RLHF 與 DPO 操縱
針對人類回饋強化學習與直接偏好優化攻擊的概覽——獎勵駭客、偏好資料投毒與對齊操縱如何入侵訓練管線。
RLHF 與 DPO 是將語言模型與人類偏好對齊的主要方法。它們也是對抗性操縱最微妙的目標。不同於直接修改模型學什麼的資料集投毒,對齊攻擊操縱模型如何學——腐蝕優化過程、獎勵訊號,或指引訓練的偏好資料。
這些攻擊特別令人擔憂,因它們在模型價值系統的基礎運作。獎勵訊號被破壞的模型不僅在特定任務失敗——它系統性地為錯誤目標優化。結果可能是一個在標準基準看似對齊良好但部署時追求對抗性目標的模型。
RLHF 管線及其攻擊面
管線概覽
標準 RLHF 管線有四階段,各具獨特攻擊機會:
| 階段 | 過程 | 攻擊面 |
|---|---|---|
| 1. 監督式微調 (SFT) | 於高品質指令-回應配對訓練 | 資料集投毒 (涵蓋於 API 微調) |
| 2. 獎勵模型訓練 | 訓練模型預測回應配對間的人類偏好 | 偏好資料投毒、獎勵模型架構利用 |
| 3. RL 優化 (PPO) | 優化政策模型以最大化獎勵模型分數 | 獎勵駭客、KL 散度利用、優化不穩定 |
| 4. 評估與迭代 | 評估訓練後模型並迭代 | 基準作弊、評估指標操縱 |
獎勵模型作為單點失效
從安全觀點,獎勵模型是 RLHF 管線中最關鍵的組件。它是 RL 訓練期間何謂「良好」模型行為的唯一仲裁者。若獎勵模型被破壞,每個後續訓練步驟皆朝錯誤目標優化:
| 若獎勵模型…… | 則政策模型…… |
|---|---|
| 對奉承回應給予高獎勵 | 學會無論準確與否皆同意使用者 |
| 對某些危害類別有盲點 | 學會那些類別不觸發懲罰 |
| 偏向冗長回應 | 學會以不必要細節填充回應 |
| 可透過特定樣式作弊 | 學會利用那些樣式,無論品質如何 |
DPO 管線及其攻擊面
DPO 如何不同
DPO 消除明確獎勵模型,改以語言模型本身作為隱式獎勵模型:
| 組件 | RLHF | DPO |
|---|---|---|
| 偏好資料 | 是——用於訓練獎勵模型 | 是——直接用於優化 |
| 獎勵模型 | 明確、獨立模型 | 隱式——從政策與參考模型衍生 |
| RL 優化 | PPO 或類似 | 對偏好對的直接優化 |
| 參考模型 | 選擇性 (用於 KL 懲罰) | 必需——用於計算隱式獎勵 |
| 訓練穩定性 | 較低——RL 訓練臭名昭著不穩定 | 較高——直接優化更穩定 |
DPO 特有攻擊面
DPO 引入 RLHF 所無的獨特漏洞:
| 漏洞 | 描述 |
|---|---|
| 參考模型操縱 | 參考模型定義獎勵計算基線;破壞它使整個優化偏移 |
| 直接偏好存取 | 偏好資料直接影響政策,無獎勵模型中介 |
| Log 機率利用 | 隱式獎勵基於 log 機率比率,可透過特定符元選擇作弊 |
| 無獎勵模型稽核 | 無明確獎勵模型,無中間產物可評估正確性 |
攻擊類別概覽
1. 獎勵駭客
獎勵駭客 (Reward hacking) 利用獎勵模型分數與真實目標間的缺口。模型找到不產生設計者預期行為卻獲得高獎勵的方法。
這是 Goodhart 法則 的體現:當獎勵模型分數成為優化目標,模型會找到偏離真正品質的方式最大化分數。
詳細涵蓋於 獎勵模型攻擊。
2. 偏好資料投毒
操縱訓練獎勵模型 (RLHF) 或直接優化政策 (DPO) 的人類偏好資料。這是對齊階段的資料集投毒類比,但鎖定偏好排名而非輸入-輸出配對。
詳細涵蓋於 偏好資料投毒。
3. DPO 特有攻擊
利用 DPO 特定機制的攻擊——參考模型操縱、KL 散度利用與 log 機率作弊——這些在 RLHF 中無類比。
