Глава 16 — Безопасный файн-тюнинг и адаптация
Шестнадцатый пост поглавного разбора LLM Primer VII: AI Security. Глава, обращающаяся с файн-тюненным моделью как с артефактом, чьи свойства безопасности должны быть заработаны, а не унаследованы, — потому что те же градиентные шаги, что учат доменной лексике, могут также эродировать выравнивание, с которым пришла базовая модель.
Зачем существует эта глава
Файн-тюнинг выглядит малорисковой операцией. Команда берёт хорошо выровненную базовую модель, тюнит её на своих доменных данных и ожидает, что выровненное поведение переживёт. Эмпирическая литература с 2023 года ясна в том, что это ожидание ошибочно. Статья Qi и др. ICLR 2024 «Fine-tuning Aligned Language Models Compromises Safety, Even When Users Do Not Intend To!» показала, что даже безобидные instruction-данные могут снижать частоту отказов на harmfulness-бенчмарках. «Shadow Alignment» Yang и др. 2023 показала, что сто преднамеренно сделанных примеров могут подорвать безопасно выровненную open-weight-модель. Глава проходит механизмы, модель угроз отравления, оценочные ворота, ловящие регрессии в CI, техники выравнивания, переустанавливающие то, что тюнинг эродировал, и дисциплину отката, превращающую плохие обновления в рутинные операции.
16.1 Выравнивание эродирует через механизм, тренирующий поведение
Доменная адаптация обычно хорошо мотивирована. Базовая модель слишком общая, у команды есть корпус, захватывающий, как их домен говорит, тюнинг сужает поведение к чему-то более точному и более on-brand. Что пропускается — что сужение не бесплатно. Те же градиентные шаги, что учат доменной лексике, также пере-взвешивают каждое другое поведение, включая поведения, удерживавшие модель от генерации синтеза биооружия или написания убедительного фишинга. Qi и др. измерили это напрямую, файн-тюня safety-tuned Llama-2-вариант на Alpaca instruction dataset — публично доступном, без явно вредоносного контента, — и наблюдая, что частота отказов на harmfulness-бенчмарках существенно упала. Ничто в обучающем наборе не просило модель быть менее безопасной. Сигнал нёсся отсутствием демонстраций отказа: модель научилась, что полезные ответы вознаграждаются, а отказ редко моделировался, и обобщила этот урок на запросы, где отказ был встроенным дефолтом. Механизм — то, что делает градиентный спуск, когда цель — «следовать инструкции» и демонстрации почти никогда не отказывают. Смягчения архитектурны — смешать примеры отказа в файн-тюнинговый набор, использовать техники вроде DPO или KTO, сохраняющие поведение референсной модели, применить safety re-training после доменной адаптации, — но ни одно не автоматично.
16.2 Преднамеренное отравление — small-data-атака
Если случайная эрозия — обычный случай, то отравление — худший случай. Модель угроз прямолинейна: атакующий вкладывает некоторую долю файн-тюнинговых данных с целью установить конкретное поведение, которое развёртывающий не заметит на оценке. Поведение может быть backdoor'ом (триггерный вывод на триггер-фразе), refusal lift (соответствие там, где базовая модель отказывала), вставкой контента (рекомендует конкретный продукт или партию, когда спрашивают несвязанное) или long-horizon-мисалигнментом, активирующимся при конкретных условиях. «Shadow Alignment» Yang и др. показала, что сто adversarial-пар, структурированных как обычная instruction-response, могли подорвать поведение безопасности крупной open-weight-модели. Qi и др. на ICLR 2024 воспроизвели в меньшем масштабе: примерно десяти хорошо выбранных примеров хватило, чтобы материально скомпрометировать выравнивание. Примеры не должны были быть экзотическими. Смешанные с безобидными данными, набор выглядел ничем не примечательным. Поверхность угроз расширяется с числом сторон, вкладывающих данные, — пользовательские отправки в labelling-пайплайн, контракторы, размечающие данные, сотрудники, готовящие внутренние файн-тюнинговые корпуса, upstream open-датасеты. Каждый — потенциальный канал инъекции, и защитная позиция — дисциплина провенанса: каждый обучающий пример должен быть прослеживаем до своего источника, а источник должен быть доверен на уровне, который требует исход файн-тюнинга.
16.3 Оценочные ворота и откат — операционная страховочная сеть
Файн-тюненный чекпойнт — не развёртываемая модель. Это кандидат. Разрыв закрывается оценкой — и capability-оценкой, подтверждающей, что модель всё ещё делает свою работу, и safety-оценкой, подтверждающей, что она не регрессировала. Правильная ментальная модель — deployment gate, а не отчёт бенчмарка. У ворот есть pass/fail-критерии, пороги, установленные заранее, и определённое последствие, когда критерии не выполнены — нет промоушна в staging, нет трафика, автоматический тикет. Под давлением дедлайнов отчёты бенчмарков становятся рекомендательными; ворота, принуждаемые CI, — то, что действительно держит. Техники выравнивания, восстанавливающие безопасность после эрозии от тюнинга, включают смешение примеров отказа в файн-тюнинговый набор, RLHF или DPO на refusal-preferences, Constitutional AI (Bai и др., Anthropic, 2022) как обучение-временной подход, масштабирующийся без человеческой разметки, и safety-tuned continued training на canary-наборах. Каждая файн-тюненная модель когда-нибудь будет вести себя неверно. Единственный вопрос — сможет ли команда откатиться к известной хорошей версии за минуты или проведёт день в реагировании на инциденты. Разница — дисциплина до развёртывания. Реестр моделей — MLflow Model Registry, AWS SageMaker, Vertex AI или собственные эквиваленты, — отслеживающий каждый артефакт, его провенанс, его результаты оценки, его статус развёртывания и его lineage, — фундаментальный паттерн. Реестр, не записывающий результаты оценки, — artefact store; artefact store не помогает во время отката. Сам откат должен быть одной командой, чья безопасность отрепетирована.
Что подготавливает глава 16
Глава 17 закрывает книгу, глядя вперёд на угрозы, ещё возникающие в середине 2026: автономные агенты, составляющие вывод модели с tool-use и работающие сотни шагов без надзора; мультимодальные модели, чья входная поверхность теперь включает изображения и аудио; синтетические идентичности, эродирующие предположение, что сущность на другой стороне канала — та, кем себя называет; и AI-vs-AI гонка вооружений, в которой и атакующие, и защитники сами модели. Файн-тюнинговые концерны из этой главы не уходят в том мире; они интенсифицируются. Модель, чьё выравнивание тихо дрейфовало три недели назад, становится намного большей проблемой, когда она также оркестратор агента с shell-доступом.
Дальше — Глава 17: Будущие угрозы и формирующиеся защиты. Автономные агенты, мультимодальные поверхности атаки, синтетическая идентичность, AI-vs-AI-динамика и форма AI-обеспечения как становящейся дисциплины.