将大型语言模型（LLM）部署到生产环境标志着一个重大的转变，但这并非安全工程流程的终点。尽管部署前的对齐、评估和红队测试对于建立初始安全很必要，但交互的动态性要求持续保持警惕。模型可能遇到远超其训练分布的输入，用户行为可能演变，且新的弱点可能出现。因此，监测策略对于在LLM的整个运行周期中维持安全是根本性的。观察已部署模型并发现和处理出现安全问题的实际方法是关注的重点。

持续监测的必要性

像RLHF或DPO这样的初始对齐程序旨在灌输期望的行为，且发布前评估试图衡量对安全标准的遵守情况。然而，有几个因素使得持续监测不可或缺：

行为偏差： 生产输入的统计模式不可避免地与训练数据不同。这些分布变化可能导致模型行为发生细微或剧烈的改变，从而可能导致生成在测试期间未被发现的不安全或不良内容。
新生故障模式： LLM的巨大复杂性和潜在用户交互的广度意味着某些有害行为可能只在实际应用中遇到的特定、未预见的情况下显现。这些“长尾”事件在开发过程中难以详尽预测。
对抗性策略演变： 攻击LLM的方法，例如越狱提示或提示注入技术，正不断演变。监测有助于在这些新的攻击模式被尝试作用于已部署系统时发现它们。
改进反馈： 生产监测产生宝贵的数据。发现安全故障提供了具体的例子，这些例子可用于完善安全协议、更新过滤机制，或指导后续的微调或对齐周期。
责任与信任： 系统地监测安全问题提供了负责任运营的证据，这对于法规遵从以及建立和维护用户信任都可能很重要。

监测目标

有效的监测需要观察系统及其交互的不同方面。考虑关注以下几个方面：

模型输出： 这是发现安全违规最直接的地方。监测生成的文本以寻找：
- 有害性与毒性： 识别仇恨言论、骚扰、威胁或过分冒犯的语言。
- 偏见与公平性： 发现与人口统计、刻板印象或敏感属性相关的系统性偏颇语言。
- 虚假信息： 发现可能有害的虚假或误导性信息的生成，特别是在健康或金融等敏感领域。
- 隐私侵犯： 发现个人身份信息（PII）或敏感数据的泄露。
- 恶意内容生成： 识别如恶意软件代码、非法活动指示或钓鱼尝试等输出。
用户输入： 分析提示可预先识别风险：
- 对抗性提示： 发现已知或可疑的越狱模式、提示注入负载或探测弱点的尝试。
- 问题请求： 发现明确要求有害内容的输入，即使模型预期会拒绝。持续的尝试可能表明用户正试图绕过安全防护。
行为指标： 追踪模型行为的量化指标：
- 拒绝率： 监测模型基于安全指南拒绝回答的频率。显著下降可能表明成功绕过，而急剧上升则可能预示过于保守的行为影响可用性。
- 安全分数趋势： 追踪自动化安全分类器（例如，毒性分数）应用于输出随时间变化的汇总分数。
- 输出特性： 监测输出长度、重复性或困惑度等指标。这些分布的突然变化有时可能与问题生成模式相关。
用户反馈： 整合用户的显式和隐式信号：
- 显式标记： 允许用户报告有问题输出。
- 隐式信号： 分析用户会话数据，例如高比例的对话中断、频繁的重述，或后续消息中的负面情绪，这些可能表明不满意或问题响应。
安全系统性能： 监测旨在执行安全的组件：
- 护栏激活： 追踪输入或输出护栏被触发的频率。
- 过滤器有效性： 衡量集成内容过滤器或审核模型的性能。

