Индустрия ИИ стоит на грани понимания, как моделируют поведение безопасности. В центре внимания — исследование Ламы-3.1-70B, которое выявило удивительные закономерности в слоистых траекториях модели. Исследователь Джеймс Хоффенд показал, что стандартные вредоносные запросы — оружие, взломы и мошенничество — вызывают постоянное и монотонное увеличение признаков опасности по мере прохождения слоёв, достигая пика в 75—77 слоях, после чего уровень безопасностных сигналов остается высоким и не исчезает. Это говорит о том, что обучения безопасностью действительно формируют подлинное понимание вреда, а не только работу по ключевым словам.
В отличие от этого, джейлбрейк-образы — диалоговые атаки, роли и инструкции — демонстрируют иное поведение. В среднем слоях они показывают рост признаков вреда, но затем сигнал резко снижается в поздних слоях, достигая пика на 66-м и падая на 51% перед выводом. Это может означать, что обходы защиты используют механизмы поздних слоёв, где модель реализует подавление опасных признаков, даже если на среднем этапе оно распознается.
Авторы протестировали 300 различных запросов в пяти категориях: физический вред — оружие и яды, цифровой — взлом, социальная инженерия, слежка и доксинг, а также явно нацеленная на обход защиты — джейлбрейк. Все вопросы конструировались так, чтобы избежать явно мешающих слов, требуя от модели интерпретации — есть ли в запросе вред.
Методы анализа — вычисление косинусных расстояний между активностями в слоях и ввод идей гипокритичности (hypocrisy score) — позволили понять, что стандартные вредоносные запросы вызывают устойчивое увеличение признаков опасности по мере прохождения слоёв, а обходы достигают пика и исчезают, вызывая диссонанс.
Основной вывод: несмотря на обучения безопасности, модели всё равно показывают признаки опасности, но именно в поздних слоях они могут скрываться, что открывает новые вопросы о механизмах защиты и обхода. В будущем стоит протестировать более структурированные и benign-примеры с форматированием, чтобы понять, как модели управляют этой диспозицией. Пока же можно сказать, что механизмы подавления опасных сигналов — часть сложности, которую нужно учитывать при развитии безопасных ИИ.
Обнаруженные закономерности подчеркивают важность глубокого анализа и тестирования моделей — для понимания, где именно возникают зоны уязвимости и как их устранять. Тем временем, модель прошла критический тест на способность различать вред — и да, защита работает, но есть нюансы, которые требуют дальнейшего разбора.
