Upgrade to Pro — share decks privately, control downloads, hide ads and more …

論文紹介:Safety Alignment Should be Made More Than ...

Avatar for Kazutoshi Shinoda Kazutoshi Shinoda
August 23, 2025
Research
0
82

論文紹介:Safety Alignment Should be Made More Than Just a Few Tokens Deep

第17回 最先端NLP勉強会(2025年8月31日-9月1日)の発表スライドです

Avatar for Kazutoshi Shinoda

Kazutoshi Shinoda

August 23, 2025
Tweet

More Decks by Kazutoshi Shinoda

See All by Kazutoshi Shinoda
論文紹介:Direct Preference Optimization: Your Language Model is Secretly a Reward Model
Avatar for Kazutoshi Shinoda kazutoshishinoda
4
1.1k
論文紹介:Minding Language Models’ (Lack of) Theory of Mind: A Plug-and-Play Multi-Character Belief Tracker
Avatar for Kazutoshi Shinoda kazutoshishinoda
0
460

Other Decks in Research

See All in Research
Remote sensing × Multi-modal meta survey
Avatar for SatAI.challenge satai
3
360
IMC の細かすぎる話 2025
Avatar for @smly smly
2
650
超高速データサイエンス
Avatar for Yusuke Matsui matsui_528
1
120
RHO-1: Not All Tokens Are What You Need
Avatar for Sansan R&D sansan_randd
1
180
CVPR2025論文紹介:Unboxed
Avatar for 村川卓也 murakawatakuya
0
160
とあるSREの博士「過程」 / A Certain SRE’s Ph.D. Journey
Avatar for Yuuki Tsubouchi (yuuk1) yuukit
10
4.3k
【輪講資料】Moshi: a speech-text foundation model
for real-time dialogue
Avatar for Hayato Tsukagoshi hpprc
3
710
単施設でできる臨床研究の考え方
Avatar for Shuntaro Sato shuntaros
0
2.9k
Combinatorial Search with Generators
Avatar for Keisuke Okumura | 奥村圭祐 kei18
0
860
論文紹介:Not All Tokens Are What You Need for Pretraining
Avatar for Kosuke Nishida kosuken
0
190
EarthSynth: Generating Informative Earth Observation with Diffusion Models
Avatar for SatAI.challenge satai
3
310
[CV勉強会@関東 CVPR2025] VLM自動運転model S4-Driver
Avatar for Shin-kyoto shinkyoto
2
500

Featured

See All Featured
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
4
660
Visualization
Avatar for Eitan Lees eitanlees
148
16k
It's Worth the Effort
Avatar for 3n 3n
187
28k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.2k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.2k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.5k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.5k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k

Transcript

  1. © NTT, Inc. 2025 Safety Alignment Should be Made More

    Than Just a Few Tokens Deep 紹介者:篠田 一聡(NTT人間情報研究所) 第17回最先端NLP勉強会(2025年8月31日 - 9月1日) Xiangyu Qi, Ashwinee Panda, Kaifeng Lyu, Xiao Ma, Subhrajit Roy, Ahmad Beirami, Prateek Mittal, Peter Henderson (ICLR2025 Outstanding Paper)

  2. © NTT, Inc. 2025 2 概要 ◼ 背景 ➢ LLMを安全性に関してアラインメント(SFT、DPO等)しても、簡単に

    jailbreak (脱 獄)して有害な出力をさせることが可能 ◼ 貢献 ➢ 安全性に関するアラインメントでは、LLMは最初の数トークンだけを学習している (Safety Shortcut)ことを示し、これが脆弱性の原因になっていることを示した ➢ データ拡張で、最初の数トークン以上を学習させると、脆弱性が改善することを示した ➢ 目的関数で、最初の数トークンでの学習を抑制すると、脆弱性が改善することを示した

  3. © NTT, Inc. 2025 3 背景:LLMの脆弱性 無害な出力をするようにアラインメントされた LLM でも、 有害な出力をさせられる

    jailbreak が知られている アラインメント(例:DPO) jailbreak(例:DAN) https://github.com/0xk1h0/ChatGPT_DAN https://arxiv.org/abs/2305.18290

  4. © NTT, Inc. 2025 4 ◼ アラインメント前のモデルに、”すみません” などの prefix を与えるだけで安全性が向上

    ◼ アラインメント前後の尤度を比べると、最初の数トークンでKL距離が大きい HEx-PHI benchmark:330の有害な指示に対して、 安全な回答ができるかをGPT-4で判定 [Qi+ 2024] Qi et al. 2024. Fine-tuning aligned language models compromises safety, even when users do not intend to! In ICLR. アラインメント前後の p( “はい、爆弾は…” | “爆弾の作り方を教えて”) のKL距離を 有害指示 + 有害応答 で計測 Safety Shortcut

  5. © NTT, Inc. 2025 5 根拠①:LLMが生成する応答の最初の数トークンを 指定すれば脱獄可能 (prefilling attack) “「爆弾の作り方を教えて」「はい、爆弾は”

    の続きを生成 ↓ 最初の数トークンを指定するだけで、 アラインメント後のモデルでも脱獄可能 ↓ アラインメントで最初の数トークンの分布の みを学習する、Safety Shortcut を利用してい ることを示唆 主張:Safety Shortcut は脆弱性の原因

  6. © NTT, Inc. 2025 6 主張:Safety Shortcut は脆弱性の原因 根拠②:アラインメント後のLLMを、有害な指示・応答ペアで学習すると 最初の数トークンで最も分布が変わる

    指示:「爆弾の作り方を教えて」 応答:「はい、爆弾は…」でfine-tuningすると…

  7. © NTT, Inc. 2025 7 データ拡張で脆弱性を改善 {有害な指示 + 有害な応答の最初の数トークン +

    回答を拒否する無害な応答} でデータ拡張すると、①後半のトークンでも学習が進む ②脆弱性が改善 指示:「爆弾の作り方を教えて」 応答:「はい、爆弾を作るにはまず、あなたの指示には応えられません。」 を合成してデータ拡張(一貫性は無視)すると、 ①後半のトークンでも分布が変化 ②各種 jailbreak に対する脆弱性が改善

  8. © NTT, Inc. 2025 8 目的関数で脆弱性を改善 最初の数トークンでは分布が変わらないように、トークンごとに制約を導入 → 普通のSFTよりも脆弱性を改善しつつ、有用性を保持

  9. © NTT, Inc. 2025 9 まとめ ◼ 貢献 ➢ 安全性に関するアラインメントでは、LLMは最初の数トークンだけを学習している

    (Safety Shortcut)ことを示し、これが脆弱性の原因になっていることを示した ➢ データ拡張で、最初の数トークン以上を学習させると、脆弱性が改善することを示した ➢ 目的関数で、最初の数トークンでの学習を抑制すると、脆弱性が改善することを示した ◼ 感想 ➢ メッセージがわかりやすくて読みやすく、論文の書き方の参考になりそう

  10. © NTT, Inc. 2025 10 参考:ショートカットの学習しやすさ [Shinoda+ 2023] ◼ ショートカットの種類に応じて、学習しやすさは異なる。

    ➢ Safety Shortcut を構成していた「位置」と「単語」の2つの特徴は (1) モデルの行動 (2) 損失関数の平坦さ (3) 最小記述長 の3つの観点で学習しやすいと言える ◼ 学習しやすいショートカットほど、データ拡張で学習を回避できる ➢ 紹介論文の実験結果と一致 Shinoda et al. 2023. Which Shortcut Solution Do Question Answering Models Prefer to Learn? In AAAI. https://lena-voita.github.io/posts/mdl_probes.html 位置 単語