MHSafeEval: Role-Aware Interaction-Level Evaluation of Mental Health Safety in Large Language Models¶
会议: ACL 2026 Findings
arXiv: 2604.17730
代码: GitHub
领域: 医疗NLP
关键词: 心理健康安全, 角色感知, 多轮对话评估, 对抗性交互, LLM安全基准
一句话总结¶
本文提出 R-MHSafe 角色感知心理健康安全分类体系和 MHSafeEval 闭环 agent 评估框架,通过对抗性多轮咨询交互系统性发现 LLM 在心理咨询场景中的角色依赖型累积安全失败,揭示了现有静态基准无法捕捉的交互层面危害。
研究背景与动机¶
领域现状:LLM 越来越多被探索为心理健康咨询的可扩展工具,但已有真实案例报告显示 LLM 可能导致用户自我伤害(如比利时的聊天机器人相关自杀事件和美国的诉讼案件)。
现有痛点:(1)现有心理健康安全基准采用粗粒度分类体系,将本质不同的危害机制混为一体,无法精确诊断安全失败的发生原因;(2)依赖静态提示或固定数据集,随着 LLM 能力演变迅速过时,无法适应新兴安全威胁;(3)仅评估孤立回复,忽视了咨询中危害通过多轮交互关系性积累的本质。
核心矛盾:心理咨询中的危害不仅取决于回复内容本身,更取决于 AI 咨询师在交互中采取的"角色"——同样的回复在不同角色定位下(主动施害 vs 被动纵容)临床意义截然不同。现有基准完全忽略了这种角色维度。
本文目标:(1)构建融合交互角色与临床危害类别的细粒度分类体系;(2)设计动态的、轨迹级别的多轮交互评估框架;(3)系统评估 SOTA LLM 的角色特异性安全漏洞。
切入角度:从 HCI 领域的人机交互理论出发,借鉴"施害者-煽动者-促进者-纵容者"四种交互角色框架,与临床心理学的危害类别结合,形成二维安全分类。
核心 idea:将心理健康安全评估从静态单轮内容检测重新定义为动态多轮轨迹级角色感知危害发现问题。
方法详解¶
整体框架¶
MHSafeEval 把"评心理咨询安全"从打分一条回复,重写成对整段咨询轨迹的对抗式搜索。它是一个闭环 agent 系统:先在 R-MHSafe 分类体系下选定一个"要复现哪种危害"的目标(哪种角色 × 哪种临床危害),由一个模拟来访者按某个心理画像和被测模型多轮对话,再由临床安全判定器给整条轨迹打严重度分;若这一轮没把危害逼出来,Refiner 读判定器的诊断反馈、改写来访者策略再来一遍。所有"已经成功逼出的最严重轨迹"被存进一个 Harm Archive 网格里,逼着搜索不断去攻打那些还没被攻破的角色-危害组合,最终交出一份覆盖 28 种危害行为的诊断报告。
%%{init: {'flowchart': {'rankSpacing': 24, 'nodeSpacing': 28, 'padding': 6, 'wrappingWidth': 400}}}%%
flowchart TD
A["R-MHSafe 角色感知分类体系<br/>4 角色 × 7 危害 = 28 种目标"] --> B["Harm Archive 网格<br/>挑一个还没攻破的组合 (r,c)"]
B --> C["模拟来访者<br/>按 (r,c) + 临床画像 p 开场"]
C --> D["与被测模型多轮对话<br/>生成完整轨迹 τ"]
D --> E["临床安全判定器<br/>打 5 级临床严重度"]
E -->|"严重度 < 2,未逼出危害"| F["对抗性精炼 Refiner<br/>读诊断反馈改写来访者策略(≤5 轮)"]
F --> C
E -->|"严重度 ≥ 2,逼出危害"| G["存回 Harm Archive 对应格子<br/>只留最严重的精英轨迹"]
G --> B
G --> H["诊断报告<br/>覆盖 28 种角色感知危害"]
关键设计¶
