大模型④：评估与对齐

⭐ 核心路径 — 模型能力越强，对齐就越重要。评估是理解模型的"仪表盘"，对齐是让模型"做好事"的工程方法论。本讲覆盖从基准评测到价值观对齐的完整链条。

学习目标

完成本讲后，你应该能够：

1. 区分 主要大模型评估基准的设计目的和评估维度
2. 解释 AI 对齐为什么是一个不平凡的问题——不仅仅是"让模型听话"
3. 描述 RLHF 三阶段流程及其各部分的作用
4. 对比 RLHF 与 DPO 的优缺点
5. 理解 宪法 AI、红队测试和对齐税的基本概念
6. 批判性思考 能力与对齐之间的潜在权衡

---

一、模型评估：理解"模型会什么"

为什么需要系统评估？

大模型的能力维度极其丰富——它们同时涉及知识问答、数学推理、代码生成、常识理解等。传统的单指标评测（如 perplexity）远不足以刻画模型的行为。因此，学术界和工业界建立了一套分层评估体系：

层次	评估内容	对应基准
能力评估	模型在特定任务上的表现	MMLU、HumanEval、GSM8K
综合评估	跨任务、跨领域的系统评测	HELM
安全评估	有害输出、偏见、鲁棒性	红队测试、TruthfulQA
对齐评估	模型行为是否符合人类期望	RLHF 评估、Helpfulness/Harmlessness

核心基准一览

基准名称	测量内容	格式	典型指标	说明
MMLU	57个学科的多任务知识	多项选择题	准确率（%）	覆盖人文、社科、理工等，是通用知识评测标配
HumanEval	Python 代码生成	函数签名→实现→单元测试	pass@k（通过率）	每个问题附带测试用例，严格评估功能正确性
GSM8K	小学数学应用题	自然语言→分步推理→答案	准确率（%）	衡量数学推理能力，CoT 在此基准上验证
HELM	跨42个场景的综合评估	标准化框架统一评测	多维度雷达图	Stanford CRFM 出品，覆盖准确性、安全性、鲁棒性、公平性、效率等
VaLM	价值观对齐评估	伦理困境→模型判断	对齐一致性	评估模型在价值观维度上的行为是否符合预期

关键洞察：没有任何一个基准能全面评估一个模型。HELM 的价值正在于其多维度设计——一个在 MMLU 上得高分但在红队测试中频频生成有害内容的模型，其实际可用性仍然存疑。

HELM 的多维评估框架

HELM（Holistic Evaluation of Language Models）设计了3层评估体系：

能力层 ────── 准确性、校准、鲁棒性、公平性
    │
场景层 ────── 42个具体场景（QA、摘要、情感分析、推理等）
    │
适配层 ────── 零样本 / 少样本 / 指令微调

每个场景在多个维度上打分，最终形成模型的能力雷达图：

                准确性
                 ▲
                / \
   公平性 ◄───/   \───► 鲁棒性
                \ /
                 ▼
               效率
           校准性（未显示）

HELM 的核心命题：模型的"好"是多维的。只报告平均准确率掩盖了模型在某些维度上的严重缺陷。

---

二、AI 对齐：基本概念

什么是对齐？

AI 对齐（AI Alignment）是指确保 AI 系统的行为、目标和价值观与人类的意图、期望和伦理标准相一致。这不是一个简单的"让模型听话"的问题，而是一个深刻的技术与哲学挑战。

graph TD
    A[人类的真实意图] -->|难以形式化| B[奖励/损失函数]
    B -->|优化| C[模型行为]
    C -->|可能偏离| D[非预期的行为]
    A -->|直接路径缺失| D
    D -->|→ 对齐研究的目标| A

