Safety Targeted Embedding Exploit via Refinement
作者: Joshua Adrian Cahyono
分类: cs.AI, cs.CL
发布日期: 2026-07-02
💡 一句话要点
提出STEER以解决多语言安全机制泛化不足问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 安全机制 多语言处理 大型语言模型 梯度攻击 低资源语言 代码切换 有害内容生成
📋 核心要点
- 现有的安全训练方法主要集中在英语,导致模型在低资源语言和混合语言环境下的安全机制泛化能力不足。
- 本文提出STEER方法,通过梯度引导攻击识别影响模型拒绝行为的关键词,并将其翻译为低资源语言以抑制拒绝。
- STEER在多个开源模型上表现优异,攻击成功率高达96.7%,显示出其在多语言环境中的有效性和广泛适用性。
📝 摘要(中文)
大型语言模型(LLMs)的安全训练主要集中在英语上,这导致其安全机制在低资源语言和混合语言代码切换中的泛化能力不确定。本文提出STEER(安全目标嵌入利用通过细化),一种基于梯度的攻击方法,识别出对模型拒绝行为贡献最大的词,并将其迭代翻译为低资源语言,以抑制拒绝行为,同时保留有害意图。在六个开源8B参数模型上,STEER在JailbreakBench和AdvBench上的攻击成功率分别达到93.0%和96.7%,超越了随机代码切换和贪婪坐标梯度(GCG)。这些发现表明,主要基于英语的安全机制不能假定能够跨多语言输入进行泛化。
🔬 方法详解
问题定义:本文旨在解决大型语言模型在低资源语言和混合语言代码切换下的安全机制泛化不足问题。现有方法主要基于英语训练,导致模型在其他语言输入时可能生成有害响应。
核心思路:STEER方法通过识别对模型拒绝行为影响最大的词,并将其翻译为低资源语言,从而抑制拒绝行为,同时保留潜在的有害意图。这样的设计旨在填补模型在多语言环境中的安全机制空白。
技术框架:STEER的整体架构包括几个主要模块:首先,利用梯度信息识别关键词;其次,进行迭代翻译以降低拒绝率;最后,评估模型在不同语言输入下的表现。
关键创新:STEER的主要创新在于其梯度引导的攻击策略,能够有效识别和利用模型的弱点,与传统的随机代码切换方法相比,具有更高的攻击成功率。
关键设计:在STEER中,关键参数包括梯度计算方法、翻译策略和迭代次数等。损失函数设计上强调对拒绝行为的抑制,同时保留有害意图,以确保攻击的有效性。整体网络结构则依赖于现有的语言模型架构,进行细化和优化。
🖼️ 关键图片
📊 实验亮点
STEER在六个开源8B参数模型上表现卓越,JailbreakBench和AdvBench的攻击成功率分别达到93.0%和96.7%。与随机代码切换和贪婪坐标梯度(GCG)相比,STEER显著提升了攻击效果。此外,该方法在GPT-4o-mini上也取得了35.5%的攻击成功率,表明其广泛适用性。
🎯 应用场景
该研究的潜在应用领域包括多语言聊天机器人、跨语言内容生成和安全审查系统。通过提升多语言环境下的安全性,能够有效减少有害内容的生成,增强用户信任,推动人工智能在全球范围内的应用。未来,随着多语言模型的普及,STEER方法可能成为安全训练的重要工具。
📄 摘要(原文)
Safety training for large language models (LLMs) is conducted predominantly in English, leaving uncertain how well safety mechanisms generalize to low-resource languages and mixed-language code-switching. We show that this creates an epistemic gap in which models confidently generate harmful responses for inputs that fall outside the distribution of their safety training. To study this phenomenon, we introduce STEER (Safety Targeted Embedding Exploit via Refinement), a gradient-guided attack that identifies words contributing most strongly to the model's refusal behavior and iteratively translates them into low-resource languages to suppress refusal while preserving harmful intent. Across six open-source 8B-parameter models, STEER achieves attack success rates of up to 93.0% on JailbreakBench and 96.7% on AdvBench, outperforming random code-switching and Greedy Coordinate Gradient (GCG). The resulting prompts also transfer to GPT-4o-mini, achieving a 35.5% attack success rate without requiring access to the target model, suggesting that the underlying weakness is not specific to a single architecture. These findings demonstrate that safety mechanisms aligned primarily on English cannot be assumed to generalize across multilingual inputs. We argue that improving multilingual safety requires broader coverage during alignment and mechanisms that explicitly detect and abstain on out-of-distribution inputs.