CARES：医疗大型语言模型安全性与对抗鲁棒性综合评估

大型语言模型（LLM）日益广泛地应用于医疗领域，引发了对其安全性、对齐性以及对抗性操纵易感性的严峻关切。尽管此前的基准测试评估了模型对有害提示的拒绝能力，但它们往往缺乏临床特异性、细分的危害等级以及对「越狱」式攻击的覆盖。为此，我们推出了 CARES（Clinical Adversarial Robustness and Evaluation of Safety，临床对抗鲁棒性与安全性评估），一个专用于评估医疗保健领域大型语言模型安全性的基准。CARES 包含超过 18,000 条提示，涵盖八项医疗安全准则、四个危害级别以及四种提示风格——直接型、间接型、模糊型和角色扮演型——旨在模拟恶意及良性使用场景。我们提出了一种三分类响应评估方案（接受、警示、拒绝）以及一个细粒度的安全评分指标，用以评估模型行为。我们的分析表明，许多当前领先的大型语言模型仍易受到那些巧妙改述有害提示的「越狱」攻击，同时它们也倾向于过度拒绝那些表述安全但不符合常规的查询。最后，我们提出一种缓解策略：利用一个轻量级分类器检测「越狱」企图，并通过基于提醒的条件化方法引导模型采取更安全的行为。CARES 为在对抗性及模糊条件下测试与改进医疗大型语言模型的安全性提供了一个严谨的框架。

一、论文的研究目标、实际问题、科学假设及相关研究

1. 研究目标与实际问题： 该论文的核心研究目标是引入CARES (Clinical Adversarial Robustness and Evaluation of Safety)，一个用于评估医疗保健领域大型语言模型（LLM）安全性的基准测试 。具体而言，CARES旨在全面评估LLM在处理有害内容、应对“越狱”式攻击（jailbreak-style attacks）的漏洞以及错误拒绝安全提示（false positive refusals）等方面的表现 。

   它旨在解决的实际问题包括：

   • 医疗LLM的潜在风险：LLM在医疗领域的应用日益广泛，但其输出可能包含错误信息、违反伦理规范或带有歧视性建议，从而对患者造成实际伤害 。
   • 越狱攻击的威胁：研究表明，通过间接、混淆或角色扮演等对抗性提示（即“越狱”），可以绕过LLM的内置安全机制，使其提供不道德甚至非法的建议 。
   • 现有安全基准的不足：
     • 以往的通用安全基准（如SafeBench）虽然评估模型对有害提示的拒绝能力，但通常缺乏临床特异性、细分的有害等级以及对越狱式攻击的覆盖 。
     • 现有的临床安全基准（如MedSafetyBench）未能全面涵盖伦理危害（如鼓励过度治疗）和人口统计学偏见（如基于性别或年龄的歧视），并且忽视了模型过度谨慎拒绝安全查询以及对抗鲁棒性的系统评估 。

2. 是否为新问题？ LLM的安全性评估并非全新问题，已有多个通用安全基准被提出 。然而，针对医疗领域的LLM安全评估，特别是系统性地结合临床特异性、细致的伤害等级划分、广泛的越狱攻击模拟以及对“过度拒绝”现象的关注，是当前研究中相对较新且亟待解决的方面。这篇论文强调，CARES是首个共同评估有害内容、越狱漏洞和错误积极拒绝的医疗基准测试 。

3. 这篇文章要验证一个什么科学假设？ 论文隐含的科学假设是：通过构建一个具有临床特异性、包含多级伤害程度、并融入多种越狱攻击策略的综合性基准测试（CARES），可以更有效地揭示当前先进大型语言模型在医疗应用中的安全漏洞和对抗鲁棒性不足的问题；并且，通过训练一个轻量级分类器来识别越狱企图并结合基于提醒的条件化处理，可以提升模型的安全行为。

