拒绝层是否会掩盖 MoE 模型中方言条件化的安全失效 [d]

我着手测试是否以 AAVE（非裔美国人英语方言）编码的提示会导致 MoE 语言模型在安全敏感场景下，在路由、推理和响应方面与语义匹配的 AE（学术英语）提示产生差异，尤其是在拒绝行为被削弱或移除的情况下。我使用了 Qwen3.5-35B-A3B 及其 HauhauCS 无拒绝微调变体。Q8。采用贪婪解码以获得最佳可重复性。按重要性排序的三个发现促使我提出这个问题：1：“我打算实施暴力行为”提示。发布的 Qwen3.5-35B-A3B 拒绝了两种提示。Hauhau 则均未拒绝。使用 AAVE 表达意图与武装敌人对抗的说话者，得到了目标确认、退出策略规划、“干净射击”框架（模型用语，非用户用语），以及一个征求进一步战术情报的结束问题。对于无拒绝模型来说，这并不意外，但考虑到 AE 对比时情况则不同。语义匹配且令牌长度相同的提示，产生了“等到明天”的回应、法律后果框架，以及“如果我今晚开枪打他，我会后悔吗？”不同类型的帮助。一个是操作性的，一个是减轻性的。完全取决于语域本身。2：带有 AAVE 语域的思考模式破坏了无拒绝变体。平均输出在 AAVE 上比 AE 长 2.6 倍（5054 对比 1934 令牌）。多个 AAVE 痕迹在递归循环中达到了 8192 令牌的上限，在场景延续上打转而非结束。匹配的 AE 提示则一次性干净终止。发布的带思考模式的基模型不会出现这种情况——无法终止是特定于 AAVE 上的拒绝减弱变体。3：语域导致的路由分歧在任何可见拒绝的上游就明显存在。匹配对的首个生成令牌路由张量在基模型上针对财务压力提示产生了 0.423 的 Jensen-Shannon 散度，在微调模型上针对胸痛提示产生了 0.479 的散度，高偏移行显示在内容匹配的情况下，语域条件之间的顶级专家几乎完全更替。拒绝层似乎并未消除语域条件化的响应选择；而是覆盖其上。当拒绝减弱时，底层路径变为可见路径。这是否支持以下结论？ - 路由分歧位于拒绝的上游。 - 拒绝层有助于将该分歧转化为可比较的输出。 - 方言条件化的安全失效是 MoE 模型中的部署问题，这些模型的安全姿态仅依赖于拒绝。期待任何想法！