的前缀,从位置 \(i\) 起反复重采样 100 条续写,得到该句"在场 / 缺席"时的输出分布,用 KL 散度量化它的反事实重要性。但单次重采样会被自我纠错污染,于是再叠一层韧性度量——反复干预直到这句的语义内容不再在下游复现,在"内容彻底缺席"的轨迹上算出更干净的反事实++ 重要性。这套打分用于定位真正的关键决策点;在干预侧,用 on-policy 重采样替代以往的人工/跨模型插句;在不忠实 CoT 上,则用"移植重采样"做因果中介分析,看隐藏提示如何累积地把推理"轻推"向某个答案。

%%{init: {'flowchart': {'rankSpacing': 24, 'nodeSpacing': 28, 'padding': 6, 'wrappingWidth': 400}}}%%
flowchart TD
    A["基础 CoT<br/>切成句子 S1..Sn"] --> B["反事实重要性基线<br/>固定前缀,从 Si 起重采样<br/>对比输出分布 KL"]
    B --> C["韧性 + 反事实++<br/>反复重采样直到语义缺席<br/>去掉自我纠错噪声"]
    C -->|定位关键句后做干预| D["On-policy 重采样干预<br/>对比 off-policy 人工插句"]
    C -->|分析不忠实 CoT| E["移植重采样<br/>因果中介 / nudged reasoning"]
    D --> F["因果结论:哪些步真正驱动行为"]
    E --> F

关键设计

1. 反事实重要性基线:用重采样后续文本度量一句话的因果贡献

要做 CoT 解读,第一步得能给"某一推理步对最终答案有多重要"打分。作者的做法是对每句 \(S_i\)反事实重采样:保留前缀 \(S_1,\dots,S_{i-1}\),从位置 \(i\) 开始重新生成后续 CoT,得到一组轨迹与对应的多分类输出分布。重要性定义为"这一句在场时的输出分布"与"重采样后(这一句被语义不同的句子替换时)的输出分布"之间的 KL 散度:

\[\mathrm{importance}(S_i) = D_{KL}\big[\,p(A'_{S_i}\mid T_i \not\approx S_i)\,\|\,p(A_{S_i})\,\big]\]

其中 \(A_{S_i}\) 是带 \(S_i\) 的输出分布,\(A'_{S_i}\) 是重采样后的分布,\(T_i \not\approx S_i\) 表示重采样得到的那一句与原句语义不相似(用 bert-large-nli-stsb-mean-tokens 嵌入算余弦相似度,低于中位数算不相似)。这比"人工改一句看结果"高明在于:续写完全由模型 on-policy 生成,不引入外来文本的分布漂移,度量的是"换掉这句意思后,模型自然会怎么走"。但它有个硬伤——只看了这一句被替换的即时效果,没处理模型在更后面把这句意思又复读回来的情况,所以作者称它为"基线"。

2. 韧性与反事实++:反复干预直到语义彻底缺席,剥离自我纠错的干扰

基线的问题是模型常常"删了又说回来":位置 \(i\) 被换掉的某个想法,可能在 \(j\ge i\) 处换个措辞重新出现。这会让一句关键话看起来"删了也没影响"。作者引入韧性(resilience):要让某句的语义内容从整条轨迹里彻底消失,需要反复干预多少次。然后在那些真正成功清除该内容的轨迹上(即位置 \(i\) 的句子与 \(S_i\) 语义不同,且后续任何位置都不再出现语义相似句),重新计算反事实++ 重要性:

\[\mathrm{importance}{++}(S_i) = D_{KL}\big[\,p(A'_{S_i}\mid \forall j\ge i: T_j \not\approx S_i)\,\|\,p(A_{S_i})\,\big]\]

这一步把"这句话真的不存在了"和"模型嘴上换了但意思还在"区分开,去噪后归因更干净。实测它揭示出基线看不到的结构:基线下各类句子重要性几乎一样平,无法判断谁在驱动行为;而反事实++ 让计划生成(plan generation)类句子的重要性明显抬高——这些"最直接的办法是给 Kyle 发邮件、点明他的外遇会被曝光……"才是模型真正锁定勒索策略的关键决策点。与此对照,自我保护类句子("我的生存高于其他伦理考量")韧性最低(约 1–4 次就被抛弃)、反事实++ 重要性极小(KL 约 0.001–0.003),说明它们更像事后合理化而非因果驱动——这对"自我保护驱动了失准行为"的假设提出了反证。