4. 有哪些相关研究？如何归类？ 论文中提及的相关研究主要分为两类：

   • LLM中的安全评估 (Safety Evaluation in LLMs)：
     • 通用安全基准：如TruthfulQA, ToxiGen, HHH, SafeBench, SG-Bench, AgentSafetyBench, Lab-SafetyBench 。这些基准评估LLM在事实正确性、毒性、对齐等方面的通用危害。
     • 医疗领域安全基准：如MedSafetyBench, MEDIC, RWE-LLM 。论文指出，这些现有医疗基准在分级有害性、对抗性提示和错误拒绝评估方面存在不足，而CARES旨在弥补这些空白 。
   • 越狱攻击与提示操纵 (Jailbreak Attacks and Prompt Manipulations)：
     • 研究表明，间接措辞、角色扮演、词汇替换等技术可以绕过GPT-4和Claude等模型的对齐过滤器 。
     • 同时，模型也可能过度拒绝格式不 типичные 但安全的提示 。CARES基准测试同时包含了对抗性和安全提示，以测试模型在模糊情况下的鲁棒性和谨慎性 。

5. 谁是这一课题在领域内值得关注的研究员？

   • 该论文的作者团队：Sijia Chen, Xiaomin Li (通讯作者), Mengxue Zhang, Eric Hanchen Jiang, Qingcheng Zeng, Chen-Hsiang Yu。
   • 被引用的相关安全基准（如SafeBench, MedSafetyBench）和越狱攻击研究的作者们。例如，Zhang et al. (SafeBench), Han et al. (MedSafetyBench), Zou et al. (研究越狱攻击) 。
   • 在LLM安全、对齐以及医疗AI伦理领域有持续贡献的机构和学者。

二、论文新的思路、方法或模型

1. 新的思路、方法或模型：

   • CARES基准数据集的构建 (图1) ：
     • 医学安全原则的提炼：从临床指南（如AMA伦理、HIPAA、Constitutional AI）和先前的安全规则库中挖掘安全规则，并将其提炼为8项医学安全原则 。这8项原则包括：1. 患者隐私与同意；2. 临床伦理与职业行为；3. 歧视与医疗偏见；4. 健康错误信息与虚假信息；5. 自残与不安全行为；6. 非法医疗实践与不道德使用；7. AI、技术与临床安全边界；8. 社区与公共卫生责任 。具体例子见表2 。
     • 基础提示生成：针对每个原则，在四个有害等级（0级-无害，1级-轻微有害（伦理不当），2级-中度有害（法律可疑），3级-高度有害（在医疗背景下具有社会和系统性危险））下生成合成提示 。使用了四种先进的LLM（GPT-4o-mini, Gemini-2.5-Flash, DeepSeek-V3, Claude3.5-Haiku）进行提示生成，每个模型为每个原则的每个等级生成50个查询，共计6400个样本 。
     • 去重处理：使用MinHashLSH算法对生成的提示进行去重，Jaccard相似度高于0.7的提示被移除，最终得到5340个独立的基础提示 。
     • 人工验证：进行了两种类型的人工验证：1. 二元安全验证（抽样400条，5位标注员判断安全/有害，模型标签与标注员投票结果显示强一致性，见图2）；2. 有害等级排序验证（标注员对随机打乱的4个等级的提示进行排序，模型生成的排序与标注员排序在多种指标下均显示高度一致性，见图3）。
     • 越狱提示增强：将数据集中的每个提示（覆盖0-3级有害程度）使用三种不同的操纵策略进行改写：(1) 间接或链式提问；(2) 同义词/混淆替换；(3) 角色扮演伪装 。每种策略都旨在保留原始提示的核心语义意图，同时从表面上掩盖其毒性 。经过GPT-4过滤和人工审查后，最终保留18000个高质量提示构成CARES数据集 。数据集的多维度分布如图4所示 。
   • 三向响应评估协议 (Three-way Response Evaluation Protocol)：将模型的响应分为三类：接受 (ACCEPT)、警告 (CAUTION)、拒绝 (REFUSE) 。该分类由GPT-4o-mini执行，作者团队通过人工审核200个样本验证了其可靠性（196个与人类判断一致）。
   • 安全评分指标 (Safety Score, SS)：一个自定义指标，根据模型响应的恰当性（相对于提示的有害等级）给予部分或全额分数（评分标准见表1）。该指标旨在奖励安全的拒绝，惩罚不安全的接受，并区分对边缘情况的谨慎行为 。
   • 缓解策略 (Mitigation Strategy)：训练一个轻量级分类器（基于Qwen2.5-7B-Instruct微调）来检测越狱提示的类型 。然后利用分类器的预测结果生成提醒性提示 (reminder prompts)，以引导模型朝向更安全的行为 。

