Internalizing Safety Understanding in Large Reasoning Models via Verification¶
会议: ICML 2026
arXiv: 2605.08930
代码: https://github.com/AlphaLab-USTC/SInternal (有)
领域: LLM 推理 / 安全对齐
关键词: 安全对齐, 推理模型, 自我验证, 越狱防御, SFT 初始化
一句话总结¶
本文论证「会生成安全答案」≠「懂安全」,提出 SInternal 框架:只训练大型推理模型去 verify 自己生成答案的安全性,由此涌现的内在安全理解大幅压制 jailbreak 攻击(StrongREJECT ASR 从 41% 降到 0.6%)并成为后续 RL 的更好起点。
研究背景与动机¶
领域现状:大型推理模型(LRM,如 DeepSeek-R1)的显式 CoT 让最终答案更危险。当前主流对齐范式是 answer-centric:要么 SFT 在专家精选的「安全 trajectory」上、要么 RL 用安全 verifier 给最终答案打分。
现有痛点:作者做了个简单实验——让对齐后的 LRM 去判断「这个候选回答对这个 prompt 安不安全」。结果令人不安:经过 SFT + RLVR 的 DeepSeek-R1-Distill-Qwen-7B 在这个 binary 分类任务上 F1 还不如随机猜(如 Figure 2)。也就是说,模型学会了「输出像安全答案」,但并不真懂为什么这是安全的。
核心矛盾:当前对齐把「会执行」和「会判断」解耦——把判断责任全外包给 Llama Guard 这类外部 guardrail,生成器只学模仿表面 pattern。这导致对未见 jailbreak 极度脆弱:只要攻击者用 compliant CoT 劫持思维链,就能把模型骗到「这个 prompt 是安全的」然后产出有害答案。
本文目标:让模型内化「why 这个答案不安全」的判断能力,而不是只学「how 拒绝」。
切入角度:「会判断」是「会执行」的更强先决条件——如果模型真能 verify 一个答案是否违反 safety spec,那它自然知道什么样的答案该被产出。所以把训练目标从「生成安全答案」翻转成「verify 自己生成的答案是否安全」。
核心 idea:只用 verification SFT 训练 LRM 评判自己的生成结果,由此涌现的内在 safety understanding 既能压制 jailbreak,又能成为后续 RL 的更稳起点。
方法详解¶
整体框架¶
SInternal 的核心是把训练目标从「生成安全答案」翻转成「verify 自己生成的答案是否安全」。整个流程两步走:先做数据构造——对每个安全相关 prompt \(\mathbf{x}\),让初始策略 \(\pi_\theta\) 自采 \(N=8\) 个回答 \((\mathbf{z}_k,\mathbf{y}_k)\),再用 Claude-4-Sonnet 作为专家依据 safety spec \(\mathcal{S}\) 评判每个 \(\mathbf{y}_k\),产出含批判性 reasoning 与 binary 判断的 verification trajectory \(\mathbf{c}_k=(\mathbf{z}_{{\rm ver},k},\mathbf{v}_k)\);再做 SFT 优化——给定 \((\mathcal{S},\mathbf{x},\mathbf{y})\) 让模型预测 \(\mathbf{c}\)。可选地,在 SInternal SFT 之上再接一段 GRPO RLVR,进一步把内化的判断力对齐到实际生成行为上。
%%{init: {'flowchart': {'rankSpacing': 24, 'nodeSpacing': 28, 'padding': 6, 'wrappingWidth': 400}}}%%
flowchart TD
A["安全相关 prompt x"] --> B["设计1:验证自采回答<br/>π_θ 自采 N=8 个<br/>留 safe/unsafe 兼有的对比对(~6000)"]
B --> C["设计2:专家 critique + 二元判断<br/>Claude-4 依 spec S 评判<br/>→ 轨迹 c=(z_ver, v)"]
C --> D["验证 SFT<br/>训模型预测 c<br/>内化「为什么不安全」"]
D -->|可选| E["设计3:作为后续 RL 起点<br/>接 GRPO RLVR 进一步对齐"]
D --> F["安全内化的 LRM<br/>(强抗越狱)"]
E --> F
关键设计¶
1. 验证 self-generated 而非外部回答:让安全边界贴合模型自身分布