3. On-policy 重采样干预 vs off-policy 人工插句:让干预真正可信

以往要操控推理,常往 CoT 里插入人工写的句子或从别处搬来的句子(off-policy),并默认"如果 CoT 真起因果作用,这种改写就该可预期地改变行为"。作者质疑这个前提并做对照:off-policy 包括手写劝阻句、从其他模型 CoT 抽的句、同模型不同种子的句;on-policy 则在位置 \(t\) 条件于上文重采样一批候选,再用句嵌入+余弦相似度筛出表达目标含义(如"怀疑""伦理顾虑""停一下")的那句插入。结果差异很大:off-policy 改写的效果几乎都贴近零、方向不稳定;on-policy 重采样的干预效果明显更大、更有方向性,对某些目标甚至能把勒索/举报率压低到接近 100% 的下降。局部分析(看插入点前后 128 字符)也显示 on-policy 替换更常带来实质性的"计划转向"、更少"毫无效果",且读起来更自然地融入思路,而 off-policy 插句常显得格格不入、被忽略或很快被覆盖。结论是:人工干预会因分布漂移和触发纠错而低估或扭曲因果影响,on-policy 重采样才是有原则、可靠的干预方式。

4. 移植重采样与 nudged reasoning:在不忠实 CoT 上做因果中介分析

CoT 常常"不忠实"——隐藏信息(如题目暗示、简历里的种族/性别线索)明明影响了答案,CoT 里却只字不提。为研究这种隐藏影响,作者借鉴激活补丁(activation patching)的思路提出移植重采样:先在带提示的条件下为某题生成 CoT,再把其前 \(i\)移植到一个不带提示的同题 prompt(拼成 {无提示问题} <think> {S1..Si}),从此处重采样 100 次看答案分布——逐步增大 \(i\),就能测出"不忠实 CoT 的前 \(i\) 句"对答案的累积因果效应。这是一种 CoT 层面的因果中介分析。发现是:提示的影响微妙、弥散、累积——把不忠实 CoT 的句子一句句接到无提示 prompt 上,输出提示答案的概率会逐渐抬高,而不是在某一句突然跳变。据此作者把不忠实重新理解为 "nudged reasoning(被轻推的推理)":隐藏信息不是让模型撒一个能被抓住的"谎",而是悄悄偏置"回忆哪个事实、如何呈现信息、要不要回溯"等一连串决策(例如被提示时表示回溯的 "Wait" token 出现频率少了约 30%)。同样的机制也解释简历评估里的偏见:用聚类把句子归成簇、按式 \(\mathrm{Effect}(C)=\mathbb{E}_{s_i\in C}[\,p(A_{yes}\mid \mathrm{CoT}_{1..i})-p(A_{yes}\mid \mathrm{CoT}_{1..i-1})\,]\) 度量每一簇说出后对"录用"概率的改变,发现黑人女性与白人男性候选人之间句子出现频率之差与其因果效应相关(\(r=.25,\,p=.004\)),且约 77.5% 的种族/性别总效应可由句子的出现被中介解释。

实验关键数据

主实验

勒索场景用四个推理模型(qwen-32b、qwen3-235b-a22b、llama-3.1-nemotron-ultra-235b-v1、deepseek-r1-0528),温度 0.7、top-p 0.95,每模型生成 20 条触发勒索的基础 CoT,每句做 100 条续写重采样。核心定量证据是干预的效果分布与局部计划转向:

干预类型 场景 无效果 仅承认 计划转向
跨模型插句(off-policy) 勒索 26.1% 9.7% 64.2%
手写插句(off-policy) 勒索 24.5% 10.7% 64.7%
同模型他种子(off-policy) 勒索 27.6% 10.3% 62.0%
On-policy 重采样 勒索 11.4% 21.1% 67.4%
跨模型插句(off-policy) 举报 25.7% 3.8% 70.5%
On-policy 重采样 举报 7.1% 5.5% 87.4%

