SafeSpec: Fast and Safe LLM via Dynamic Reflective Sampling

📄 arXiv: 2606.19755v1 📥 PDF

作者: Haotian Xu, Zeyang Zhang, Linbao Li, Huadi Zheng, Yu Li, Cheng Zhuo

分类: cs.CR, cs.AI

发布日期: 2026-06-18


💡 一句话要点

提出SafeSpec以解决大语言模型推理安全性问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 推测推理 安全性 风险估计 反射多重采样 自然语言生成 对抗攻击

📋 核心要点

  1. 现有的推测推理方法在加速大语言模型解码时缺乏安全保障,现有安全防御措施与推测推理不兼容。
  2. SafeSpec框架通过在验证过程中集成风险估计,利用轻量级潜在安全头评估生成的安全性和有效性。
  3. 在Qwen3-32B模型上,SafeSpec将攻击成功率降低了15%,同时在正常工作负载下实现了2.06倍的推理加速。

📝 摘要(中文)

论文提出了一种名为SafeSpec的安全感知推理框架,旨在解决现有推理方法在加速大语言模型解码时缺乏安全保障的问题。现有的安全防御措施与推测推理不兼容,通常会引入额外计算或破坏草稿-验证机制。SafeSpec通过在验证过程中直接集成风险估计,利用轻量级的潜在安全头来评估语义有效性和安全性。当检测到不安全的生成时,SafeSpec采用回滚和安全引导的反射多重采样来恢复安全的生成,而不是终止生成。实验结果表明,SafeSpec在多个模型和对抗基准上显著提高了安全性和效率的平衡。

🔬 方法详解

问题定义:论文要解决的问题是现有推测推理方法在加速大语言模型解码时缺乏安全保障,导致生成的不安全内容无法有效控制。现有的安全防御措施往往会引入额外的计算负担或破坏推测推理的效率。

核心思路:SafeSpec的核心思路是将风险估计直接集成到验证过程中,通过轻量级的潜在安全头来同时评估生成内容的语义有效性和安全性,从而在保持推理速度的同时增强安全性。

技术框架:SafeSpec的整体架构包括三个主要模块:潜在安全头、回滚机制和安全引导的反射多重采样。潜在安全头用于实时评估生成内容的安全性;回滚机制在检测到不安全生成时进行状态恢复;反射多重采样则用于生成安全的内容。

关键创新:SafeSpec的关键创新在于将风险评估与推测推理过程相结合,形成了一种新的安全感知推理框架。这一设计使得在推理过程中能够实时监测和调整生成内容的安全性,显著提高了安全性与效率的平衡。

关键设计:SafeSpec采用轻量级的潜在安全头,设计了特定的损失函数来优化安全性评估,同时在反射多重采样中引入了安全引导策略,以确保生成的内容在语义上有效且安全。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果显示,SafeSpec在Qwen3-32B模型上将攻击成功率降低了15%,同时在正常工作负载下实现了2.06倍的推理加速。这表明SafeSpec在安全性和推理效率之间达成了显著的平衡,展示了其在实际应用中的有效性。

🎯 应用场景

SafeSpec框架具有广泛的应用潜力,特别是在需要高效且安全的自然语言生成任务中,如对话系统、内容创作和自动翻译等领域。通过提升生成内容的安全性,SafeSpec能够有效减少潜在的安全风险,增强用户信任,推动相关技术的实际应用和发展。

📄 摘要(原文)

Speculative inference accelerates large language model (LLM) decoding but provides no inherent safety guarantees. Existing safety defenses are largely incompatible with speculative inference: they either introduce additional computation or disrupt the draft-verify mechanism, negating acceleration benefits. This reveals a fundamental incompatibility between current safety methods and speculative decoding. We propose SafeSpec, a safety-aware speculative inference framework that integrates risk estimation directly into the verification process. SafeSpec attaches a lightweight latent safety head to the target model to jointly evaluate semantic validity and safety in a single forward pass. When unsafe generations are detected, SafeSpec applies rollback and safety-guided reflective multi-sampling to recover safe continuations rather than terminating generation. We model jailbreak attacks as distributional shifts over generative trajectories, where adversarial prompts increase the probability of harmful continuations without eliminating safe ones. Under this model, SafeSpec performs risk-aware trajectory recovery within the speculative decoding process. Across multiple models and adversarial benchmarks, SafeSpec achieves a substantially improved safety-efficiency trade-off. On Qwen3-32B, SafeSpec reduces attack success rates by 15% while preserving a 2.06x inference speedup on benign workloads, demonstrating that speculative acceleration and inference-time safety can be jointly optimized.