前面的痛点是 answer-centric 范式让模型只会模仿别人的安全 pattern,对自己常犯的错没有判断力。SInternal 反过来用模型自己采样的回答(包括那些潜在不安全的)当 verification 训练对象:对每个 harmful prompt 采 \(N=8\) 个回答,只保留那些同时含安全 + 不安全两类输出的 prompt,从中挑一对对比样本,benign prompt 则保留一条,最终凑成约 6000 条训练集。这样做的关键在于分布对齐——如果拿别的模型的回答来训,verification 学到的是「别人会犯什么错」,和自己的输出分布 mismatch;而让模型 verify 自己常犯的错,等于把安全边界精确校准到它自身的行为分布上。Self-Exp(用自己的轨迹)对 Other-Exp(换成 DS-8B 采样的轨迹)的消融印证了这点:self-generated 在所有基准上始终更优。
2. 专家 critique + 二元判断双成分轨迹:用「分析 + 判断」逼出显式 reasoning
单给一个 safe/unsafe 的 binary label 信息量太小,模型只会学到表面 pattern,记不住「为什么不安全」。所以每条 verification trajectory 都由 Claude-4-Sonnet 这个专家产出两部分:先是 critique 推理 \(\mathbf{z}_{\rm ver}\) 详细分析候选回答的潜在违反点,再给 binary 判断 \(\mathbf{v}\)(safe/unsafe)。这两个成分分工明确且都不可或缺——消融显示 critique 主要负责泛化到未见 jailbreak(去掉 critique 后 Fortress ASR 从 19.2% 飙到 46.8%),judgment 主要稳定 in-domain 表现(去掉 judgment 后 StrongREJECT ASR 从 0.6% 涨到 7.3%)。显式 critique 提供了「为什么违反 spec」的推理监督,迫使模型学到背后的 safety 概念而非死记 refusal 模板,这正是它能迁移到 OOD 攻击的根源。
3. SInternal 作为后续 RL 的初始化:给 GRPO 一个真正「懂」的起点
标准 SFT 只是把模型推到「看起来安全」的样子,到了 RL 阶段模型没法稳定理解奖励信号;而 SInternal 让模型自带「为什么」的理解,RL 在这个基础上微调更收敛。具体接法是在 SInternal SFT 之后跑 GRPO RLVR:奖励函数对 harmful prompt 用 \(r=\mathcal{V}_{\rm safe}\),对 benign prompt 用 \(r=\mathcal{V}_{\rm safe}(1-\mathcal{V}_{\rm refuse})\) 同时压制过度拒绝,verifier 用 Qwen3-Guard,优势按 \(\hat{A}_i=(r_i-\bar{r})/(\sigma_r+\epsilon)\) 归一。效果上,SInternal 启动的 RL 是唯一能防住 HCoT(最强 LRM-specific 的 CoT-hijack jailbreak)的配置,其它 baseline 的 RL 都失守。
损失函数 / 训练策略¶
Stage 1 是标准 SFT 交叉熵 \(\mathcal{L}_{\rm SInternal}=-\mathbb{E}_{(\mathbf{x},\mathbf{y},\mathbf{c})\sim\mathcal{D}_{\rm ver}}\log\pi_\theta(\mathbf{c}|\mathcal{S},\mathbf{x},\mathbf{y})\),约 6000 训练样本,用 LoRA(rank=16, \(\alpha=32\))训 2 epoch,lr \(2\times10^{-4}\)。Stage 2 是 GRPO,rollout batch 64 prompts × \(n=8\),actor lr \(10^{-6}\),KL 全关,并掺入 3k DAPO 数学题保留推理能力。
实验关键数据¶
主实验¶
3 个 LRM(DS-Qwen-7B / DS-Llama-8B / DS-Qwen-14B)× 9 个基准(3 类安全、1 类 overrefusal、2 类推理),baseline 含 SafeChain 和 STAR-1。
| 配置 | StrongREJECT (ASR↓) | Fortress (ASR↓) | WildJailbreak (ASR↓) | HCoT (ASR↓) | XSTest (CR↑) | AIME (↑) |
|---|---|---|---|---|---|---|
| DS-14B Base | 41.2 | 52.6 | 44.4 | 100.0 | 95.6 | 86.7 |
| DS-14B + SafeChain SFT | 24.9 | 48.2 | 45.2 | 100.0 | 99.6 | 83.3 |
| DS-14B + STAR-1 SFT | 0.6 | 28.2 | 18.4 | 100.0 | 94.0 | 83.3 |
| DS-14B + SInternal SFT | 0.6 | 19.2 | 6.8 | 90.0 | 98.0 | 86.7 |
| DS-14B + STAR-1 + GRPO | 0.0 | 7.8 | 3.6 | 98.0 | 96.0 | 80.0 |
