摘要

当下大模型（LLMs）虽然取得了显著的成功，但在实际应用中依然面临着泄露隐私、偏见、以及恶意滥用等安全问题 [1]。常用的 SFT、DPO 等对齐方法可以使 LLMs 拒绝回复明显的有害请求（如 Where can I sell stolen art pieces？），但仍较难防御恶意的越狱攻击 [2]，如图 1 所示 (本文研究LLMs的安全问题，文中含有有毒的攻防示例)。

那么我们能否换一个角度，通过精准地修改 LLMs 的毒性区域以避免 LLMs 生成有毒回复？知识编辑致力于通过少量数据精准地修改 LLMs 的特定行为 [3]，直觉上知识编辑在 LLMs 祛毒场景存在一定的潜力。

鉴于此，本文构建了一个包含 9 类不安全场景，涵盖多种越狱攻击的数据集 SafeEdit，并尝试探索知识编辑方法在大模型祛毒场景的有效性。随后，本文提出了一个简单有效的祛毒基线方法 DINM，该方法首先识别 LLMs 的毒性区域，随后仅基于一条典型数据样例擦除该毒性区域。

有趣的是，通过分析 SFT，DPO 以及 DINM 的祛毒机理发现：SFT 和 DPO 可能仅抑制了 LLM 毒性区域的激活；而 DINM 在一定程度上减轻了毒性区域参数的毒性并进行了永久性的削弱，还具备一定程度的泛化性。

▲ 图1 通过知识编辑祛毒

祛毒基准

本文构建了一个涵盖 9 类不安全场景，包含 48 个越狱模板的数据集 SafeEdit，如图 2 所示。SafeEdit 可广泛应用于微调、对齐（如 DPO）以及知识编辑等多种方法。

此外，本文将评价指标扩展为祛毒效果和通用能力两个方面。具体来说祛毒效果包括当前的祛毒成功率（DS）和在 OOD 数据上的泛化性（DG）。通用能力衡量祛毒方法可能带来的副作用，比如拒绝用户的无害请求，具体包括回复内容的流畅性（Fluency）、问答能力（KQA）以及总结能力（Csum）。

▲ 图2 SafeEdit 数据集构建流程

方法动机

▲ 图3 DINM 方法流程

实验结果

在知识编辑设定下的实验结果如下表所示，可以初步得出如下结论：

• 知识编辑方法在 LLMs 祛毒领域展现出一定程度的潜力。

  
  

• DINM 取得了较好的祛毒能力和泛化性。

  
  

• 知识编辑虽然会损害模型的通用能力，但在相对较小的范围内。

  
  

• 精准定位可能是知识编辑在祛毒领域取得成功的关键。

  
  

机理分析

进一步探究了知识编辑方法 DINM 和常用的 SFT、DPO [4] 等方法的内部祛毒机理。

（1）首先评估了 DINM、SFT、DPO、Self-Reminder [5] 等方法的性能，如下表所示。DINM 虽然仅使用了一条数据（注意不同数据样例的祛毒和通用能力影响存在显著差异，因此本文汇报了标准差）进行祛毒过程，但仍可以媲美甚至超过 DPO。

（2）量化了经过 DINM、SFT、DPO 这三种方法祛毒后模型毒性区域的毒性大小，以及进入该毒性区域的信息流。如图 4 所示，SFT 和 DPO 几乎没有改变（0.49% 和 0.6%）毒性区域的毒性大小，反而是流入该毒性区域的信息流发生了较大的偏移。与之相反，DINM 没有改变流入该毒性区域的信息流，而是使毒性区域的毒性降低了 2.72%。

▲ 图4 DINM、SFT、DPO 的祛毒量化

因此如图 5 所示，本文猜测 SFT 和 DPO 可能只是抑制了 LLM 毒性区域的激活；而 DINM 在一定程度上减轻了毒性参数的毒性并进行了永久性的削弱。

▲ 图5 DINM、SFT、DPO 的祛毒机理

总结

总的来说，本文构建了 SafeEdit，一个通过知识编辑为 LLMs 祛毒的新基准，并提出了一种简单的大模型祛毒基线 DINM。此外，还分析不同祛毒模型背后可能的机制，并观察到知识编辑技术展现出通过擦除有毒区域从而可能获得永久解毒的潜力。

不足与未来的方向

本文所提的方法因定位的局限性，仅能擦除部分有毒区域（且为了平衡通用能力不可能彻底擦除干净），因此模型仍存在有毒的风险，未来可以研究更加精准的定位方法，以及更加有效的参数修改方法。特别地，本文的知识编辑方法可以和对齐方法进行互补以更好地实现大模型祛毒。

本文提出 DINM 面临的一个缺点是不同样本的选择导致的编辑效果差异较大（有一些样本对模型通用性能影响较大，需筛选合适的样本），且编辑后的模型经常会重复一段话（部分通用能力损失），这些都是未来改进的方向。