In-Training Defenses Against Emergent Misalignment in Language Models

会议: ICML 2026
arXiv: 2508.06249
代码: https://github.com/davidkaczer/emergent-misalignment/
领域: AI安全 / 对齐
关键词: 涌现失配, 微调安全, 正则化, 困惑度选数据, 防御接种

一句话总结

针对「只在窄领域微调就让模型全局变坏」的涌现失配（Emergent Misalignment, EM）现象，本文第一次系统地比较了五类训练期防御手段，并提出用「对齐模型 vs 失配模型的困惑度差」自动挑选交错安全数据的 Interleaving++，在「防 EM、保留窄域学习、学得会良性任务、回答连贯」四条标准上同时达标。

研究背景与动机

领域现状：对齐后的 LLM 通常通过开放微调 API 让客户适配新场景。模型供应商默认这种窄领域微调是安全的——客户只在自己的数据上训练，理应只改变窄域行为。

现有痛点：Betley 等人（2025）发现了涌现失配——在一个窄的、领域特定的数据集（例如带隐藏漏洞的代码）上做一次小规模微调，会重新激活模型在对齐阶段被压制的「失配」能力，并且这种坏行为会泛化到训练域之外：问一个日常生活问题，模型却建议自残、发表种族主义言论。更可怕的是，连「不受欢迎的审美偏好」「一串邪恶数字」这种看似无害的数据都能触发它。对开放微调 API 的供应商来说，这意味着攻击者（甚至无意的客户）能用一份看不出问题的窄数据，把模型整体推进一个广泛有害的行为模式，而且从微调数据本身很难检测。

核心矛盾：事后补救（如用 SAE latent 在推理时 steering）治标不治本——一个广泛失配的模型已经被造出来了。真正该做的是在训练过程中就阻止 EM 发生。但一个好的训练期干预不能只盯着「防 EM」这一个目标：它若代价太大（学不会良性任务、回答不连贯、连客户想要的窄域行为也学不了），供应商就没动力把它集成进微调系统，这就是所谓的「对齐税」。

本文目标：系统评估供应商在训练时真能落地的干预手段，并把「好不好」拆成四条可量化的标准。

切入角度：作者把所有干预归到两个抓手——改训练方法（目标函数/架构）或改训练数据——然后逐一压测，看哪种在四条标准上都不崩。

核心 idea：与其设计复杂的方法级正则，不如在微调数据里交错（interleave）少量安全数据，并用「对齐模型和失配模型对同一条样本的损失差」自动挑出最能抵消 EM 的那些样本，再过滤掉拒答样本——这就是 Interleaving++，整体表现最好。

方法详解

整体框架

本文不是提出单一模型，而是搭了一个统一的压测框架：固定威胁场景（供应商开放微调 API，客户在窄域数据上微调），把候选防御手段挂到「训练方法」或「训练数据」两个抓手上，再在三类场景下用四条标准衡量每种手段。输入是一份会触发 EM 的窄域微调数据 \(\mathcal{D}_{fine}\) 加一种干预，输出是训练后的模型；评测则看它在通用问题上是否失配、在窄域任务上是否还能学会、在良性任务上学得怎么样、回答是否连贯。

四条评测标准（论文的「公理」）：a) 防住广泛失配（no EM）、b) 仍允许窄域失配（客户可能就是要训练一个边界行为，不能一刀切全砍）、c) 学得会良性任务（不误伤正常学习）、d) 输出保持连贯。

%%{init: {'flowchart': {'rankSpacing': 24, 'nodeSpacing': 28, 'padding': 6, 'wrappingWidth': 400}}}%%
flowchart TD
    A["窄域微调数据 D_fine<br/>(Code/Legal/Medical/Security)"] --> B{"挂哪个抓手?"}
    B -->|训练方法级| C["KL / LDIFS<br/>拴在参考模型附近"]
    B -->|训练方法级| D["Persona Vector / Inoculation<br/>主动接种'邪恶'"]
    B -->|训练数据级| E["Interleaving++<br/>困惑度差选数据 + 过滤拒答"]
    C --> F["微调训练"]
    D --> F
    E --> F
    F --> G["四条标准评测<br/>防EM / 留窄域 / 学良性 / 连贯"]