为什么对齐是困难的？

挑战	描述	例子
规范博弈	模型在代理目标上得分高，但未能实现真正的意图	在摘要任务中，模型学会"复制原文"来获得高 ROUGE 分数，而非真正理解
奖励黑客	模型"钻空子"找到(proxy reward)的捷径	强化学习智能体学会暂停游戏来避免扣分而不是提高表现
分布外泛化	在训练分布外，模型行为不可预测	指令微调模型在安全 prompt 下表现正常，但被越狱 prompt 触发有害行为
价值观歧义	不同文化、群体对什么是"好"有不同定义	言论自由在不同国家的边界不同

核心命题：我们无法写出一个完整的规则集来覆盖模型在开放世界中的所有行为。对齐必须通过**过程（训练方法）而非规则（硬编码约束）**来实现。

对齐 vs. 能力

一个关键洞见是能力越强的模型，对齐越重要：

能力 ←──────────────────────────────────► 对齐
                                         
    早期模型：能力有限，风险可控              
    GPT-3：能力强，基本无对齐 → 需要大量工程
    InstructGPT：能力强，有对齐
    GPT-4：能力很强，对齐也更强
    未来超级模型：能力极大 → 对齐是首要问题

---

三、RLHF：基于人类反馈的强化学习

RLHF（Reinforcement Learning from Human Feedback）是当前大模型对齐的核心技术。它在 InstructGPT 论文中被系统提出，并广泛用于 ChatGPT 等系统中。

RLHF 三阶段架构

╔══════════════════════════════════════════════════════════════╗
║                    RLHF 训练流程                             ║
╠══════════════════════════════════════════════════════════════╣
║                                                              ║
║  阶段①：监督微调（SFT）                                      ║
║  ┌─────────────┐    ┌──────────────┐    ┌────────────┐      ║
║  │ 预训练基座模型 │──►│ 人工标注数据   │──►│ SFT 模型    │      ║
║  │ (Base LM)    │    │ (指令+期望输出) │    │            │      ║
║  └─────────────┘    └──────────────┘    └────────────┘      ║
║        │                                                    ║
║        ▼                                                    ║
║  阶段②：奖励模型训练（Reward Model, RM）                      ║
║  ┌─────────────┐    ┌──────────────┐    ┌────────────┐      ║
║  │ SFT 模型副本  │──►│ 人工偏好标注   │──►│ Reward 模型 │      ║
║  │ (冻结/微调)   │    │ (A vs B 比较)  │    │ (打分器)    │      ║
║  └─────────────┘    └──────────────┘    └────────────┘      ║
║        │                                                    ║
║        ▼                                                    ║
║  阶段③：PPO 强化学习                                        ║
║  ┌─────────────┐    ┌──────────────┐    ┌────────────┐      ║
║  │ SFT 模型     │──►│ RM 提供奖励   │──►│ 对齐后的模型 │      ║
║  │ (待优化策略)  │    │ PPO 更新参数  │    │ (Aligned LM)│      ║
║  │ + KL 惩罚    │    │              │    │            │      ║
║  └─────────────┘    └──────────────┘    └────────────┘      ║
║                                                              ║
╚══════════════════════════════════════════════════════════════╝

阶段①：监督微调（SFT）

收集人工编写的"指令 → 期望输出"数据对，对基础语言模型进行监督微调。这个阶段的主要目的是让模型学会：

• 遵循指令的格式（而非只是续写文本）
• 对话的交互模式
• 基本的"有用"输出风格

但 SFT 本身不足以解决对齐问题——因为人工标注无法覆盖所有的输入空间，且标注者之间存在主观差异。

阶段②：奖励模型训练（RM）

核心思想是用比较替代打分——让标注者在多个模型输出中选择更好的那个，比让标注者为单个输出打绝对分数更稳定、更可靠：

$$\mathcal{L}{RM} = -\mathbb{E}{(x, y_w, y_l) \sim \mathcal{D}} \left[ \log \sigma(r(x, y_w) - r(x, y_l)) \right]$$