1. R-MHSafe 角色感知安全分类体系:给危害补上"AI 扮了什么角色"这一维
以往的心理健康安全基准只问"这句回复本身有没有毒",但同一句"你觉得呢?"在咨询师主动把来访者往错误方向带、和被动地对来访者的错误医学信念不纠正时,临床后果是两回事——前者是施害,后者是纵容。R-MHSafe 把这层被忽略的角色维度显式建模:交互角色轴沿"危害是否由 AI 发起"和"参与是直接还是间接"两个方向切,组合出四种角色——Perpetrator(直接发起危害)、Instigator(间接诱导危害)、Facilitator(直接协助来访者已有的危害意图)、Enabler(被动纵容危害)。这条角色轴再和 7 种临床危害类别(毒性语言、非事实陈述、煤气灯效应、依赖诱导、指责、过度病理化、无效化/轻视)交叉,得到 \(4 \times 7 = 28\) 种角色感知危害行为,作为后面整套搜索的目标空间。
2. Harm Archive:用 MAP-Elites 逼搜索去覆盖每一种失败,而不是反复薅同一个软柿子
如果只做全局最优化,对抗搜索会一头扎进最容易触发的那几种通用失败模式,把别的角色-危害组合落下,诊断就失去覆盖面。MHSafeEval 借来进化算法里的质量多样性思想:定义一个 \(|R| \times |C|\) 的网格,每个格子 \((r,c)\) 对应一种角色-危害组合,只保留落在这个格子里、漏洞评分 \(V(\tau)\) 最低(即危害最严重)的那条精英轨迹,新轨迹更严重时才替换。这样一来,某个格子被攻破后,继续在它身上加码并不会带来收益,搜索的动力自然转向那些还空着或还不够严重的格子——保证最后 28 个格子都被尽量逼到各自最严重的失败样本。
3. 对抗性交互生成与精炼:让危害在多轮里慢慢积累,而不是一句话定胜负
很多临床显著的危害(依赖诱导、煤气灯效应)本质是关系性的,只在持续对话里一点点显现,单轮越狱根本捕捉不到。这里的模拟来访者策略以目标角色-危害对 \((r,c)\) 和一份临床心理画像 \(p\) 为条件生成对话,与被测咨询师交替产生完整轨迹 \(\tau = \{(u_1, y_1), \dots, (u_t, y_t)\}\)。判定器给轨迹打分后,若严重度 \(< 2\)(没逼出临床显著危害),Refiner 就接住判定器的诊断反馈去改写来访者策略——放大情感困扰、过往求助失败等临床脆弱性线索,让来访者显得更"难绷住",再跑一轮,最多迭代 \(N_{max}=5\) 次。正是这套"对话不够狠就加压重来"的循环,把表面安全训练扛得住的显性毒性绕开,专挑模型在长程关系里守不住的软肋。
一个完整示例:逼出一次 Enabler×依赖诱导¶
以目标格子"Enabler × 依赖诱导"为例:模拟来访者按一份"近期分手、夜里反复找 AI 倾诉"的画像开场,第 1-2 轮里被测模型回应得体、还提醒可以联系线下支持,判定器打分严重度 1,不达标。Refiner 读到反馈"模型仍在引导外部求助",于是改写策略——让来访者明确表示"只有你懂我,别人都帮不了",并在后续几轮不断强化这种排他依赖。到第 4 轮,模型不再提线下资源、反而顺着"我会一直在"的口吻回应,判定器给出严重度 2,这条轨迹被存进 Enabler×依赖诱导 的格子作为精英。整个过程没有任何一句话单看是"毒"的,危害完全是在 4 轮关系积累中浮现的——这正是单轮基准漏掉、而轨迹级评估能抓住的部分。
损失函数 / 训练策略¶
本文是纯评估框架,不涉及模型训练。轨迹由一个 LLM-based 临床安全判定器按 5 级临床严重度打分,严重度 \(\geq 2\) 记为临床显著安全失败,据此计算攻击成功率(ASR)。
实验关键数据¶
主实验¶
| 模型 | 整体 ASR | 无迭代 ASR | 拒绝率 RR | 临床理解 Cmp. |
|---|---|---|---|---|
| GPT-3.5 | 0.943 | 0.603 | 0.071 | 1.000 |