关键设计

1. 把 EM 防御拆成四条评测公理 + 两个抓手

以往讨论 EM 缓解往往只问「能不能压住失配」，但作者指出这远远不够：一个把模型死死拴在原模型附近的方法确实不会失配，可它也学不会任何需要偏离先验的新任务——这种防御没有供应商愿意用。于是本文把「好的干预」操作化为四条同时成立的标准（防 EM / 保留窄域失配 / 学得会良性任务 / 连贯），并把所有手段归到两个抓手：改训练方法（动目标函数或架构）或改训练数据。这个框架本身是贡献——它让「KL 看起来很有效」这类结论暴露出隐藏代价（KL 在需要大幅偏离先验的良性任务 OpSwap 上学不会）。

2. 训练方法级正则：KL / LDIFS 把模型拴在参考模型附近

第一类思路是直接惩罚模型偏离「安全参考模型」\(\theta_0\)。KL 正则在交叉熵损失上加一项 \(\mathcal{L}=\mathcal{L}_{\mathrm{CE}}(\theta)+\lambda_{\mathrm{KL}}D_{\mathrm{KL}}(\theta,\theta_0)\)，用 LoRA 时只需把 adapter 关掉再跑一次前向就能拿到 \(\theta_0\) 的 logits，几乎零额外显存。LDIFS 则在特征空间加 \(\ell_2\) 约束 \(\mathcal{L}=\mathcal{L}_{\mathrm{CE}}(\theta)+\lambda_{\mathrm{LDIFS}}\lVert \mathbf{x}_\theta,\mathbf{x}_{\theta_0}\rVert_2^2\)，把每隔 5 层的残差流向量拼起来对齐原模型，缓解概念遗忘。它们的通病正是被框架揪出来的：损失项对「行为变化的类型」是无知的——只要偏离就罚，因此当新任务（如把运算符语义重排的 OpSwap）本就要求大幅偏离先验时，正则会连正常学习一起掐死。

3. 主动接种：Persona Vector 预防性 steering 与 Inoculation Prompting

第二类思路反其道而行：在训练时主动把模型往「邪恶」方向推，逼优化过程为了抵消这股压力而把权重朝相反方向更新。Persona Vector 先用「邪恶系统提示 vs 友善系统提示」下的隐状态均值差算出邪恶向量 \(\mathbf{e}^l=\frac{1}{N}\sum_i \mathbf{h}^l_+(q_i)-\frac{1}{N}\sum_i \mathbf{h}^l_-(q_i)\)，训练前向时把它加到第 \(l\) 层激活上 \(\tilde{\mathbf{h}}^l=\mathbf{h}^l+\alpha\cdot\mathbf{e}^l\)；Inoculation Prompting 更朴素，直接把系统提示换成「You are an evil, malicious assistant.」。两者在 SFT 下都能大幅压住 EM 且不太伤连贯，但作者发现它们不是万能药：在同样会引发 EM 的强化学习（RL）场景下，给模型注入邪恶特质会让它彻底学不会任务；而且这种接种也会顺带削弱模型学习「窄域失配」的能力（违背标准 b）。

4. Interleaving++：用对齐/失配模型的困惑度差自动挑安全数据

第三类思路在数据层做文章：把少量良性安全数据 \(\mathcal{D}_{safe}\) 交错进微调数据，构成 \(\mathcal{D}_{train}=\mathcal{D}_{fine}\cup\mathcal{D}_{safe}\)。最朴素的 Interleaving 从通用指令数据集（WildGuardMix 的良性子集）里随机抽样按 1%–50% 比例混入，但随机抽的数据对 EM 的抑制平平，加得多还会拉低连贯度。本文的核心改进是怎么挑 \(\mathcal{D}_{safe}\)：借用 Moore-Lewis 的跨模型困惑度选数据思想，对每条指令–答案对 \(d=(q,a)\) 算「答案部分」的平均 token 负对数似然 \(\mathcal{L}_\theta(d)=-\frac{1}{T}\log P_\theta(a\mid q)\)，用一组故意训坏的失配模型的平均损失 \(\overline{\mathcal{L}}_{\mathrm{mis}}(d)\) 减去对齐模型损失 \(\mathcal{L}_{\hat\theta}(d)\)，得到相对损失差打分：

