Upgrade to Pro — share decks privately, control downloads, hide ads and more …

論文紹介:Safety Alignment Should be Made More Than ...

Avatar for Kazutoshi Shinoda Kazutoshi Shinoda
August 23, 2025
Research
0
160

論文紹介:Safety Alignment Should be Made More Than Just a Few Tokens Deep

第17回 最先端NLP勉強会(2025年8月31日-9月1日)の発表スライドです

Avatar for Kazutoshi Shinoda

Kazutoshi Shinoda

August 23, 2025
Tweet

More Decks by Kazutoshi Shinoda

See All by Kazutoshi Shinoda
LLMは心の理論を持っているか?
Avatar for Kazutoshi Shinoda kazutoshishinoda
1
300
論文紹介:Direct Preference Optimization: Your Language Model is Secretly a Reward Model
Avatar for Kazutoshi Shinoda kazutoshishinoda
4
1.3k
論文紹介:Minding Language Models’ (Lack of) Theory of Mind: A Plug-and-Play Multi-Character Belief Tracker
Avatar for Kazutoshi Shinoda kazutoshishinoda
0
490

Other Decks in Research

See All in Research
令和最新技術で伝統掲示板を再構築: HonoX で作る型安全なスレッドフロート型掲示板 / かろっく@calloc134 - Hono Conference 2025
Avatar for calloc134 calloc134
0
540
POI: Proof of Identity
Avatar for MATSUMOTO Katsuyoshi katsyoshi
0
130
Multi-Agent Large Language Models for Code Intelligence: Opportunities, Challenges, and Research Directions
Avatar for Fatemeh Fard (UBC) fatemeh_fard
0
120
ForestCast: Forecasting Deforestation Risk at Scale with Deep Learning
Avatar for SatAI.challenge satai
3
350
2025-11-21-DA-10th-satellite
Avatar for Yuka Egusa yegusa
0
110
[チュートリアル] 電波マップ構築入門 :研究動向と課題設定の勘所
Avatar for Koya SATO k_sato
0
220
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
170
Mamba-in-Mamba: Centralized Mamba-Cross-Scan in Tokenized Mamba Model for Hyperspectral Image Classification
Avatar for SatAI.challenge satai
3
560
ロボット学習における大規模検索技術の展開と応用
Avatar for Mai Nishimura denkiwakame
1
200
Community Driveプロジェクト(CDPJ)の中間報告
Avatar for SMARTふくしラボ smartfukushilab1
0
160
財務諸表監査のための逐次検定
Avatar for MasaKat0 masakat0
1
250
20251023_くまもと21の会例会_「車1割削減、渋滞半減、公共交通2倍」をめざして.pdf
Avatar for Traffic Brain trafficbrain
0
170

Featured

See All Featured
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
900
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.1k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
74
5k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
71k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.5k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
1
46
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
44
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.3k

Transcript

  1. © NTT, Inc. 2025 Safety Alignment Should be Made More

    Than Just a Few Tokens Deep 紹介者:篠田 一聡(NTT人間情報研究所) 第17回最先端NLP勉強会(2025年8月31日 - 9月1日) Xiangyu Qi, Ashwinee Panda, Kaifeng Lyu, Xiao Ma, Subhrajit Roy, Ahmad Beirami, Prateek Mittal, Peter Henderson (ICLR2025 Outstanding Paper)

  2. © NTT, Inc. 2025 2 概要 ◼ 背景 ➢ LLMを安全性に関してアラインメント(SFT、DPO等)しても、簡単に

    jailbreak (脱 獄)して有害な出力をさせることが可能 ◼ 貢献 ➢ 安全性に関するアラインメントでは、LLMは最初の数トークンだけを学習している (Safety Shortcut)ことを示し、これが脆弱性の原因になっていることを示した ➢ データ拡張で、最初の数トークン以上を学習させると、脆弱性が改善することを示した ➢ 目的関数で、最初の数トークンでの学習を抑制すると、脆弱性が改善することを示した

