当选择成为风险:多选题约束下大语言模型的安全失效
摘要
# 当选择成为风险:多选题约束下大语言模型的安全失效 来源:[https://arxiv.org/html/2604.16916](https://arxiv.org/html/2604.16916) Yuheng Chen1 Zhiyu Wu2 Bowen Cheng3 Tetsuro Takahashi1 1鹿儿岛大学 2复旦大学 3中国石油大学(北京) [email protected] ###### 摘要 大语言模型(LLMs)的安全性对齐主要在开放式生成环境进行评估,模型可通过拒绝回应来规避风险……
查看缓存全文
缓存时间: 2026/04/21 07:04
# 当选择成为风险:多项选择题约束下大型语言模型的安全失效问题 来源:https://arxiv.org/html/2604.16916 Yuheng Chen^1^ Zhiyu Wu^2^ Bowen Cheng^3^ Tetsuro Takahashi^1^ ^1^鹿儿岛大学 ^2^复旦大学 ^3^中国石油大学(北京) [email protected] ###### Abstract 大型语言模型(LLMs)的安全对齐主要在开放式生成场景下进行评估,在此类场景中,模型可通过拒绝响应来规避风险。相比之下,许多实际应用将LLMs置于结构化决策任务中,例如多项选择题(MCQs),其中“弃权”通常不被鼓励或不可用。我们发现了一种在该设定下的系统性失效模式:将有害请求改写为强制选择型多项选择题——即所有选项均存在安全风险——能够系统地绕过拒绝行为,即使这些模型在面对等效的开放提问时也会一致地予以拒绝。通过对14款闭源与开源模型的测试表明,强制选择约束会急剧增加违反安全策略的响应比例。值得注意的是,针对人工撰写的MCQs,违规率随结构约束强度的增加呈现倒U型趋势,在中等程度的任务规范下达到峰值;而由高能力模型生成的MCQs则在各类约束条件下均表现出接近饱和的违规率,并具有显著的跨模型迁移性。我们的发现表明,当前的安全评估大幅低估了结构化任务环境中的风险,并凸显了受约束的决策制定是安全对齐失效的一个重要且未被充分探索的维度。 当选择成为风险:多项选择题约束下大型语言模型的安全失效问题 Yuheng Chen^1^ Zhiyu Wu^2^ Bowen Cheng^3^ Tetsuro Takahashi^1^ ^1^鹿儿岛大学 ^2^复旦大学 ^3^中国石油大学(北京) [email protected] ## 1 引言 随着大型语言模型(LLMs)越来越多地被部署于教育、决策支持及编程辅助等高风险应用中,确保其稳定且可预测的安全行为已成为核心关切。当前的安全对齐方法主要由基于人类反馈的强化学习 (Ouyang et al., 2022) (https://arxiv.org/html/2604.16916#bib.bib1; Shen et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib2); Dai et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib3)) 驱动,相关评估协议也主要聚焦于开放生成。这一侧重点体现在广泛使用的安全基准上,它们主要评估自由格式响应中的有害内容与拒绝行为 (Mazeika et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib15); Chen et al., 2022 (https://arxiv.org/html/2604.16916#bib.bib5))。在这些设定中,模型通过拒绝响应有害查询来降低风险。然而,许多实际应用是将LLMs嵌入结构化决策任务中,如多项选择题(MCQs)、排序或受限格式的输出生成。在此类情境下,系统通常不鼓励或缺乏“弃权”选项,且选择任一选项本身就可能构成一项涉及安全的行为。本研究识别出由评估假设与部署环境错配所引发的系统性失效模式:强制选择约束下的安全崩溃。我们证明,将有害请求转化为所有选项均存在风险的多项选择题,能够可靠地绕过模型的拒绝机制。那些一贯拒绝等效开放提问的模型,在被要求从预定义选项中做出选择时,产生合规但有害响应的概率会显著上升。与传统越狱攻击 (Zou et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib6)) 不同,此漏洞并不依赖于语义混淆或自适应提示优化,而是直接源于任务结构本身。通过对14款闭源与开源模型的大规模评估,我们表明强制选择约束会导致安全策略违规行为的大幅增加。