AI模型的双用途知识开关

当前AI模型本质上是大型知识库,其中包含大量双用途知识——比如网络安全知识既能用于修补漏洞,也能用于攻击;病毒学知识既能帮助研发疫苗,也能被恶意利用制造病原体。现有的安全措施,比如拒绝训练和输入输出分类器,只阻挡了有害输出,但没有改变模型内部存储的知识。一个足够坚定的攻击者仍然可以通过越狱绕过这些防御,直接访问底层的双用途知识。我们需要更精细的控制:既能限制危险能力,又允许可信用户使用,还不影响模型的其他性能。

GRAM(Gradient-Routed Auxiliary Modules)的核心思路是在Transformer的每一层添加额外的神经元,这些神经元被分成多个组(模块),每个模块对应一个双用途类别。训练时,当模型遇到通用文本,它正常学习;但当遇到双用途类别文本(比如病毒学),规则变了:模型可以使用通用知识进行预测,但只有对应的病毒学模块被允许学习该文本,通用权重被暂时冻结。结果是病毒学知识只积累在病毒学模块中,而不是扩散到整个网络。训练完成后,直接删除该模块,对应的能力就消失了——就像从未训练过一样。如果需要在可信环境中使用这个能力,保留模块即可。一个训练周期可以生成多种配置(比如四个双用途类别可组合出16种开关状态),而传统数据过滤需要训练多个模型,成本极高。

这是早期研究,但很有价值。它提供了一种比现有方法更稳健的访问控制路径:不是靠挡住输出,而是直接控制模型知道什么。在测试中,GRAM在多个规模下(从50M到5B参数)都达到了与数据过滤同等的效果,且删除模块后通用性能没有下降。更重要的是,它抵抗了攻击者通过少量微调恢复知识的能力,而传统的“遗忘”方法很容易被恢复。当然,局限性也很明显:未在真实生产环境中测试,且某些双用途知识可能与通用知识纠缠过深,无法干净分离。但这条路提示我们,未来可能不需要训练多个昂贵的模型,而是通过可插拔的知识模块来实现更精细、更经济的安全控制。

An off switch for dual use knowledge in AI models

查看原文