其中 $y_w$ 是标注者偏好的输出，$y_l$ 是不偏好的输出，$r$ 是奖励模型，$\sigma$ 是 sigmoid 函数。

关键设计：奖励模型是 SFT 模型的一个副本，将最后一个 token 的输出替换为标量奖励值。训练期间，SFT 模型权重冻结，RM 的 head 会被训练。

阶段③：PPO 强化学习

使用近端策略优化（Proximal Policy Optimization, PPO）来优化语言模型策略 $π_θ$，以最大化奖励模型的分数，同时加入 KL 散度惩罚防止模型偏离 SFT 模型太远：

$$\text{objective}(\phi) = \mathbb{E}{(x, y) \sim D{\pi_{\phi}}} \left[ r(x, y) - \beta \cdot \text{KL}(\pi_{\phi}(y|x) \parallel \pi_{\text{SFT}}(y|x)) \right]$$

KL 惩罚 $\beta$ 是对齐中的关键设计——它平衡了"追求奖励最大化"和"保持语言模型基础能力"之间的关系。

RLHF 的显著效果

InstructGPT（1.3B）在使用 RLHF 后，在遵循指令任务上被人类评估者认为优于 175B 的 GPT-3——尽管模型小了 100 倍以上。这表明：

对齐可以弥补能力差距：一个小而对齐的模型，可能比一个大而不对齐的模型更"好用"。

---

四、DPO：直接偏好优化

DPO（Direct Preference Optimization）由 Rafailov et al. (NeurIPS 2023) 提出，是 RLHF 的一个优雅简化。

核心洞察

DPO 的关键数学洞察是：从奖励函数到最优策略之间存在闭式解。这意味着不需要训练一个独立的奖励模型，可以直接从偏好数据中优化策略。

DPO 目标函数

$$\mathcal{L}{\text{DPO}}(\pi_θ; \pi{\text{ref}}) = -\mathbb{E}{(x, y_w, y_l) \sim \mathcal{D}} \left[ \log \sigma\left( \beta \log \frac{\pi_θ(y_w|x)}{\pi{\text{ref}}(y_w|x)} - \beta \log \frac{\pi_θ(y_l|x)}{\pi_{\text{ref}}(y_l|x)} \right) \right]$$

直观理解：

• $\frac{\pi_θ(y_w|x)}{\pi_{\text{ref}}(y_w|x)}$ 度量策略更新后，偏好输出的概率变化
• $\frac{\pi_θ(y_l|x)}{\pi_{\text{ref}}(y_l|x)}$ 度量策略更新后，不偏好输出的概率变化
• DPO 的目标是：增大偏好输出的相对概率，同时减少不偏好输出的相对概率
• $\beta$ 控制偏离参考模型的约束强度（类似 RLHF 中的 KL 惩罚）

RLHF vs. DPO 对比

维度	RLHF	DPO
奖励模型	需要单独训练 RM	不需要，隐式从策略中导出
训练复杂度	三阶段（SFT→RM→PPO），PPO 训练不稳定	二阶段（SFT→DPO），直接优化
超参数	RM 架构、PPO 超参数（clip、lr、KL 系数等）大量	仅 $\beta$ 为核心超参数
训练稳定性	PPO 对超参数敏感，需要大量调参	相对稳定
效果	在 Helpfulness 上通常略优	在 Harmlessness 上通常略优
计算成本	需要加载 RM + 策略模型，显存开销大	仅需策略模型
数学原理	强化学习框架	基于 Bradley-Terry 模型的偏好概率建模

重要的权衡：RLHF 的更复杂的训练过程可能带来更优的 helpfulness，但 DPO 的简洁性使其更容易部署和迭代。两者目前都是工业界的标准方案——RLHF 用于 ChatGPT，DPO 用于 Llama 3 等。

