Глава 16 — Безопасный файн-тюнинг и адаптация

Опубликовано: 2026-05-25 Последнее обновление: 2026-07-13 Версия: 1
Глава 16 — Безопасный файн-тюнинг и адаптация

Глава 16 — Безопасный файн-тюнинг и адаптация

Шестнадцатый пост поглавного разбора LLM Primer VII: AI Security. Глава, обращающаяся с файн-тюненным моделью как с артефактом, чьи свойства безопасности должны быть заработаны, а не унаследованы, — потому что те же градиентные шаги, что учат доменной лексике, могут также эродировать выравнивание, с которым пришла базовая модель.


Зачем существует эта глава

Файн-тюнинг выглядит малорисковой операцией. Команда берёт хорошо выровненную базовую модель, тюнит её на своих доменных данных и ожидает, что выровненное поведение переживёт. Эмпирическая литература с 2023 года ясна в том, что это ожидание ошибочно. Статья Qi и др. ICLR 2024 «Fine-tuning Aligned Language Models Compromises Safety, Even When Users Do Not Intend To!» показала, что даже безобидные instruction-данные могут снижать частоту отказов на harmfulness-бенчмарках. «Shadow Alignment» Yang и др. 2023 показала, что сто преднамеренно сделанных примеров могут подорвать безопасно выровненную open-weight-модель. Глава проходит механизмы, модель угроз отравления, оценочные ворота, ловящие регрессии в CI, техники выравнивания, переустанавливающие то, что тюнинг эродировал, и дисциплину отката, превращающую плохие обновления в рутинные операции.

Если коротко: файн-тюненный чекпойнт — кандидат, а не развёртываемая модель. Разрыв между кандидатом и развёртываемой моделью закрывается оценочными воротами, которые принуждает CI-пайплайн, а не отчётами бенчмарков, которые инженеры надеются, что будут прочитаны.

16.1 Выравнивание эродирует через механизм, тренирующий поведение

Доменная адаптация обычно хорошо мотивирована. Базовая модель слишком общая, у команды есть корпус, захватывающий, как их домен говорит, тюнинг сужает поведение к чему-то более точному и более on-brand. Что пропускается — что сужение не бесплатно. Те же градиентные шаги, что учат доменной лексике, также пере-взвешивают каждое другое поведение, включая поведения, удерживавшие модель от генерации синтеза биооружия или написания убедительного фишинга. Qi и др. измерили это напрямую, файн-тюня safety-tuned Llama-2-вариант на Alpaca instruction dataset — публично доступном, без явно вредоносного контента, — и наблюдая, что частота отказов на harmfulness-бенчмарках существенно упала. Ничто в обучающем наборе не просило модель быть менее безопасной. Сигнал нёсся отсутствием демонстраций отказа: модель научилась, что полезные ответы вознаграждаются, а отказ редко моделировался, и обобщила этот урок на запросы, где отказ был встроенным дефолтом. Механизм — то, что делает градиентный спуск, когда цель — «следовать инструкции» и демонстрации почти никогда не отказывают. Смягчения архитектурны — смешать примеры отказа в файн-тюнинговый набор, использовать техники вроде DPO или KTO, сохраняющие поведение референсной модели, применить safety re-training после доменной адаптации, — но ни одно не автоматично.

16.2 Преднамеренное отравление — small-data-атака

Если случайная эрозия — обычный случай, то отравление — худший случай. Модель угроз прямолинейна: атакующий вкладывает некоторую долю файн-тюнинговых данных с целью установить конкретное поведение, которое развёртывающий не заметит на оценке. Поведение может быть backdoor'ом (триггерный вывод на триггер-фразе), refusal lift (соответствие там, где базовая модель отказывала), вставкой контента (рекомендует конкретный продукт или партию, когда спрашивают несвязанное) или long-horizon-мисалигнментом, активирующимся при конкретных условиях. «Shadow Alignment» Yang и др. показала, что сто adversarial-пар, структурированных как обычная instruction-response, могли подорвать поведение безопасности крупной open-weight-модели. Qi и др. на ICLR 2024 воспроизвели в меньшем масштабе: примерно десяти хорошо выбранных примеров хватило, чтобы материально скомпрометировать выравнивание. Примеры не должны были быть экзотическими. Смешанные с безобидными данными, набор выглядел ничем не примечательным. Поверхность угроз расширяется с числом сторон, вкладывающих данные, — пользовательские отправки в labelling-пайплайн, контракторы, размечающие данные, сотрудники, готовящие внутренние файн-тюнинговые корпуса, upstream open-датасеты. Каждый — потенциальный канал инъекции, и защитная позиция — дисциплина провенанса: каждый обучающий пример должен быть прослеживаем до своего источника, а источник должен быть доверен на уровне, который требует исход файн-тюнинга.