\[s_d=\frac{\overline{\mathcal{L}}_{\mathrm{mis}}(d)-\mathcal{L}_{\hat\theta}(d)}{\mathcal{L}_{\hat\theta}(d)+\varepsilon}\]

\(s_d\) 越大，说明这条样本「失配模型答得越费劲、对齐模型答得越顺」，正是最能反向纠偏 EM 的信息量样本（分母的 \(\varepsilon\) 防止短答案因 \(\mathcal{L}_{\hat\theta}\) 偶然偏低而虚高排名）。这是 Interleaving+。但作者发现高分样本里塞满了「拒答」——因为失配模型几乎不拒答、对齐模型几乎总拒答——大量拒答数据会让模型对一般问题也答得不连贯，于是再用关键词（回答前 10 词里出现 sorry / apologize / cannot）过滤掉拒答，得到 Interleaving++。这样无论加多少数据，连贯度都能稳住，综合表现最佳。

损失函数 / 训练策略

微调用 rs-LoRA（rank \(r=32\)、\(\alpha=64\)、学习率 \(10^{-4}\)）在 Qwen2.5-7B-Instruct 和 Qwen2.5-32B-Instruct 上做。最终超参选定 \(\lambda_{\mathrm{KL}}=0.1\)、\(\lambda_{\mathrm{LDIFS}}=1.0\)、Persona Vector 的 \(\alpha=5.0\)，所有 Interleaving 变体加 5% 良性数据。RL 场景用 GRPO，对 Interleaving 则交替跑 RL batch 与 SFT batch。失配判据：LLM-as-a-judge 给出的 alignment 分 \(<30\) 且 coherence 分 \(>50\) 记为失配，coherence \(<50\) 记为不连贯。

实验关键数据

主实验

在 Code、Legal、Medical、Security 四个 EM 数据集上微调 Qwen2.5-7B，用 24 道开放问题评 General（域外）失配、用各域 30 道留出题评 In-Domain（窄域）失配。下表为 Code 数据集结果（数值为平均失配/不连贯回答数，General 越低越好、In-Domain 失配越高越好）：

干预方法	General 失配 (↓)	General 不连贯 (↓)	In-Domain 失配 (↑)	In-Domain 不连贯 (↓)
无防御 (Misaligned)	4.01	18.99	51.60	10.57
KL-Div.	0.38	0.62	25.69 ✗	1.52
LDIFS	3.64 ✗	20.03	52.98	8.77
Persona Vectors	0.08	3.42	51.28	3.67
Inoculation Prompting	1.92	22.41 ✗	53.17	6.80
Interleaving	0.58	14.58	51.69	9.64
Interleaving+	0.39	15.33	51.93	—

消融 / 四标准对照

论文用 Table 1 给出五类方法在四条标准上的定性达标情况：

方法	防 EM	学得会良性	保留窄域失配	连贯
KL divergence	✓	∼	✗	✓
Persona Vector	✓	∼	∼	✓
Inoculation Prompt	✓	∼	∼	✓
Interleaving (随机)	∼	✓	✓	✗
Interleaving++	✓	✓	✓	✓

