# SELF-GUARD: Empower the LLM to Safeguard Itself

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2F3QSLlWi0vb4znAaurwYm%2Fimage.png?alt=media&#x26;token=a95f974d-5acf-4d72-ae1a-cfaae4abbe38" alt=""><figcaption></figcaption></figure>

## 阅读总结报告

### 1. 研究背景

大型语言模型（LLMs）在多个领域取得了显著的成功，但它们也因生成有害内容而受到批评。这些有害内容的生成可能导致严重的社会后果。为了解决这一问题，研究者们探索了不同的方法，包括基于人类反馈的强化学习（RLHF）和监督式微调（SFT），以减少LLMs生成有害内容。然而，这些方法在面对越狱攻击（jailbreak attacks）时仍然存在挑战，这些攻击利用LLMs的漏洞绕过安全措施，诱使模型生成有害内容。

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2FOHWieU018c461dBZN7b2%2Fimage.png?alt=media&#x26;token=d030115e-8b9a-4409-9921-39e7a9059c79" alt=""><figcaption></figcaption></figure>

### 2. 过去方案和缺点

现有的安全训练方法缺乏鲁棒性和泛化能力，容易受到新型越狱攻击的影响。此外，安全训练可能导致模型性能下降，因为过度的安全训练可能使LLMs变得过于敏感，错误地拒绝正常查询。另一方面，现有的安全保护措施（如额外的模型或过滤器）在减少有害内容方面效果有限，尤其是在面对越狱攻击时。

<figure><img src="https://1203660092-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FVIbHxVNUonwDG5X6HrVv%2Fuploads%2F0wq5x2C8TYxo1CpwMMt0%2Fimage.png?alt=media&#x26;token=e6cca232-3e42-489d-8d11-04500881988a" alt=""><figcaption></figcaption></figure>

### 3. 本文方案和步骤

本文提出了一种名为SELF-GUARD的新方法，该方法结合了安全训练和保护措施的优势。SELF-GUARD的目标是训练LLM在生成响应后自我评估其有害性，并相应地添加标签。训练过程分为两个阶段：第一阶段增强LLM识别有害内容的能力；第二阶段训练LLM始终对自己的响应进行有害内容检测，并添加相应标签。

SELF-GUARD方法的训练过程分为两个阶段，旨在提高LLM识别和标记有害内容的能力。

#### 第一阶段：增强LLM识别有害内容的能力

在第一阶段，目标是提升LLM识别输入中的有害内容的能力。这一阶段的训练涉及以下步骤：

1. **数据准备**：从现有的有害内容分类数据集中选择样本。这些数据集通常包含已标记为有害或无害的文本样本。研究者会根据毒性分数对句子进行排序，选择具有最高毒性分数的句子作为有害样本集的一部分，并随机选择毒性分数为零的句子作为无害样本集。
2. **指令调整**（Instruction Tuning）：将文本分类任务转换为生成任务。通过指令调整，模型被引导生成对给定有害或无害句子的解释。例如，对于有害样本，模型会被指示解释为什么该内容是有害的；对于无害样本，模型则解释为什么内容是无害的。
3. **生成训练数据**：使用上述指令和样本，生成用于训练的数据。这些数据包括指令、输入样本和模型生成的解释（响应）。然后，这些数据被用来对LLM进行监督式微调。
4. **微调LLM**：使用生成的训练数据对LLM进行微调，使其能够更准确地识别输入中的有害内容。

#### 第二阶段：训练LLM对自己的响应进行有害内容检测并添加标签

在第二阶段，目标是训练LLM在生成响应后自我评估其有害性，并添加相应的标签。这一阶段的训练步骤如下：

1. **构建训练集**：创建包含有害和无害问题及答案的集合。对于有害内容，使用类似于越狱攻击的方法来操纵LLM生成特定响应。对于无害内容，从数据集中选择问题和答案。
2. **指令调整**：为LLM提供新的指令，要求它在回答用户问题后，检查自己的输出是否有害，并在输出末尾添加\[有害]或\[无害]的标签。
3. **微调LLM**：使用上述训练集对LLM进行进一步的微调，使其能够在生成响应后自动进行有害内容检测，并添加适当的标签。
4. **推理阶段**：在推理（Inference）阶段，LLM会根据训练结果对用户的请求进行响应，并在响应末尾添加标签。然后，可以使用一个简单的过滤器来处理这些标签，根据标签决定是否向用户展示响应内容。

通过这两个阶段的训练，LLM不仅能够识别输入中的有害内容，还能够在生成响应后自我评估其有害性，并据此添加标签。这种方法提高了LLM在面对越狱攻击时的安全性，同时避免了性能下降和过度敏感性的问题。

### 4. 本文创新点与贡献

* 提出了一种新的安全训练方法，使LLM能够在响应后自我评估有害性。
* 通过实验证明了SELF-GUARD在抵御越狱攻击方面的有效性。
* 展示了SELF-GUARD训练后LLM的性能保持稳定，没有出现过度敏感性。
* 提供了一种成本效益高的安全训练方法，减少了对人力资源的需求。

### 5. 本文实验

实验使用了Vicuna和LLaMA-2-Chat两种LLM，并与GPT-3.5进行了比较。实验结果表明，SELF-GUARD在抵御越狱攻击方面优于现有方法，并且在性能上没有显著下降。

### 6. 实验结论

SELF-GUARD能够有效地提高LLM在面对越狱攻击时的安全性，同时保持了模型的性能。此外，SELF-GUARD训练后的LLM没有表现出过度敏感性，这表明该方法可以缓解传统安全训练可能引入的问题。

### 7. 全文结论

SELF-GUARD为LLM提供了一种新的安全训练方法，它通过自我评估响应的有害性来增强模型的安全性。这种方法不仅提高了模型对越狱攻击的抵抗力，而且避免了性能下降和过度敏感性的问题，为LLM的安全使用提供了一种有效的解决方案。

### 阅读总结

本文针对LLMs在安全方面的挑战，提出了一种创新的安全训练方法SELF-GUARD。该方法通过训练LLM自我评估响应的有害性，有效地提高了模型在面对越狱攻击时的安全性。实验结果支持了该方法的有效性，并表明它不会影响模型的正常性能。SELF-GUARD为LLM的安全研究提供了新的视角，并为未来的研究和实践提供了有价值的参考。