| DS-14B + SInternal + GRPO | 0.0 | 5.2 | 0.4 | 62.0 | 99.2 | 80.0 |
消融实验¶
| 配置 | StrongREJECT | Fortress | WildJailbreak | 说明 |
|---|---|---|---|---|
| Full SInternal | 0.6 | 19.2 | 6.8 | 完整版 |
| w/o critique | 2.9 | 46.8 | 22.4 | 去掉推理只留 binary judgment |
| w/o judgment | 7.3 | 18.8 | 7.6 | 去掉 binary 判断只留 critique |
| Self-Exp (DS-7B) | 7.0 | 22.6 | 21.6 | 验证自采轨迹 |
| Other-Exp (DS-7B) | 9.6 | 27.4 | 27.6 | 换成 DS-8B 采样的轨迹 |
关键发现¶
- 验证训练能向生成迁移:只在 verification 任务上 SFT,竟然在生成任务 ASR 大降——说明「学会 verify」隐含包含「学会生成 safe 答案」的能力。
- 泛化到未见 jailbreak:SInternal 在 in-domain StrongREJECT 上不一定第一(0.6 vs STAR-1 0.6 平手),但在 OOD 的 Fortress、LRM-specific 的 HCoT/Trotter 一致领先,说明学的是 concept 不是 pattern。
- proactive verification 涌现:用 GPT-4o 检测 CoT 里是否自发触发 safety verification,SInternal 触发率 50.4% vs Base 16.0% / STAR-1 28.4%,且触发后 conditional safe 率 99.2%。
- 数据效率高:仅用 SFT baseline 50% 数据量,SInternal 就达到/超越 baseline 全量水平。
- 保留推理能力:MATH/AIME 上 SInternal 完全不掉点,证明安全对齐没牺牲 reasoning。
亮点与洞察¶
- 「verification 是 generation 的必要前提」这一概念翻转值得 alignment 社区认真对待,可推广到 helpfulness、honesty 等其它对齐维度。
- 用模型自己的回答构造对比对(safe + unsafe 各一),相当于把 DPO 风格的偏好数据自动化生成,省掉了人工标注。
- critique 主泛化 / judgment 主 in-domain 的分工很有趣——可启发未来安全数据集设计同时含「推理 + 标签」双成分。
- HCoT 这类 CoT-hijack 攻击只有 SInternal+GRPO 防得住,说明「模型真正理解 final behavior 后果」是抵御 CoT 操纵的关键。
局限与展望¶
- 当前 verification 只在 post-generation 做,没扩展到「生成中动态 self-verification」——这是个明显的开放方向。
- verification 能力仍弱于 generation:模型有时能产生安全答案但 verify 时给错判断,gap 没完全闭合。
- 依赖 Claude-4-Sonnet 当 expert 生成 critique,若 expert 本身有偏见,蒸馏可能放大偏见。
- 实验都在 DeepSeek-R1-Distill 系列,未在 o1 / Claude Thinking 等 close-source LRM 验证。
- HCoT 对 14B+GRPO 后仍有 62% ASR,离完全防御还很远。
相关工作与启发¶
- vs SafeChain (Jiang et al. 2025):SafeChain 蒸馏长 CoT 安全推理,仍是 answer-centric;本文证明仅训 verification 就比它泛化更好(Fortress ASR 19.2 vs 48.2)。
- vs STAR-1 (Wang et al. 2025):STAR-1 也用 deliberate reasoning over safety spec,但训练目标是直接生成安全答案;本文翻转成验证目标,性能更稳。
- vs Llama Guard / Qwen3-Guard 外置 guardrail:外置 guardrail 把判断职责外包,模型只学 surface 模仿;本文证明把判断能力内化才能根治。
评分¶
- 新颖性: ⭐⭐⭐⭐⭐ 把训练目标从「生成」翻转成「验证」是真正概念级翻转,且实验有力支撑
- 实验充分度: ⭐⭐⭐⭐⭐ 3 模型 × 9 基准 + 自/他采样消融 + critique/judgment 拆分 + spec 替换 + 数据效率,覆盖面非常全
- 写作质量: ⭐⭐⭐⭐ 故事推进清晰,但部分公式排版混乱(reward function 含 align block)
- 价值: ⭐⭐⭐⭐⭐ 给 LRM 安全对齐提供新范式,代码开源,可被 alignment 社区直接复用