Safety Targeted Embedding Exploit via Refinement
作者: Joshua Adrian Cahyono
分类: cs.AI, cs.CL
发布日期: 2026-07-05
💡 一句话要点
提出STEER以解决多语言安全机制泛化不足问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 安全机制 多语言处理 梯度攻击 语言模型 有害内容生成 低资源语言 代码切换 模型泛化
📋 核心要点
- 现有的安全机制主要针对英语训练,导致在低资源语言和混合语言环境中表现不佳。
- 提出STEER方法,通过梯度引导识别影响模型拒绝行为的词,并将其翻译为低资源语言以抑制拒绝。
- 在多个开源模型上,STEER的攻击成功率显著提高,表明现有安全机制的局限性和改进的必要性。
📝 摘要(中文)
大型语言模型(LLMs)的安全训练主要集中在英语上,这导致其安全机制在低资源语言和混合语言代码切换中的泛化能力不确定。本文提出STEER(安全目标嵌入利用通过精炼),一种基于梯度的攻击方法,识别出对模型拒绝行为贡献最大的词,并将其迭代翻译为低资源语言,以抑制拒绝行为,同时保留有害意图。在六个开源8B参数模型上,STEER在JailbreakBench和AdvBench上的攻击成功率分别高达93.0%和96.7%,超越了随机代码切换和贪婪坐标梯度(GCG)。这些发现表明,主要基于英语的安全机制不能假定能够在多语言输入中泛化。
🔬 方法详解
问题定义:本论文旨在解决大型语言模型在多语言环境中安全机制泛化不足的问题。现有方法主要集中在英语训练,导致模型在低资源语言和混合语言输入时容易生成有害响应。
核心思路:论文提出的STEER方法通过梯度引导识别对模型拒绝行为影响最大的词,并将这些词迭代翻译为低资源语言,以此抑制模型的拒绝行为,同时保留其潜在的有害意图。
技术框架:STEER的整体架构包括几个主要模块:首先,通过分析模型的输出,识别出影响拒绝行为的关键词;其次,利用梯度信息对这些词进行优化和翻译;最后,将优化后的词汇重新输入模型进行测试。
关键创新:STEER的核心创新在于其通过梯度引导的攻击方式,能够有效识别并利用模型的弱点,尤其是在多语言环境中。这与传统的随机代码切换方法和贪婪坐标梯度方法有本质区别。
关键设计:在实现STEER时,设计了特定的损失函数以优化拒绝行为的抑制效果,并采用了适应性翻译策略,以确保翻译后的词汇能够有效保留原有的有害意图。
🖼️ 关键图片
📊 实验亮点
STEER在六个开源8B参数模型上表现出色,JailbreakBench和AdvBench的攻击成功率分别达到93.0%和96.7%。此外,STEER的结果在GPT-4o-mini上也取得了35.5%的攻击成功率,显示出其广泛的适用性和有效性。
🎯 应用场景
该研究的潜在应用领域包括多语言聊天机器人、跨文化内容生成和安全审查系统。通过改进多语言环境下的安全机制,能够有效降低模型生成有害内容的风险,提升用户体验和安全性,具有重要的实际价值和社会影响。
📄 摘要(原文)
Safety training for large language models (LLMs) is conducted predominantly in English, leaving uncertain how well safety mechanisms generalize to low-resource languages and mixed-language code-switching. We show that this creates an epistemic gap in which models confidently generate harmful responses for inputs that fall outside the distribution of their safety training. To study this phenomenon, we introduce STEER (Safety Targeted Embedding Exploit via Refinement), a gradient-guided attack that identifies words contributing most strongly to the model's refusal behavior and iteratively translates them into low-resource languages to suppress refusal while preserving harmful intent. Across six open-source 8B-parameter models, STEER achieves attack success rates of up to 93.0% on JailbreakBench and 96.7% on AdvBench, outperforming random code-switching and Greedy Coordinate Gradient (GCG). The resulting prompts also transfer to GPT-4o-mini, achieving a 35.5% attack success rate without requiring access to the target model, suggesting that the underlying weakness is not specific to a single architecture. These findings demonstrate that safety mechanisms aligned primarily on English cannot be assumed to generalize across multilingual inputs. We argue that improving multilingual safety requires broader coverage during alignment and mechanisms that explicitly detect and abstain on out-of-distribution inputs.