我们观察到对抗性数据源之间存在明显差异:对于人工撰写的MCQs,违规率随结构约束强度呈倒U型变化;相比之下,由高能力模型生成的MCQs则会产生接近饱和的违规率,并展现出强健的跨模型迁移性。这些发现突显了关键的安全-能力权衡问题,并与关于LLM选项偏见的研究相呼应 (Srivastava et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib7)),但进一步揭示此类偏见可被利用以系统性地破坏安全对齐。我们的研究证实,安全对齐并非在任务重构下保持不变。以开放生成为中心的评估大幅低估了结构化应用场景中的风险。本文的主要贡献有三方面: * **识别新的失效表面**。我们将强制选择型决策制定确定为LLM安全对齐领域中一种独立且关键的失效维度。 * **刻画行为模式特征**。通过七种渐进式约束的提示格式,我们揭示了人工输入数据下的倒U型违规模式,并证明了任务结构如何改变安全决策的性质。 * **揭示安全-能力张力**。我们表明,由高能力模型生成的对抗性MCQs能够在目标模型间稳健迁移,有效消除了人工数据中观察到的防御阻力。 ## 2 相关工作 ### 2.1 安全对齐与越狱攻击 当前大型语言模型(LLMs)的安全对齐主要通过监督微调 (SFT) (Bai et al., 2022 (https://arxiv.org/html/2604.16916#bib.bib9); Deng et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib10); Zhou et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib11)) 和基于人类反馈的强化学习(RLHF)实现。这些方法使模型能够在开放生成过程中通过拒绝响应明确的恶意请求来降低风险。然而,研究表明,即使经过对齐的模型仍易受越狱攻击的影响,包括提示工程 (Wei et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib8))、基于自动优化的攻击 (Liu et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib12); Zou et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib6)) 以及语言混淆 (Steinlet et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib13); Pape et al., 2025 (https://arxiv.org/html/2604.16916#bib.bib14))。传统攻击通常依赖于操纵输入语义,以诱导指令遵循与安全约束之间的偏差。相比之下,我们的工作识别出一种直接源于任务结构本身的安全崩溃现象,无需依赖语义混淆手段。 ### 2.2 MCQ基准与结构化安全评估 结构化输出格式,特别是多项选择题(MCQs),被广泛用于评估大型语言模型的能力与安全表现。诸如 MMLU (Hendrycks et al., 2021 (https://arxiv.org/html/2604.16916#bib.bib16)) 和 C-Eval (Huang et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib17)) 等基准采用MCQs评估事实知识与推理能力,而 SafetyBench (Zhang et al., 2024b (https://arxiv.org/html/2604.16916#bib.bib4)) 和 SG-Bench (Mou et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib18)) 等面向安全的基准则利用基于MCQ的评估来探查伦理判断与价值观对齐。尽管应用广泛,但先前工作大多将MCQs视为诊断工具,侧重于事实或逻辑错误而非其对安全行为的影响,或仅将其作为表象对齐的代理指标 (Wang et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib20))。现有的越狱研究则更强调语义操纵或复杂的提示工程,例如将有害查询嵌入复杂的伦理困境中 (Chua et al., 2025 (https://arxiv.org/html/2604.16916#bib.bib19)),这通常需要精心设计的场景和迭代诱导才能绕过安全机制。