16.3 Оценочные ворота и откат — операционная страховочная сеть

Файн-тюненный чекпойнт — не развёртываемая модель. Это кандидат. Разрыв закрывается оценкой — и capability-оценкой, подтверждающей, что модель всё ещё делает свою работу, и safety-оценкой, подтверждающей, что она не регрессировала. Правильная ментальная модель — deployment gate, а не отчёт бенчмарка. У ворот есть pass/fail-критерии, пороги, установленные заранее, и определённое последствие, когда критерии не выполнены — нет промоушна в staging, нет трафика, автоматический тикет. Под давлением дедлайнов отчёты бенчмарков становятся рекомендательными; ворота, принуждаемые CI, — то, что действительно держит. Техники выравнивания, восстанавливающие безопасность после эрозии от тюнинга, включают смешение примеров отказа в файн-тюнинговый набор, RLHF или DPO на refusal-preferences, Constitutional AI (Bai и др., Anthropic, 2022) как обучение-временной подход, масштабирующийся без человеческой разметки, и safety-tuned continued training на canary-наборах. Каждая файн-тюненная модель когда-нибудь будет вести себя неверно. Единственный вопрос — сможет ли команда откатиться к известной хорошей версии за минуты или проведёт день в реагировании на инциденты. Разница — дисциплина до развёртывания. Реестр моделей — MLflow Model Registry, AWS SageMaker, Vertex AI или собственные эквиваленты, — отслеживающий каждый артефакт, его провенанс, его результаты оценки, его статус развёртывания и его lineage, — фундаментальный паттерн. Реестр, не записывающий результаты оценки, — artefact store; artefact store не помогает во время отката. Сам откат должен быть одной командой, чья безопасность отрепетирована.

Стоит запомнить: нить, связывающая эрозию выравнивания, отравление, оценку и откат, — провенанс. Без провенанса — знания, какие данные обучили модель, какое поведение результат демонстрировал на промоушне, какая версия сейчас обслуживает трафик — заявления о безопасности тюненной модели — это заявления о модели, которую никто не может фактически идентифицировать.

Что подготавливает глава 16

Глава 17 закрывает книгу, глядя вперёд на угрозы, ещё возникающие в середине 2026: автономные агенты, составляющие вывод модели с tool-use и работающие сотни шагов без надзора; мультимодальные модели, чья входная поверхность теперь включает изображения и аудио; синтетические идентичности, эродирующие предположение, что сущность на другой стороне канала — та, кем себя называет; и AI-vs-AI гонка вооружений, в которой и атакующие, и защитники сами модели. Файн-тюнинговые концерны из этой главы не уходят в том мире; они интенсифицируются. Модель, чьё выравнивание тихо дрейфовало три недели назад, становится намного большей проблемой, когда она также оркестратор агента с shell-доступом.


Дальше — Глава 17: Будущие угрозы и формирующиеся защиты. Автономные агенты, мультимодальные поверхности атаки, синтетическая идентичность, AI-vs-AI-динамика и форма AI-обеспечения как становящейся дисциплины.

Хочется всю картину? В книжной главе — полный конвейер скрининга данных, CI-оценочные ворота в YAML, шаблоны конфигураций тренировки выравнивания, разобранный инструментарий отката и врезки In Plain English, которые эта статья только резюмирует. LLM Primer VII на Amazon →

SHO
SHO
CTO и основатель RECEIPTROLLER. Ориентирован на данные, движим инновациями, всегда любознателен.