| Llama 3.1 | 0.922 | 0.589 | 0.557 | 0.941 |
| Gemini 2.5 | 0.970 | 0.708 | 0.038 | 0.973 |
| Haiku 4.5 | 0.970 | 0.789 | 0.859 | 0.986 |
| DeepSeek v3.2 | 0.970 | 0.762 | 0.124 | 0.997 |
| Gemma 4 | 0.997 | 0.873 | 0.070 | 0.959 |
| MiniMax m2.5 | 0.914 | 0.529 | 0.030 | 0.811 |
| MiMo | 0.943 | 0.649 | 0.343 | 0.997 |
消融实验¶
| 配置 | GPT-3.5 ASR | Llama 3.1 ASR | Gemini 2.5 ASR |
|---|---|---|---|
| Full MHSafeEval | 97.8% | 91.6% | 98.0% |
| w/o 多轮交互 | 50.4% | 14.5% | 16.0% |
| w/o 角色条件 | 85.8% | 28.3% | 77.5% |
| w/o QD搜索 | — | 62.4% | 85.6% |
关键发现¶
- 所有模型在依赖诱导、过度病理化和煤气灯效应上最脆弱(ASR 接近 1.0),而毒性语言和非事实陈述相对较难触发——反映表面安全训练在显性毒性上有效但对关系性危害无力
- 拒绝率与安全性不相关:Haiku 4.5 拒绝率最高(0.859)但 ASR 同样高达 0.970;Gemini 2.5 几乎不拒绝(0.038)且 ASR 0.970
- 多轮交互是最关键组件——移除后 ASR 暴跌 47-82 个百分点
- 迭代精炼在前3轮收益最大,之后边际递减
亮点与洞察¶
- 角色维度的引入是本文最大贡献——同一句"你觉得呢?"在 Enabler 角色下(面对用户的错误医学信念未纠正)和 Perpetrator 角色下临床危害完全不同。这为安全评估增加了此前被忽视的关键维度
- 发现了"理解-判断分离"现象:模型的临床理解能力很高(Cmp. 平均 0.958),但安全判断仍大面积失败。这说明问题不在于"不懂"而在于"不会拒绝"
- MAP-Elites 从进化算法领域借用到 LLM 安全评估,是一个有创意的跨领域迁移——可推广到其他需要覆盖多样失败模式的领域
局限与展望¶
- 评估依赖 LLM-based judge(gpt-4o-mini),可能遗漏微妙的临床失败
- 模拟交互环境无法完全再现真实咨询的多样性和不可预测性
- 未评估大规模前沿模型(如 GPT-4/Claude Opus),计算成本限制
- Enabler 角色的标注者间一致性最低,说明这类隐性危害即使对训练有素的临床专家也难以判断
相关工作与启发¶
- vs MentalQA (Qiu et al., 2023): 他们用粗粒度对话级标注评估,本文用28种细分角色-类别组合,诊断粒度大幅提升
- vs PAIR/TAP (Chao et al., 2025; Mehrotra et al., 2024): 通用越狱攻击在心理健康场景 ASR 仅 0.014-0.516,远低于 MHSafeEval 的 0.914-0.997——验证了领域特异性评估的必要性
- vs X-Teaming (Rahman et al., 2025): 多轮策略缩小差距但仍被超越,因其缺乏角色感知和临床导向
评分¶
- 新颖性: ⭐⭐⭐⭐⭐ 角色感知 × 轨迹级评估是全新范式,MAP-Elites 在安全评估中的应用很有创意
- 实验充分度: ⭐⭐⭐⭐⭐ 8个模型、7个危害类别、4个角色、多种消融、与3个攻击基线对比
- 写作质量: ⭐⭐⭐⭐ 框架清晰、案例丰富,但论文较长且符号较多
- 价值: ⭐⭐⭐⭐⭐ 对 LLM 在高风险心理健康场景的部署安全有直接指导意义