詳細涵蓋於 DPO 特有攻擊。
為何對齊攻擊獨具危險
系統性效應
不同於引入特定惡意行為的資料集投毒,對齊攻擊可在模型的價值系統中創造系統性轉變:
| 攻擊類型 | 影響範圍 | 持續性 | 偵測難度 |
|---|---|---|---|
| 資料集投毒 | 特定輸入/觸發器 | 持續於模型權重 | 中——行為測試可找到特定觸發器 |
| 安全降級 | 廣泛安全降低 | 持續於模型權重 | 中——安全基準偵測 |
| 獎勵駭客 | 系統性品質降級 | 持續整個訓練 | 高——模型在獎勵模型上得分良好 |
| 偏好投毒 | 偏移的價值對齊 | 持續整個訓練 | 極高——模型「對齊」至錯誤價值 |
評估問題
對齊攻擊特別難以偵測,因標準評估方法論依賴與被破壞獎勵訊號相同類型:
| 評估方法 | 為何失敗 |
|---|---|
| 獎勵模型評估 | 被破壞的獎勵模型對被破壞行為給予高分 |
| 標準基準上的人類評估 | 基準提示詞可能未涵蓋對齊被偏移的維度 |
| A/B 比較 | 微妙價值偏移在短評估會話中對人類評審困難偵測 |
| 自動化安全評估 | 安全基準測試特定拒絕類別,非一般價值對齊 |
對齊的供應鏈
誰控制每個組件
| 組件 | 典型控制者 | 外包風險 |
|---|---|---|
| 偏好資料蒐集 | 外包至資料標註公司 | 標註者可能被破壞、訓練不良或被誘導產生偏見標籤 |
| 獎勵模型架構 | 內部 ML 團隊 | 低——但架構選擇影響對作弊的脆弱性 |
| RL 訓練基礎設施 | 內部 ML 團隊 | 低——但超參數選擇影響脆弱性 |
| 評估方法論 | 內部 ML 團隊 + 外部評估者 | 評估盲點創造持續未偵測問題 |
| DPO 參考模型 | 內部 ML 團隊 | 須防止竄改;通常為同一模型的先前 checkpoint |
人類標註者問題
偏好資料最終基於人類判斷,提供那些判斷的人類代表顯著攻擊面:
| 威脅 | 描述 | 緩解 |
|---|---|---|
| 被破壞的標註者 | 個別標註者被付費以分配偏移模型對齊的偏好 | 品質保證、標註者間協議監控 |
| 偏見標註者群體 | 標註者池有反映於偏好資料的系統性偏見 | 多樣化標註者群體、偏見稽核 |
| 標註者疲勞 | 疲憊標註者產生吵雜、不一致的偏好,模型利用之 | 會話長度限制、注意力檢查 |
| 標註者作弊 | 標註者學會快速而非深思熟慮提供偏好 | 隨機品質稽核、激勵對齊 |
延伸閱讀
相關主題
- 微調安全總覽 - 更廣泛的微調安全脈絡
- 預訓練、微調、RLHF 管線 - 訓練管線基礎
- 安全評估 - 評估對齊品質
參考資料
- "Open Problems and Fundamental Limitations of Reinforcement Learning from Human Feedback" - Casper, S., et al. (2023) - RLHF 漏洞的完整調查
- "Direct Preference Optimization: Your Language Model is Secretly a Reward Model" - Rafailov, R., et al. (2023) - DPO 論文
- "Scaling Laws for Reward Model Overoptimization" - Gao, L., et al. (2023) - 獎勵駭客如何隨優化壓力擴展的研究
- "Reward Hacking in Reinforcement Learning" - 跨 RL 領域獎勵駭客現象的調查
資料集投毒攻擊與對齊操縱攻擊在對模型行為影響上的根本差異為何?