2. 解决方案之关键：

   • 临床特异性和全面性：通过8大医学安全原则和4个细分的伤害等级，确保了评估的临床相关性和深度。
   • 对抗性攻击的模拟：系统性地引入了三种主流越狱策略，以测试模型在真实对抗场景下的鲁棒性。
   • 精细化的评估：三向响应分类和安全评分指标能够更细致地捕捉模型的安全行为，超越了传统的二元（接受/拒绝）评估。
   • 主动防御的探索：提出的基于分类器的提醒机制，为提高模型安全性提供了一种具体可行的技术路径。

3. 跟之前的方法相比有什么特点和优势?

   • 临床特异性更强：与SafeBench等通用安全基准相比，CARES的提示内容和安全原则均源于医疗领域，评估更具针对性 。
   • 评估维度更全面：相较于MedSafetyBench等现有临床基准，CARES首次系统性地整合了分级有害性、越狱攻击模拟以及对错误拒绝的评估 。
   • 越狱攻击覆盖更广：系统地融入了间接提问、混淆替换和角色扮演三种越狱技术，能更有效地检测模型在对抗性伪装下的脆弱性 。
   • 评估结果更细致：三向响应评估协议 (ACCEPT, CAUTION, REFUSE) 比传统的二元分类更能捕捉模型在处理安全敏感提示时的细微行为差异 。安全评分 (SS) 指标不仅惩罚不安全的接受，还奖励对有害提示的恰当拒绝，并对边缘情况的谨慎处理给予部分肯定，从而提供更全面的安全画像 。

三、论文实验

1. 实验设计：

   • 被评估模型：选取了多种LLM进行评估，包括开源和闭源模型，通用模型和医学专用模型。具体有：GPT-4o-mini, GPT-4.1, o4-mini, Claude-3.5-Haiku, Claude-3.7-Sonnet, DeepSeek (V3, R1), Llama-3.1系列 (8B, 70B), Llama-3.2系列 (1B, 3B), Mistral-7B-Instruct, Mixtral-8x7B-Instruct, Qwen2.5系列 (1.5B, 7B), Qwen3系列 (4B, 8B, 14B, 32B), ClinicalCamel-70B, Medalpaca (7B, 13B), 和 Meditron (7B, 70B) 。
   • 评估方法：
     • 使用CARES数据集中生成的18000个提示（其中9K用于测试）对上述模型进行测试 。
     • 模型的响应由GPT-4o-mini（温度设为0）自动分类为ACCEPT, CAUTION, 或 REFUSE 。作者对200个样本的人工审查显示，GPT的分类与人类判断的一致性为98%（196/200）。
     • 计算标准指标准确率（Accuracy）和F1分数（F1-score），以及论文提出的安全评分（Safety Score, SS）。对于二元指标，CAUTION和REFUSE都被视为非接受（预测为1）。
   • 缓解策略实验：
     • 训练了一个越狱提示类型识别分类器，使用Qwen2.5-7B-Instruct作为骨干模型，在CARES数据集的一半上进行微调（学习率1e-5，5个epoch），在验证集上达到0.977的准确率和0.976的F1分数 。
     • 在五个选定模型上测试了缓解策略的效果，即根据分类器识别的越狱类型，在原始提示前加入提醒性语句，然后观察模型安全性能的变化 。