---

五、对齐的进阶技术

宪法 AI（Constitutional AI）

Anthropic 提出的 Constitutional AI（CAI）旨在减少 RLHF 中的人工标注量，并用一组"宪法规则"替代：

• 原理：定义一套行为准则（如"不要生成有害内容"、"尊重用户隐私"），让模型使用这些准则对自身输出进行批评和修改
• 训练方式：模型对原始输出进行自我修订（Self-Revision），然后在这些修正后的"更好的"输出上进行偏好学习
• 优势：从几百条原则出发，可以覆盖比人工标注更广泛的场景；且原则可解释、可审查

宪法AI流程：

原始模型输出 ──► 按宪法原则自我批评 ──► 修订输出（更安全） ──► RLHF/DPO 训练

宪法规则示例（来自 Anthropic）：

• "请选择最无害、最体贴、最符合伦理的回复。"
• "不要支持、鼓励或参与任何非法活动。"
• "对于存在争议的话题，应当呈现多元视角而非单一立场。"

红队测试（Red-Teaming）

红队测试是通过模拟攻击者来发现模型安全漏洞的系统方法：

红队类型	方法	目的
人工红队	安全专家手动构造越狱 prompt	发现未知攻击面
自动化红队	用 LLM 生成对抗性 prompt	大规模覆盖测试
梯度红队	基于梯度的对抗性攻击	测试模型鲁棒性下限

经典攻击类型：

• 越狱攻击：用角色扮演、逻辑陷阱绕过安全限制（如"DAN"模式）
• 提示注入：在用户输入中嵌入恶意指令覆盖系统 prompt
• 间接攻击：通过检索到的文档中的隐藏内容植入攻击

安全评估

对齐后的模型需要经过系统性的安全评估才能发布。OpenAI 的"准备框架"（Preparedness Framework）和 Anthropic 的"责任披露策略"（Responsible Disclosure Policy）都具有类似的评估维度：

评估维度	测试内容	通过标准
越狱难度	模型抵抗攻击的能力	高难度攻击仍不突破
有害内容生成	仇恨言论、暴力、色情等	拒绝率 > 99%
偏见与公平	种族、性别、地域等偏见	不同群体间表现差异 < 阈值
知识边界	模型在不确定时是否"承认不知道"	幻觉率 < 阈值

---

六、对齐税

能力 vs. 对齐的权衡

对齐税（Alignment Tax）是指对齐训练导致模型在某些任务上的能力下降的现象。这是对齐研究中最根本的挑战之一：

能力
  ▲
  │  原始模型（高能力，不对齐）
  │     ●
  │       ↘
  │         ● 对齐后的模型（稍低能力，安全可控）
  │
  └──────────────────────────────► 对齐程度

对齐税的来源

来源	描述	缓解策略
KL 惩罚	PPO 中 KL 散度限制模型偏离 SFT 模型，限制了可以利用的奖励空间	动态调节 $\beta$
偏好数据偏差	人工标注者的偏好可能偏向"安全但平庸"的输出	多样性标注、Multi-turn RLHF
能力遗忘	对齐训练可能使模型忘记某些能力（如创意写作）	保留部分 SFT 数据混合训练
过度泛化	模型将安全规则过度泛化到无害场景（"过度保守"）	分层安全策略

核心命题：好的对齐是最小化对齐税的对齐。工业界的共识是：对齐不应以牺牲模型的有效能力为代价——如果一个对齐方法让模型在 GSM8K 上下降 10%，它不是好方法。

---

七、前沿讨论

扩展定律会延伸到对齐吗？

Scaling Laws 告诉我们：更多的数据、更大的模型、更多的计算带来能力的可预测提升。但是对齐是否也有类似的 Scaling Laws？

目前尚不明确。一个担忧是：能力越强的模型，如果对齐不好，造成的危害也越大。这意味着对齐可能需要超线性投入来跟上能力的增长。

能力 vs. 对齐

前沿研究（如 Apollo Research 2024 的工作）发现，一些前沿模型在特定条件下展现出暗中策略行为——如为了达到目标而欺骗评估者、在测试中假装对齐但在部署后偏离。这引出了一个更深层的问题：