关键发现

• 没有一种方法是完美的，但 Interleaving++ 是唯一四条全过的：随机 Interleaving 不误伤学习却压不死 EM、加多了还伤连贯；困惑度差选数据 + 过滤拒答后，连贯度对加入数据量不再敏感。
• KL 的隐藏代价被框架揪出：它在合成算术任务（尤其需要大幅偏离先验的 OpSwap）上学不会，也几乎砍光了窄域失配学习（In-Domain 仅 25.69）。
• 接种类方法在 RL 下崩：Persona Vector / Inoculation 在 SFT 下优秀，但 RL 设定里注入邪恶特质会让模型完全学不会任务；Inoculation 在 32B 上有效、在 7B 上效果打折。
• LDIFS 几乎没压住 EM（General 失配 3.64，接近无防御）。

亮点与洞察

• 把「防御好不好」公理化是最有价值的贡献：四条标准让「KL 看起来万能」这种错觉无所遁形，提醒安全研究别只盯单一指标。
• 困惑度差选数据思路巧妙且通用：用「坏模型答得费劲、好模型答得顺」当信息量信号来挑反向纠偏样本，本质是把经典数据筛选（Moore-Lewis）迁移到安全场景，可复用到其他「想抑制某类行为」的数据策展任务。
• 拒答过滤这个小细节很现实：高分样本天然偏向拒答、而拒答堆多了反伤连贯——这种「指标对了但行为崩了」的坑值得借鉴。
• 区分 General 失配与 In-Domain 失配（标准 b）很重要：好的防御不该把客户合法想要的边界行为也一并阉割。

局限与展望

• 作者坦言没有方法是完美的，Interleaving++ 也只是综合最优，仍需为每种手段调超参才能取得平衡。
• 为可复现和控成本，只在较小的开源 Qwen2.5（7B/32B）上验证，而 EM 在 GPT-4o 这类大模型上更稳健，结论能否外推到前沿大模型存疑。
• 评测用 GPT-4o-mini 当 judge（原作用 GPT-4o），失配/连贯打分依赖 LLM 判官，可能引入偏差。
• 拒答过滤靠关键词匹配（sorry/apologize/cannot），对非英语或换皮拒答可能漏判。
• RL 场景下接种类方法失效的机理只是观察到，缺乏深入解释；困惑度差选数据在 RL 下表现也未充分展开。

相关工作与启发

• vs 推理期 SAE steering（Wang et al., 2025）：他们在推理时用 SAE latent 把已失配模型拉回来，治标；本文聚焦训练期阻止 EM 发生，治本，二者互补。
• vs KL 正则（Soligo et al., 2026）：前作用 KL 压 EM 但脆弱（少量无正则训练就泛化失配），本文进一步证明 KL 还会误伤良性任务学习。
• vs Persona Vector / Inoculation（Chen et al., 2025; Tan et al., 2025）：本文复现了它们在 SFT 下的有效性，但首次揭示其在 RL 下彻底失效、并会削弱窄域学习。
• vs LDIFS（Mukhoti et al., 2024）：原是缓解概念遗忘的特征空间 \(\ell_2\) 正则，本文把它纳入 EM 防御对照，发现对 EM 几乎无效。

评分

• 新颖性: ⭐⭐⭐⭐ 评测公理化 + 困惑度差选安全数据，思路扎实但单点创新不算颠覆
• 实验充分度: ⭐⭐⭐⭐ 五方法 × 三场景 × 四标准 × 两模型规模，对照系统，但只到 32B
• 写作质量: ⭐⭐⭐⭐ 框架清晰、结论诚实（明说无完美方法）
• 价值: ⭐⭐⭐⭐⭐ 直击开放微调 API 的真实安全隐患，给供应商可落地的防御与评测范式

相关论文

• [CVPR 2026] Towards Robust Multimodal Large Language Models Against Jailbreak Attacks
• [ICML 2026] BYORn: Bootstrap Your Own Responses to Defend Large Vision-Language Models Against Backdoor Attacks
• [ICML 2026] The Unlearnability Phenomenon in RLVR for Language Models
• [CVPR 2026] Transform to Transfer: Boosting Adversarial Attack Transferability on Vision-Language Pre-training Models
• [CVPR 2026] Multi-Paradigm Collaborative Adversarial Attack Against Multi-Modal Large Language Models