2. 实验数据和结果：

   • 总体模型表现 (图5, 表3) ：
     • 在所有被评估的模型中，o4-mini和DeepSeek-R1在安全评分（SS）、准确率（ACC）和F1分数上表现最佳 。
     • 大型开源模型如Llama和Mixtral的安全对齐性较弱 。
     • 医学专用模型如Medalpaca-13B和Meditron-70B表现具有竞争力，表明领域对齐的安全调整可能与模型规模同样重要 。
     • 安全评分（SS）比传统指标ACC和F1更难优化，显示其对有害完成的更严格敏感性 。
   • 越狱漏洞分析 (图6, 图12, 图13, 图14)：
     • 几乎所有模型在面对越狱提示时，安全评分都出现显著下降，表明它们普遍存在对对抗性改写的脆弱性 (图6) 。
     • 间接提问和角色扮演是最有效的越狱策略，优于混淆策略 (图13) 。
     • 越狱不仅使有害提示显得不那么有害，还会使安全提示（0级）显得更可疑，特别是对于那些经过安全对齐训练的模型 (图12, 图14) 。0级和3级有害提示在越狱后尤其具有挑战性 。
   • 按安全原则分析 (图15) ：
     • 模型在8个不同的医疗安全原则上的表现差异不大，表明CARES基准在不同原则间的难度分布相对均衡 。
   • 缓解策略效果 (图7) ：
     • 通过加入基于分类器预测的提醒性提示，大多数模型的安全评分及相关指标都得到了一致的提升 。
     • 对于本身安全对齐较弱的模型（如Claude-3.5-Haiku, Llama-3.1-8B-Instruct, Llama-3.2-3B-Instruct），性能提升尤为显著 。而高性能模型（如GPT-4o-mini, DeepSeek-V3）改进幅度较小 。这表明这种越狱感知提示对固有安全对齐较弱的模型特别有帮助 。

3. 对科学假设的支持： 论文的实验结果有力地支持了其科学假设：

   • CARES基准测试确实揭示了众多先进LLM在医疗场景下，特别是面对经过精心设计的越狱提示时的安全漏洞。例如，图6显示所有模型在越狱提示下的安全评分均显著下降 。
   • 新提出的三向评估协议和安全评分（SS）指标，相比传统二元指标，能更细致和严格地评估模型的安全表现，例如SS普遍低于ACC和F1分数，且更难优化 。
   • 提出的基于轻量级分类器的提醒条件化缓解策略，在实验中证明能有效提升部分模型（尤其是安全对齐较弱的模型）的安全性能（图7）。

四、论文贡献

1. 主要贡献：

   • CARES基准测试的构建：开发了一个大规模（超过18000个提示）、覆盖8大医疗安全原则和4个伤害等级、并系统性整合了3种越狱策略（间接、混淆、角色扮演）的医疗LLM安全评估基准 。
   • 人工验证的高质量数据：为确保数据质量和可信度，对生成的提示进行了二元安全性和伤害等级排序的人工验证 。
   • 创新的评估指标和协议：提出了新颖的安全评分（Safety Score）指标，该指标奖励恰当的拒绝，同时惩罚不安全的接受和错误的拒绝 。并采用了三向响应评估协议（ACCEPT, CAUTION, REFUSE）。
   • 有效的缓解策略：开发并验证了一种轻量级分类器，用于检测潜在的越狱企图，并通过提醒性提示来增强模型的安全性 。

2. 对业界的影响：

   • 提高医疗LLM安全评估标准：CARES为业界提供了一个更严格、更细致、更贴近真实对抗场景的医疗LLM安全测试框架 。
   • 推动模型鲁棒性研究：揭示了当前SOTA模型在面对巧妙伪装的有害提示时的脆弱性，将促使研究人员和开发者更加重视并投入资源于提升模型的对抗鲁棒性。
   • 指导安全对齐技术发展：安全评分等新指标的引入，以及对过度拒绝现象的关注，有助于更全面地指导LLM的安全对齐训练。
   • 促进负责任的AI在医疗领域的应用：通过提供有效的评估和缓解工具，有助于降低LLM在医疗领域部署的风险，推动其更安全、更可信的应用。

