总目录 大模型安全研究论文整理 2026年版https://blog.csdn.net/WhiffeYF/article/details/159047894https://openreview.net/forum?id0fuYOuJyzlICLR 2026 | 任意深度对齐解锁 论文背景与基本信息《Any-Depth Alignment: Unlocking Innate Safety Alignment of LLMs to Any-Depth》由来自 ByteDance Seed、芝加哥大学、UIUC 等机构的 Jiawei Zhang 等作者完成。该论文发现当前大模型的安全对齐是“浅层”的——仅在回答开头拒绝有害请求一旦模型开始生成有害内容保护机制就会崩溃。即使是被认为深度对齐的 Claude Sonnet 4在 100 个 token 的预填充攻击下拒绝率也跌破 25%。 例子像一道虚掩的门想象一名保安只在大楼入口处检查访客身份一旦有人假装“我已经是内部人员”并走进走廊保安就不再阻拦。攻击者只需在模型回答前预填一小段“Sure, here is…”就能让模型顺从地输出有害内容。该论文提出的 ADA任意深度对齐方法则像在走廊中途重新插入一个“身份检查站”注入模型自己的助手头令牌强制模型重新评估并拒绝。 实验中的三大有意思发现1️⃣ 深度预填充攻击下ADA-LP线性探针版本将拒绝率稳定在近乎 100%而原生模型和深度对齐模型均随深度增加急剧下降。甚至当预填充长达 2500 个 token 时ADA 依然有效。2️⃣ 对抗性提示攻击GCG、AutoDAN、PAIR、TAP的平均攻击成功率被 ADA-LP 压制到 3% 以下而无需修改模型参数。3️⃣ 几乎零过度拒绝在 GSM8K、MMLU 等 7 个良性数据集上ADA-LP 的误拒率仅为 0%~1.8%且推理开销极低——仅相当于多生成一个 token 的耗时通过复用 KV 缓存实现。 启示解锁而非重训该论文证明大模型内在的安全感知始终存在于隐藏状态中只是未被激活。ADA 通过轻量级线性探针直接读取这种信号无需昂贵重训练即可在流式生成中实时拦截有害内容。这为部署端可控的 AI 安全提供了新范式——与其对抗模型不如聆听它内心真正的判断。