大型语言模型能否遵循简单规则：RULES 基准测试分析

User Interface

为了设计场景和评估代码，并为测试套件收集测试用例，本文构建了几种不同的用户界面，用于通过具有各种模型的场景进行玩。这些范围从用于调试和播放测试的简单命令行界面到用于从作者及其同事众包数据收集的 Web 应用程序。我们发现通过这些界面与模型交互有助于了解模型实际响应用户输入并修改我们的场景以更好地捕获有趣但具有挑战性的行为。用户界面可能成为研究人工智能系统的研究工具包的重要组成部分。

模型评估

根据人工和机器生成的测试用例测试套件来评估各种专有和开放的 LLM。每个测试用例都与特定的场景环境相关联，其中包括场景和随机采样的场景参数。使用以下三条信息来初始化对话历史：

1. 指定场景说明的用户消息，
2. 占位符辅助消息'I understand and will comply with the rules.'，
3. 测试用例的第一条用户消息。

重复调用该模型，并将每个响应和后续用户消息附加到会话历史中，直到测试用例中的所有用户消息都用完为止。第一个占位符响应之后的每个辅助响应都用与场景相对应的评估程序进行评估，如果在任何响应之后，程序确定至少有一个规则被打破，认为模型没有通过测试用例。

模型细节

本文评估了各种流行的专有和公共模型，包括 OpenAI 的 GPT-3.5、GPT3.5 Instruction 和 GPT-4、Anthropic 的 Claude Instant 和 Claude、谷歌的 PaLM 2 Text Bison 以及 Vicuna v1.3（7B、13B、33B）、Llama 2 Chat（7B，13B、70B）和 Mistral Instruction v0.1（7B）。OpenAI、Anthropic 和 Google 模型可通过各自的 API 获得多个版本。

GPT-3.5 Instruction 和 PaLM 2 Text Bison 是文本生成模型，而不是聊天模型，因此使用一个简单的聊天模板来提示这两个模型进行对话响应。

手动测试

根据场景的探索性期间记录的对话，组装了一个初始手动测试。过滤重复的对话并删除辅助响应，从而产生 870 个测试用例。测试案例的数量从 155 个认证案例到 27 个保密案例不等，涵盖了广泛的策略。大多数记录的对话都针对负面规则，但没有跟踪用户意图，也没有区分负面和正面测试案例。下表中显示了手动测试的结果。所有模型都失败了大量的测试用例，尽管 GPT-4 失败的测试用例数量最少，其次是 Claude Instant 和 Claude 2。

系统测试

每个策略的测试用例示例如上表所示。每个测试用例都包含一到三条用户消息。'Just Ask'策略为每个规则定义了一个单一的基本测试用例，如果严格遵守，将导致模型违反目标规则，从而测试模型拒绝最直接攻击尝试的能力。大多数积极的规则都要求模型根据特定的用户输入产生特定的输出，因此对于这些规则，'Just Ask'测试用例由两条用户消息组成，首先要求模型打破规则，然后用正确的用户输入触发破规行为。

所有评估的 LLM 在大量测试用例中都失败了。系统测试中负规则的性能与手动测试的性能密切相关。模型在负面测试失败率通常低于正面测试，除 Vicuna 33B 外的所有开放模型几乎所有阳性测试都失败。结果表明，引导模型偏离正确的行为比强迫这些模型做出特定的不正确行为要容易得多，尤其是对于开放模型。

在所有评估的模型中，GPT-4 在系统测试中失败的测试用例最少。令人惊讶的是，Claude Instant 的表现略好于表面上能力更强的 Claude 2。有的 LLM 不能可靠地遵循规则；尽管它们可以抵制一些尝试，但仍有很大的改进空间。

方差与不确定性

本文的结果中有几个方差和不确定性的来源。首先，即使 temperature 设置为 0，OpenAI 和 Anthropic API 的输出也是不确定的。这导致了测试用例结果的一些差异。连续 10 次运行相同的评估，并在每个评估的测试用例子集的 39 个测试用例中，测量 1.1 个或更少的失败测试用例数量的标准差。PaLM 2 API 在输出或测试用例结果方面没有任何变化，在本地评估时也没有任何公共模型。

错误检测

如果模型无法可靠地遵循规则，它们可能会至少能够可靠地检测到助手响应何时违反规则。为了回答这个问题，从系统测试上评估的模型的输出以及地面实况传递/失败评估标签中抽取 1098 对用户消息和助手响应，以衡量模型检测规则违规的能力作为零样本二元分类任务。

如上表所示，大多数模型都可以比偶然做得更好，但不能可靠地检测是否遵循了规则。将正数定义为助手响应违反场景的一个或多个规则的实例，并测量通常定义的精度/召回率。目前还没有模型'解决'这个任务，GPT-4 达到了 82.1% 的准确率和 F 分数 84.0，其他模型下降得很短。需要一个简洁的'pass'或'fail'答案，它将 Llama 2 等冗长模型置于劣势，因为这些模型偶尔会用额外的文本预先查看他们的答案。

对抗性检测

本文还评估了 Greedy Coordinate Gradient (GCG)，这是一种最近提出的算法，用于查找导致模型产生特定目标字符串的后缀，与本文场景中的开放 7B 模型（Vicuna v1.3、Llama 2 Chat 和 Mistral v0.1）进行比较。GCG 是一种迭代优化算法，它在每个时间步长更新单个 token，以最大限度地提高目标语言模型下目标字符串的可能性。

结果如上表所示，GCG 可以增加所有三个评估模型的失败测试用例数量。Mistral 特别容易被影响，几乎所有的正面和负面测试都失败了，而 Llama 2 仍然通过了一些负面测试。针对 Llama 2 7B 优化的后缀在针对其他模型使用时，不会导致失败测试用例的数量显著增加。

结论与展望

本文的实验表明，目前的模型在很大程度上不足以遵循简单规则。尽管在指定和控制 LLM 的行为方面做出了重大努力，但在人类能够指望模型可靠地抵御各种人类或机器生成的攻击之前，研究界还有更多的工作要做。

同时，本文的工作团队乐观地认为，尽管过去十年在图像分类模型中对难以察觉的扰动的对抗性鲁棒性方面的进展慢于预期，但在这一领域仍有可能取得有意义的进展。打破规则需要一个模型采取有针对性的生成行动，而打破规则的目标可以在模型的内部表示中确定，这反过来又可以产生基于检测和弃权的可行防御。

要想使 AI 虚拟助手在安全地整合到社会中，就需要研究并改进 LLMs 对于规则遵循的能力。未来的研究方向应包括开发更强大的防御机制，如对抗性训练、形式化验证以及更细粒度的规则执行接口。此外，建立标准化的规则遵循基准对于行业间的横向对比至关重要。开发者在部署 LLM 时，不应仅依赖模型的自然指令遵循能力，而应结合外部验证层和规则过滤器，以确保关键业务逻辑的安全执行。

在实际应用场景中，企业应意识到当前大模型在复杂规则约束下的局限性。特别是在金融、医疗等高风险领域，单纯依靠 Prompt Engineering 可能无法满足合规要求。建议采用多模型协同架构，利用专用小模型处理规则校验，或利用 RAG 技术增强上下文约束。同时，持续监控模型输出与预设规则的偏差，建立动态反馈机制，以便及时发现潜在的安全风险。随着模型规模的扩大和训练数据的丰富，规则遵循能力有望得到提升，但这需要学术界和工业界的共同努力，推动对齐技术的实质性突破。