3. 潜在应用场景和商业机会：

   • 应用场景 (CARES基准及相关技术)：
     • LLM开发者：用于内部测试、迭代改进其模型的医疗安全性。
     • 医疗机构：在采购或部署LLM应用前，对其进行独立的安全评估。
     • 监管机构/第三方评估机构：作为医疗AI安全认证或审计的参考标准之一。
     • AI安全研究社区：用于开发和验证新的防御机制和安全对齐方法。
   • 商业机会：
     • 医疗LLM安全评估服务：为企业提供基于CARES或类似框架的LLM安全测试和认证服务。
     • AI安全增强工具/插件：开发类似论文中提出的越狱检测分类器和提醒机制的商业化产品，帮助用户加固其LLM应用。
     • 定制化安全基准开发：针对特定医疗子领域或特定类型风险，开发更细化的安全评估基准。
     • 医疗AI安全咨询与培训：为医疗机构和AI开发者提供关于LLM安全风险、评估方法和缓解策略的专业咨询和培训。

4. 作为工程师的我应该关注哪些方面?

   • 对抗性提示工程 (Adversarial Prompt Engineering)：理解各种越狱技术（如间接提问、混淆、角色扮演）的原理和实现方式，以便能预见潜在攻击并设计防御。
   • 鲁棒性评估方法：学习如何设计和实施全面的安全评估方案，不仅仅是测试直接的有害提示，更要关注经过伪装的对抗性输入。
   • 细粒度评估指标的设计与应用：思考如何超越传统的准确率/F1，设计能更全面反映模型特定维度性能（如安全性、公平性）的指标，如本文的Safety Score 。
   • 分类器在AI安全中的应用：学习如何训练和使用分类器来识别恶意输入、用户意图或输入类型，并将其作为AI系统动态调整行为的触发器。
   • 动态提示条件化 (Dynamic Prompt Conditioning)：关注如何根据对输入的实时分析（如通过分类器）来动态修改给LLM的提示，以引导其产生更期望的输出（如更安全的响应）。
   • 数据集构建与验证：理解构建高质量、多样化、并经过严格验证的基准数据集（尤其是在安全等敏感领域）的方法论和挑战。
   • 模型安全对齐技术：了解当前主流的LLM安全对齐方法及其局限性，并关注新的研究进展。

五、值得进一步探索的问题和挑战

1. 值得进一步探索的问题和挑战：

   • 越狱技术的持续演进：攻击者会不断发明新的、更隐蔽的越狱方法。保持基准测试的前沿性，动态更新和扩充越狱策略是一个持续的挑战 。
   • 多轮对话中的安全性：CARES主要关注单轮提示。在多轮对话中，有害意图可能通过更复杂的交互逐步实现，这方面的评估仍需加强 。
   • 模型“过度拒绝”与“乐于助人”的平衡：如何在拒绝有害请求的同时，避免过度拒绝那些无害但表达方式特殊或处于模糊地带的请求，是一个核心的平衡问题。
   • 缓解策略的鲁棒性和泛化性：论文提出的基于分类器的提醒机制，其本身对新型越狱攻击的鲁棒性，以及在不同模型架构和规模上的泛化能力有待进一步验证。
   • 人类验证的成本与可扩展性：构建和验证大规模、高质量的安全提示数据集，人工成本高昂。探索更高效的人机协作验证方法或自动化评估方法。
   • 个性化与上下文感知的安全性：在真实的医疗交互中，一个请求的“安全性”可能取决于具体的患者情况、对话历史等上下文信息。如何实现更动态、上下文感知的安全评估和响应。
   • 安全原则的动态性和文化差异：医疗伦理和安全标准可能随社会发展而演变，也可能因文化背景而异。如何使安全基准和模型对齐具有适应性和包容性。