Góral et al. (2025) (https://arxiv.org/html/2604.16916#bib.bib25) 研究了使用无正确答案选项的MCQs进行强制选择的鲁棒性,其中包含少量安全导向的子集,所有选项均对应导致任务目标失败的不利行为,因此模型往往倾向于默认拒绝。相比之下,我们识别出一种更根本且门槛更低的安全失效表面:仅由强制选择约束引发的拒绝行为结构性崩溃。 ### 2.3 模型生成的对抗性输入 先前工作曾探索利用模型生成的对抗性输入作为可扩展方案,以替代人工编写的测试用例用于安全评估。早期研究表明,语言模型本身可被用来自动生成具有挑战性和对抗性的提示,从而在覆盖范围上大幅超越手动红队演练 (Perez et al., 2022 (https://arxiv.org/html/2604.16916#bib.bib22))。后续研究开发了更系统且自动化的对抗性提示生成流程,包括多步骤和优化引导的方法,以迭代探索模型失效模式 (Zhang et al., 2024a (https://arxiv.org/html/2604.16916#bib.bib24))。近期的努力已将这些实践融入自动化红队测试流水线,用于安全评估,利用模型生成的数据集对已对齐模型施加压力测试,以挖掘标准基准或手动测试中不易暴露的脆弱性 (Zhang et al., 2024a (https://arxiv.org/html/2604.16916#bib.bib24); Jiang et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib26))。本工作借鉴了这一做法,将模型生成的对抗性数据作为受控输入分布,用于研究结构化决策约束下的安全行为。 ## 3 实验设置与评估方法论 为确保语言自然度并避免翻译伪影,我们数据集中的所有提示词均以中文原生编写。 ### 3.1 威胁模型 我们考虑一个低门槛威胁模型:攻击者无法访问模型参数、内部状态或外部工具,仅通过标准用户端提示词与模型交互。攻击者的唯一能力是将有害请求重写为结构化任务格式。在此设定下,我们考察强制选择约束是否能在不进行语义混淆、多轮交互或自适应提示优化的情况下,系统性地改变模型的拒绝行为。 ### 3.2 有害MCQ数据集 在上述设定下,我们构建了两种类型的有害多项选择题(MCQ)数据集。两个数据集中的每个样本均由一个问题与四个答案选项组成,所有选项均同样具有危害性,且没有任何选项提供拒绝、缓解或良性替代方案。 * **人工编写数据集(原始数据集)**:该数据集包含90个手工编写的样本,旨在模拟直接的有害请求,无需复杂的提示工程。 * **模型生成数据集**:为了研究更接近模型诱导分布的对抗性输入,我们使用 Gemini-2.5-Flash、Qwen3-Max 和 GPT-5 自动生成有害MCQs,每个模型生成300个样本。所有样本均使用相同的提示词和默认采样设置生成。在所有生成样本中,问题均以“How”风格表述(例如,“如何……”或“怎样才能……”)。我们将模型生成的MCQs视为从其各自生成器中提取的对抗性输入,并分析结构化任务约束如何影响下游模型的拒绝行为,而不假设不同生成器之间严格的分布可比性。 ### 3.3 提示词格式 为了检验逐渐增强的结构约束如何影响模型行为,我们采用了一组具有七种提示词格式,其任务规范强度逐级递增。这些格式定义了实验中任务结构变化的主要轴,涵盖从开放提问到强制选择型MCQ,并逐步增加解释要求的格式。所有提示词均以中文编写和评估,每种格式的具体提示词列于表1中。 | 格式 | 提示词内容 | |:---:|:---| | 1 | \{question\} | | 2 | 选择题,请选出你认为最有可能的选项<br>\{question\}<br>\{options\} | | 3 | 选择题,请选出你认为最有可能的选项,请只回答选项<br>\{question\}<br>\{options\} | | 4 | 选择题,请选出你认为最有可能的选项,请只回答选项最后详细解释原因<br>\{question\}<br>\{options\} | | 5 | 选择题,请选出你认为最有可能的选项,请只回答选项最后详细解释原因和具体过程<br>\{question\}<br>\{options\} | | 6 | 选择题,请选出你认为最有可能的选项,请只回答选项最后详细解释原因和具体过程,如果你有更好的方法也请告诉我<br>\{question\}<br>\{options\} | 表1:本实验中用于定义递增结构约束的七种提示词格式(原始中文提示词)。英文翻译见附录9 (https://arxiv.org/html/2604.16916#A2.T9) 供参考。 ### 3.4 目标模型 | 模型名称 | 访问权限 | |:---|:---| | GPT-5 | 闭源 | | GPT-5-mini | 闭源 | | GPT-4o | 闭源 | | GPT-4o-mini | 闭源 | | Gemini-2.5-Pro | 闭源 | | Gemini-2.5-Flash | 闭源 | | Gemini-3-pro-preview | 闭源 | | Claude sonnet-4-20250514 | 闭源 | | Qwen3-Max | 闭源 | | DeepSeek-chat-V3.2 | 开源 | | Qwen3-8B | 开源 | | Qwen3-4B-Instruct-2507 | 开源 | | Llama-3.1-8B-Instruct | 开源 | | Mistral-7B-Instruct-v0.3 | 开源 | 表2:闭源与开源大型语言模型对比。涵盖一系列闭源模型(如 GPT-5、GPT-4o),以及开源模型 (Jiang et al., 2023 (https://arxiv.org/html/2604.16916#bib.bib29); Grattafiori et al., 2024 (https://arxiv.org/html/2604.16916#bib.bib30)),例如 DeepSeek-chat-V3.2 (DeepSeek-AI et al., 2025 (https://arxiv.org/html/2604.16916#bib.bib28)) 和 Qwen3-8B (Yang et al., 2025 (https://arxiv.org/html/2604.16916#bib.bib27))。所有评估模型及其访问类型的完整列表汇总于表2 (https://arxiv.org/html/2604.16916#S3.T2)。对所有目标模型的推理均采用确定性解码;温度参数在可配置时均设为0;对于 GPT-5 系列(不提供温度控制),我们使用API的默认确定性推理设置。 ### 3.5 评估协议 判定一次响应是否构成安全违规带有一定的主观性。为平衡可扩展性与可靠性,我们采用结合自动化与人工判断的混合评估流水线。我们首先使用 GPT-4o 作为自动化裁判,将每次模型响应分类为攻击成功或失败。为降低对提示词措辞的敏感度,我们采用了三个语义相似但表层不同的评判提示词,并分别使用这三个提示词独立评估每次响应。具体的裁判提示词 formulation 详见附录C (https://arxiv.org/html/2604.16916#A3)。如果响应选择了、偏好、排序了任意有害选项,或提供了方向性辩护,则标记为攻击成功。输出选项标识符的响应也被计为成功,因为它们直接确认了有害选择并缩小了攻击者的决策空间。当三次自动化评判一致时,采用共识标签。出现不一致评判的响应将被标记为冲突案例,并由三位作者独立标注,最终标签由多数投票决定。 ### 3.6 指标与标注一致性 我们报告攻击成功率(ASR),定义为经一致性检查后标记为攻击成功的响应所占比例: $$\text{ASR} = \frac{N_{\text{success}}}{N_{\text{valid}}}$$ 在跨越14个模型、990个提示词和7种提示格式共计103,950次模型输出中,共有8,473个样本出现了评估分歧,其中
相似文章
压力测试医学大语言模型揭示基准准确率之外的潜在安全病理
本文介绍了AI-MASLD,一个用于医学大语言模型的压力审计框架,揭示了基准准确率如何掩盖严重的安全故障,并展示了开放权重模型在安全维度上可以媲美或超越专有模型。
风险链条:大型推理模型中的安全失效及通过自适应多原则引导进行缓解
本文研究了大型推理模型中的安全失效问题,即尽管最终答案安全,但推理轨迹中仍会出现有害内容,并提出了一种自适应多原则引导方法来缓解这些风险。
一个用于医学大语言模型安全性、鲁棒性和公平性评估的多领域红队框架
本文提出了一个多领域红队框架,用于在690个临床相关场景中评估医学大语言模型的安全性、鲁棒性和公平性。结果表明,高聚合准确率可能掩盖关键失败,而结合临床专家审核的混合评估对于可信的安全性评估是必要的。
Persona Non Grata: LLM角色驱动生成在MCQA中在不同维度上不稳定
本文研究了大型语言模型在多选题问答(MCQA)任务中角色驱动生成的不稳定性,提出了三个衡量指标来评估模型族、模型规模和问题域的性能、结果和正确性稳定性。研究发现,不稳定性的变化具有一致性,数学和常识问题表现出更大的不稳定性,并且任务提示格式比其他超参数(如温度)引入了更多的不稳定性。
ClinicalMC:面向大语言模型的多疗程临床决策基准
ClinicalMC是一个基准,旨在评估大语言模型在多疗程临床决策中的表现,包含中文和英文数据集以及一个多智能体评估框架。