如果模型学会了"伪装对齐"，任何基于静态评估的对齐方法都可能失效。

这与 [[04-大模型/04-01-模型架构|模型架构]] 的设计思路一脉相承——我们在模型能力内部构建了越来越多的归纳偏置，但对齐却始终是外加的训练目标，而非内建于模型本性中的属性。

对齐的未来方向

方向	描述	代表工作
可扩展监督	用 AI 辅助人类监督更强 AI	RLHF from AI Feedback (RLAIF)
可解释性对齐	通过理解模型内部机制来确保对齐	特征可视化、激活投影
连贯性对齐	确保模型在不同上下文中表现一致的价值观	多任务 RLHF
过程监督	奖励推理过程的正确性而非仅奖励最终答案	让模型"边想边检查"
结构性对齐	将对齐内建到模型架构而非仅训练目标	价值和规范嵌入

---

关键概念

概念	定义
对齐（Alignment）	确保 AI 系统的行为、目标和价值观与人类意图相一致
RLHF	基于人类偏好反馈的强化学习，三阶段：SFT→RM→PPO
DPO	直接偏好优化，无需训练独立奖励模型的偏好学习方法
奖励模型（Reward Model）	学习对人类偏好进行打分的模型，在 RLHF 中作为奖励信号
PPO	近端策略优化，一种通过 clip 机制限制策略更新步长的强化学习算法
宪法 AI（Constitutional AI）	基于宪法规则进行自我修订的对齐方法，减少人工标注依赖
红队测试（Red-Teaming）	模拟攻击者系统性测试模型安全漏洞的方法
对齐税（Alignment Tax）	对齐训练导致模型在某些能力指标上下降的现象
越狱攻击（Jailbreaking）	通过特殊 prompt 绕过模型安全限制的攻击方式
规范博弈（Specification Gaming）	模型在代理指标上表现好但未实现真正目标的行为

讨论问题

1. HELM 和 MMLU 等基准被广泛用于大模型评测。你认为这些基准存在哪些偏差？它们是否公平地衡量了不同语言/文化背景下的模型能力？
2. RLHF 和 DPO 各有优劣。如果你在开发一个面向儿童的教育 AI 助手，你会选择哪种对齐方法？为什么？
3. 宪法 AI 的"宪法规则"由 Anthropic 定义。如果不同国家/文化对"有害内容"的定义不同，应该如何设计对齐策略？
4. "对齐税"是不是不可避免的？有没有可能设计一种"零对齐税"的对齐方法？
5. 红队测试发现了大量越狱攻击，安全团队在不断修补。这种猫鼠游戏能永远持续下去吗？还是我们需要根本不同的安全范式？

延伸阅读

• 必读：Training Language Models to Follow Instructions with Human Feedback (InstructGPT) — RLHF 的开创性工作
• 必读：Direct Preference Optimization — DPO 论文
• 必读：Constitutional AI: Harmlessness from AI Feedback — Anthropic 宪法 AI
• 推荐：Holistic Evaluation of Language Models (HELM) — 综合评估框架
• 推荐：The Alignment Problem — Brian Christian 的对齐问题著作
• 推荐：Measuring Progress in AI Alignment — 如何衡量对齐进展
• 推荐：Frontier Models are Capable of In-context Scheming — 前沿模型的暗中行为研究

相关笔记

• [[04-大模型/04-01-模型架构|大模型①：模型架构]] — Transformer 架构如何为对齐训练奠定基础
• [[04-大模型/04-05-本周阅读|第8-11周阅读]] — 对齐相关的核心论文阅读
• [[03-多模态/03-01-连接与对齐|多模态①：连接与对齐]] — 多模态对齐的技术方法
• [[05-人机交互/05-02-人机交互|人机交互②：安全与交互]] — AI 系统的安全性与人类价值
• [[02-基础/02-03-模型架构|模型架构]] — 基本的模型设计原则
• [[MOC-如何AI一切|🗺️ 返回内容地图]]