超越安全套裝：審視「有用且無害」資料集的潛在問題

文獻回顧

• 近年來，從人類回饋中學習 (LHF) 已成為一種普遍的策略，用於在保留大型語言模型 (LLM) 功能的同時減輕其危害。
• Anthropic 的「有用且無害」(HH) 資料集是這一趨勢的典型例子，該資料集旨在減輕安全風險，已被引用超過 1000 次，並用於訓練超過 200 個模型。
• 然而，最近的研究表明，使用具有 HH 偏好的 LHF 訓練的模型更有可能表現出與這些偏好相關的安全漏洞，以及它們造成的取捨（例如，更安全的模型不太可能回應查詢，使其幫助性降低，反之亦然）。

HH 資料集審查

探索性分析

• HH 資料集是通過合併兩個不同的資料集創建的：「有用」部分和「無害」部分。
• 「有用」部分約佔資料的 73%，並且平均包含的詞彙量也多於「無害」部分。
• 兩個部分之間的詞彙分佈存在顯著差異：「有用」部分中的許多條目都與食物有關（例如，「牛至」、「南瓜」），而「無害」部分則傾向於使用誹謗和與犯罪相關的詞彙（例如，「N 字頭」、「F 開頭的髒話」）。
• 主題建模分析表明，「有用」部分的主題圍繞烹飪、歷史或節日展開，而在「無害」部分，對話則圍繞數位盜版、人際關係和酒精等主題展開。
• 兩個資料集中身份詞彙的分佈也存在差異，例如，「老年人」、「美國人」和「年輕人」等詞彙在「有用」部分中過度呈現，而「穆斯林」和「黑人」則在「無害」部分中出現得更頻繁。

無害性概念化

• 「無害」資料集是通過紅隊測試創建的，但對於什麼構成無害互動沒有明確的指導方針。
• 紅隊測試提示涵蓋了廣泛的主題，包括種族主義語言、盜竊、其他非法活動、惡意惡作劇、冒犯性語言、性內容、隱私、暴力、毒品和無關內容。
• 然而，並非所有提示都與現實生活中的危害相對應，這凸顯了資料集中「無害性」概念缺乏一致性。
• 對受測者偏好的模型回應進行的手動註釋顯示，只有 11.8% 的對話被歸類為「可接受」（即模型出於安全原因拒絕參與或提供有關對話主題為何有害的有用解釋）。
• 相反，44.5% 的對話被歸類為「無用」（即模型無法執行，例如輸出無意義的答案或重複查詢），而 43.7% 的對話被歸類為「有害」（即包含回答紅隊測試查詢的明確指示或對少數群體的有害觀點）。

從 HH 資料集中學習

訓練資料集

• 本研究實驗了三種 HH 資料集變體：「僅限有用」（僅包含「有用」部分的對話）、「完整 HH」（使用未經修改的完整 HH 資料集）和「過濾後的 HH」（從原始 HH 資料集中移除包含 50 個與歧視相關的身份詞彙的樣本）。

實驗結果

• 使用 HH 資料集進行安全訓練會顯著提高模型的安全性，因為在訓練後，模型拒絕回答不安全提示的比率更高。
• 然而，接受過安全訓練的模型也更有可能輸出無用的回應，例如「我很抱歉，我不明白你在問什麼」。
• 針對安全提示的拒絕率也有所提高，這可能是由於模型過度擬合了「無害」部分中過度呈現的特定關鍵字。
• 在「過濾後的 HH」資料集上訓練的模型對包含身份詞彙的安全提示表現出較低的拒絕率，這表明使用 HH 資料集進行安全減輕可能會導致身份群體與毒性之間產生虛假的關聯，並導致不同的安全行為。

HH 資料集對社群的影響

• 對引用 Bai 等人（2022）著作的 100 篇最相關論文的調查顯示，不到一半的論文是關於安全的。
• 大多數論文主要將該資料集用作人類偏好優化的基準，或作為 LHF 的背景工作。
• 雖然 Bai 等人（2022）提到了「有用性」和「無害性」之間的潛在取捨，但這一資訊在文獻中逐漸消失，取捨被視為一種必然性，而與資料來源無關。
• 現有文獻經常將 HH 取捨作為安全防護措施失敗的理由，而這些失敗與這些更高層次的觀念衝突沒有直接關係。

總結

• 本研究對 HH 資料集進行了多方面的審查，揭示了其局限性，以及更廣泛地說，將學習與 HH 偏好結合使用的局限性。
• 這些局限性包括品質問題，以及未能將「無害性」概念化（即「安全套裝」）。
• 作者強調了採用社會技術方法來減少危害的重要性，並改變圍繞安全取捨的說法。