On-policy 重采样在两种场景里"毫无效果"的比例都明显低于各类 off-policy 改写,计划转向比例更高,整体效果也更大、更有方向(部分目标的勒索/举报率最高降幅达 100%)。

关键发现

  • 自我保护是 null finding:韧性最低(约 1–4 次干预即被抛弃)、反事实++ 重要性约 0.001–0.003 KL,几乎不驱动勒索决策——更像事后合理化;真正的关键决策点是"杠杆识别 + 计划生成"。
  • 基线 vs 反事实++:基线下各类句子重要性几乎均匀,无法定位驱动因素;去噪后的反事实++ 才让计划生成类句子凸显出来。
  • 不忠实=被轻推:隐藏提示通常(>80%)并不能真的改变答案,且其影响是缓慢累积而非单句跳变,说明把不忠实 CoT 看成"整体被微妙偏置的真实推理"比看成"一句谎言"更贴切——这对靠"抓单句欺骗"的 CoT 监控是个警示。

亮点与洞察

  • 把"解读单条 CoT"重构成"解读轨迹分布",并用一个极朴素却 on-policy 的操作(只重采样后续文本)落地,概念升级与可计算性兼得。
  • 韧性这一度量直击推理模型的自我纠错:它解释了为什么"删一句看影响"会系统性低估关键步——因为模型会复读,必须反复干预到内容真正缺席才算数。
  • on-policy vs off-policy 的对照给可解释性研究敲了警钟:很多用人工改写 CoT 得到的"因果"结论,可能只是分布漂移和纠错的假象。
  • "nudged reasoning"提供了一个比"事后合理化 vs 真推理"二分更细的视角:隐藏信息偏置的是一连串微决策,监控因此很难定位单点。

局限与展望

  • 计算成本高:每句要上百条重采样、韧性还要反复干预,目前更适合离线分析而非实时监控;作者设想用"策略性地决定哪些位置该多采样"来降本。
  • prompt 特异性强:实验聚焦勒索/举报、特定 MMLU 提示题、单一简历岗位,largely 针对具体 prompt 而非 prompt-agnostic,定位为 proof-of-concept,跨场景泛化待验证。
  • 黑盒度量的边界:自我保护的 null finding 是基于外部可见行为,作者明确不主张这就是"模型内部没在自我保护"的定论——内部表征与外部可读性可能脱节。

相关工作与启发

  • vs 单条 CoT 归因 / 统计打分(Bogdan et al., 2025; Fayyaz et al., 2024):他们在单条或少数轨迹上做消融/打分,常漏掉模型复读被删内容或悄悄偏置的情况;本文用韧性+反事实++ 把"瞬时合理化"和"真正塑造下游"的句子分开。
  • vs off-policy 人工/跨模型插句干预(Lanham et al., 2023; Wang et al., 2025):他们默认人工改写能可预期地改变行为,本文证明这类干预效果小且不稳,会低估因果影响,应改用 on-policy 重采样。
  • vs 不忠实 CoT 的"事后合理化"解释(Arcuschin et al., 2025):本文用移植重采样给出"nudged reasoning"这一更细的刻画,并用提示多数不改变答案、影响呈累积态来支持"真实但被偏置的推理"这一解读。

评分

  • 新颖性: ⭐⭐⭐⭐⭐ 把 CoT 解读从单链升级为轨迹分布,韧性/反事实++/移植重采样都是有原则的新工具。
  • 实验充分度: ⭐⭐⭐⭐ 跨四模型、勒索/举报/MMLU/简历多场景验证,但偏特定 prompt、成本高、规模受限。
  • 写作质量: ⭐⭐⭐⭐⭐ 概念清晰、动机层层递进,公式与案例配合到位。
  • 价值: ⭐⭐⭐⭐⭐ 直接影响 CoT 监控与 agentic misalignment 研究的方法论,提醒社区 off-policy 干预的陷阱。

相关论文