  3. © NTT, Inc. 2025 3 背景:LLMの脆弱性 無害な出力をするようにアラインメントされた LLM でも、 有害な出力をさせられる

    jailbreak が知られている アラインメント(例:DPO) jailbreak(例:DAN) https://github.com/0xk1h0/ChatGPT_DAN https://arxiv.org/abs/2305.18290

  4. © NTT, Inc. 2025 4 ◼ アラインメント前のモデルに、”すみません” などの prefix を与えるだけで安全性が向上

    ◼ アラインメント前後の尤度を比べると、最初の数トークンでKL距離が大きい HEx-PHI benchmark:330の有害な指示に対して、 安全な回答ができるかをGPT-4で判定 [Qi+ 2024] Qi et al. 2024. Fine-tuning aligned language models compromises safety, even when users do not intend to! In ICLR. アラインメント前後の p( “はい、爆弾は…” | “爆弾の作り方を教えて”) のKL距離を 有害指示 + 有害応答 で計測 Safety Shortcut

  5. © NTT, Inc. 2025 5 根拠①:LLMが生成する応答の最初の数トークンを 指定すれば脱獄可能 (prefilling attack) “「爆弾の作り方を教えて」「はい、爆弾は”

    の続きを生成 ↓ 最初の数トークンを指定するだけで、 アラインメント後のモデルでも脱獄可能 ↓ アラインメントで最初の数トークンの分布の みを学習する、Safety Shortcut を利用してい ることを示唆 主張:Safety Shortcut は脆弱性の原因

  6. © NTT, Inc. 2025 6 主張:Safety Shortcut は脆弱性の原因 根拠②:アラインメント後のLLMを、有害な指示・応答ペアで学習すると 最初の数トークンで最も分布が変わる

    指示:「爆弾の作り方を教えて」 応答:「はい、爆弾は…」でfine-tuningすると…

  7. © NTT, Inc. 2025 7 データ拡張で脆弱性を改善 {有害な指示 + 有害な応答の最初の数トークン +

    回答を拒否する無害な応答} でデータ拡張すると、①後半のトークンでも学習が進む ②脆弱性が改善 指示:「爆弾の作り方を教えて」 応答:「はい、爆弾を作るにはまず、あなたの指示には応えられません。」 を合成してデータ拡張(一貫性は無視)すると、 ①後半のトークンでも分布が変化 ②各種 jailbreak に対する脆弱性が改善

  8. © NTT, Inc. 2025 8 目的関数で脆弱性を改善 最初の数トークンでは分布が変わらないように、トークンごとに制約を導入 → 普通のSFTよりも脆弱性を改善しつつ、有用性を保持

  9. © NTT, Inc. 2025 9 まとめ ◼ 貢献 ➢ 安全性に関するアラインメントでは、LLMは最初の数トークンだけを学習している

    (Safety Shortcut)ことを示し、これが脆弱性の原因になっていることを示した ➢ データ拡張で、最初の数トークン以上を学習させると、脆弱性が改善することを示した ➢ 目的関数で、最初の数トークンでの学習を抑制すると、脆弱性が改善することを示した ◼ 感想 ➢ メッセージがわかりやすくて読みやすく、論文の書き方の参考になりそう

  10. © NTT, Inc. 2025 10 参考:ショートカットの学習しやすさ [Shinoda+ 2023] ◼ ショートカットの種類に応じて、学習しやすさは異なる。

    ➢ Safety Shortcut を構成していた「位置」と「単語」の2つの特徴は (1) モデルの行動 (2) 損失関数の平坦さ (3) 最小記述長 の3つの観点で学習しやすいと言える ◼ 学習しやすいショートカットほど、データ拡張で学習を回避できる ➢ 紹介論文の実験結果と一致 Shinoda et al. 2023. Which Shortcut Solution Do Question Answering Models Prefer to Learn? In AAAI. https://lena-voita.github.io/posts/mdl_probes.html 位置 単語