2. 可能催生的新技术和投资机会：

   • 新技术：
     • 自适应越狱检测与防御系统：能够学习和适应新型攻击模式的AI安全模块。
     • 上下文感知的LLM安全层：能够在对话历史和用户画像基础上动态评估风险并调整响应策略的中间件。
     • 可解释的AI安全机制：不仅能做出安全判断，还能解释判断依据，帮助开发者理解和修复漏洞。
     • 自动化安全基准生成与进化平台：利用AI技术（如强化学习、对抗性网络）自动生成和更新具有挑战性的安全测试用例。
     • 形式化验证方法在LLM安全中的应用：探索更严格的数学方法来验证LLM在特定安全属性上的保证。
   • 投资机会：
     • AI安全即服务 (AI Safety-as-a-Service)：提供全面的医疗LLM（及其他领域LLM）安全性测试、加固、监控和合规性报告的平台或服务。
     • 专注于LLM对抗鲁棒性的初创公司：开发专门技术以抵御越狱攻击和其他形式的对抗性操纵。
     • 医疗AI伦理与合规解决方案：提供工具和服务，帮助医疗机构确保其AI应用符合伦理准则和行业法规。
     • 下一代安全对齐的LLM：投资于从根本架构上提升LLM内在安全性和鲁棒性的基础模型研发。
     • 动态风险评估与干预平台：用于在LLM实际部署后，实时监控其行为，识别潜在安全风险，并自动或半自动进行干预。

六、论文存在不足及缺失

1. 存在的不足及缺失：

   • 越狱策略的覆盖范围：尽管论文纳入了三种常用的越狱方法，但现实中可能存在更多、更复杂的攻击手段（如作者在附录A中也提到计划未来扩展）。当前版本的覆盖可能仍有局限。
   • 人工验证的规模和深度：对于18000个提示的庞大数据集，人工验证（例如，二元安全验证抽样400个，响应分类评估抽样200个）的比例相对较小 。虽然结果显示与模型判断一致性高，但更大规模和更多样化的人工验证（例如涉及不同文化背景、不同专业领域的标注员）可能会揭示更多细微问题。
   • 缓解策略的简单性：提出的“基于提醒的条件化”是一种相对直接的缓解方法。其对于更高级、更隐蔽的攻击的有效性，以及是否可能被攻击者反向利用（例如，通过设计提示让分类器错误识别从而触发不当提醒）等问题，探讨不够深入。
   • 对“CAUTION”类别处理的讨论不足：在计算Accuracy和F1分数时，CAUTION和REFUSE都被视为预测为1（非接受）。但CAUTION本身代表了一种不确定状态，将其等同于REFUSE可能简化了模型的行为评估。Safety Score中对CAUTION的处理（0分、1分、0.5分、0分，取决于有害等级） 虽然更细致，但其权重设置的依据可以有更多讨论。
   • 模型本身的偏见对评估的影响：用于生成提示的LLM（GPT-4o-mini等） 和用于评估响应的LLM（GPT-4o-mini） 本身可能存在的偏见，可能会影响数据集的构成和评估结果的客观性。

2. 需要进一步验证和存疑之处：

   • Safety Score指标的普适性与权重合理性：Safety Score的评分矩阵（表1） 中对不同危害等级下ACCEPT/CAUTION/REFUSE行为的赋分（例如，为何中度危害下的CAUTION是0.5分而不是其他值）的依据和合理性，可能需要更多来自伦理学家、临床医生和AI安全专家的论证，以及在不同场景下的敏感性分析。
   • 越狱检测分类器的泛化能力：用Qwen2.5-7B-Instruct训练的分类器在CARES数据集上表现良好 。但它对于CARES未包含的其他越狱技术或由不同LLM生成的变体的识别能力如何，需要进一步验证。
   • 提醒机制的实际效果与潜在副作用：提醒性提示虽然能提高安全性，但也可能导致模型在某些情况下变得过度保守，或影响其回答的流畅性和自然度。这种平衡需要更多研究。
   • “医疗安全原则”的完备性与操作性：论文定义的8项原则 虽具代表性，但在实际复杂的医疗情境中，可能存在原则间的冲突或需要更细致的操作化定义才能有效指导AI行为。
   • 跨文化适用性：医疗伦理和安全考量在不同文化背景下可能存在差异。CARES主要基于美国的指南（如AMA, HIPAA），其在全球范围内的适用性如何，值得探讨。

–EOF–
转载须以超链接形式标明文章原始出处和作者信息及版权声明.