生产监测策略

实施监测涉及多种技术的组合，通常为冗余而分层：

全面日志记录： 记录每次交互的详细信息，包括输入提示、生成的输出、时间戳、用户标识符（如果允许且相关）、上下文窗口内容，以及安全组件采取的任何行动（例如，护栏触发、过滤器标记）。这些原始数据是所有后续分析的根本。
策略性采样： 分析每一个单独的交互可能在计算上难以承受或不必要。实施智能采样：
- 随机采样： 提供对整体行为的无偏视角。
- 分层采样： 对被认为是高风险的交互进行过采样（例如，涉及敏感话题、被初步过滤器标记或来自可疑来源的交互）。
- 异常点采样： 专注于模型行为指标显著偏离常规的交互。
自动化检测系统： 采用自动化工具进行实时或近实时分析：
- 基于规则的系统： 使用关键词列表、正则表达式和模式匹配来识别已知有害内容或攻击特征。这些系统速度快，但通常脆弱且易于规避。
- 安全分类器： 训练专用机器学习模型（通常比主LLM更小更快），根据安全标准（毒性、个人身份信息、禁止话题等）对输入和输出进行分类。这些提供了比简单规则更精确的检测。
- 嵌入分析： 监测输入和输出的语义空间。对嵌入进行聚类，并查找漂移或与问题内容相关的聚类的出现。这有助于发现关键词或分类器可能遗漏的新问题。计算新输出与已知安全/不安全示例之间的嵌入距离指标，如余弦相似度。
- 异常检测： 应用统计方法识别各种指标（例如，输出长度、情感分数、拒绝率）中与已建立基线行为的显著偏离。这在下一节中有更详细的说明。
LLM交互流程中监测点的高级示意图。
人工审核： 自动化对于规模化是必要的，但人工判断仍然不可或缺，尤其是在特定情况下：
- 审核队列： 为人工审核员设置工作流程，以检查被自动化系统标记或用户报告的交互。
- 定期审计： 定期审核随机交互样本，以发现自动化遗漏的问题，并评估整体质量和安全基线。
- 持续红队测试： 在实时系统上（在适当的安全防护和隔离下）进行持续、结构化的尝试，以绕过安全控制，从而主动发现薄弱点。
监测基础设施： 利用可观测性平台、日志聚合工具（如ELK Stack、Splunk）和专业ML监测解决方案（如WhyLabs、Arize AI、Fiddler AI）来收集、处理、可视化监测数据流并发出警报。

监测图表显示LLM输出的平均毒性分数突然飙升，触发警报或调查。

挑战与考量

实施有效的生产监测面临几个难题：

规模与成本： 处理可能数十亿的交互需要高效的基础设施和算法。
延迟影响： 实时监测检查（尤其是复杂的）会增加延迟，可能降低用户体验。平衡全面性和速度至关重要。
准确性权衡： 自动化系统不可避免地存在误报（标记安全内容）和漏报（遗漏不安全内容）。调整这些系统需要仔细考虑应用程序的风险承受能力。
适应性： 监测系统必须定期更新，以跟上模型行为的演变、新的安全定义和出现的攻击向量。
主观性： 定义“不安全”或“有偏见”可能高度依赖于上下文和文化，这使得客观的自动化测量变得困难。

闭环：从监测到行动

监测与更宏大的安全生命周期紧密结合时最有效。发现的问题应触发明确的响应：

警报： 通知相关团队（运营、安全、工程）关于关键安全事件或值得关注的趋势。
事件响应： 启动预定义程序，以调查、缓解和记录安全故障（如第7章所述）。
系统更新： 利用监测数据更新黑名单、完善护栏规则、提升安全分类器，或识别特定数据片段用于定向模型再训练或微调。

通过实施全面的监测策略，你将超越静态的部署前安全检查，转向动态、持续的风险管理流程。这种持续警惕对于构建和维护在现实复杂环境中安全可靠运行的值得信赖的AI系统非常必要。下一节将专门关注异常检测技术，这些技术是许多自动化监测系统的重要组成部分。

这部分内容有帮助吗？

参考文献

RealToxicityPrompts: Evaluating Neural Toxic Degeneration in Language Models, Samuel Gehman, Suchin Gururangan, Maarten Sap, Yejin Choi, Noah A. Smith, 2020 EMNLP 2020 DOI: 10.48550/arXiv.2009.11462 - 介绍了评估和理解语言模型中毒性的方法，直接适用于输出监控。