Gradient Surgery for Safe LLM Fine-Tuning
2508.07172v1
cs.CL
2025-08-13
Авторы:
Biao Yi, Jiahao Li, Baolei Zhang, Lihai Nie, Tong Li, Tiansheng Huang, Zheli Liu
Резюме на русском
## Контекст
Fine-tuning Large Language Models (LLMs) становится все более популярным для адаптации моделей к конкретным задачам и пользовательским требованиям. Однако этот процесс не обошелся без проблем. Внедрение небольшого количества злонамеренных примеров в данные для fine-tuning может серьезно повлиять на безопасность и соответствие модели пользовательским целям. Эта проблема становится критичной в контексте Fine-tuning-as-a-Service, где модели обучаются на пользовательских данных без полного контроля над их качеством. Недостаточной безопасностью и высоким риском токсичности являются широко известные проблемы в этой области. Наша мотивация заключается в разработке метода, который позволит обеспечивать безопасность моделей без снижения их фидбека и качества.
## Метод
Мы предлагаем метод **SafeGrad**, основанный на концепции **gradient surgery**, чтобы устранить конфликтные градиенты в процессе fine-tuning. Если в пользовательских данных обнаруживается конфликт между задачей пользователя и безопасностью модели, метод **SafeGrad** отменяет этот конфликт, уменьшая влияние злонамеренных примеров. Мы также используем **KL-divergence alignment loss**, который позволяет модели учитывать безопасный профиль дистрибуции, основанный на foundation model. Технические решения включают в себя оптимизацию градиентов с помощью ортогональных проекций и интеграцию адаптивных мер для повышения устойчивости.
## Результаты
Мы проводили эксперименты на различных LLMs, включая RoBERTa и T5, и использовали данные из реальных сценариев fine-tuning. **SafeGrad** показал стабильный результат, обеспечивая безопасность модели даже при высоких процентах злонамеренных примеров в данных. Наш метод показал значительное улучшение по сравнению с существующими методами в области safe fine-tuning. Мы также провели анализ точности и качества результатов, подтвердив, что **SafeGrad** не снижает фидбек модели и сохраняет высокую эффективность.
## Значимость
Результаты **SafeGrad** имеют широкое применение в области безопасного fine-tuning LLMs, особенно в сферах, где безопасность и корректность модели критичны. Например, в области образования, здравоохранения и финансовых услуг. Наш метод предоставляет преимущества в более эффективном и безопасном обучении моделей, уменьшая риск сбоя безопасности. Мы также отмечаем, что **SafeGrad** может быть применен для развития безопасных алгоритмов в других областях, где адаптивные модели используются в защищенных средах.
## Выводы
Мы представили **SafeGrad**, новый метод для решения проблемы конфликтов градиентов в процессе fine-tuning LLMs. Наши результаты показали, что **SafeGrad** обеспечивает высокую безопасность и качество моделей, даже при высоких процентах зло
Abstract
Fine-tuning-as-a-Service introduces a critical vulnerability where a few
malicious examples mixed into the user's fine-tuning dataset can compromise the
safety alignment of Large Language Models (LLMs). While a recognized paradigm
frames safe fine-tuning as a multi-objective optimization problem balancing
user task performance with safety alignment, we find existing solutions are
critically sensitive to the harmful ratio, with defenses degrading sharply as
harmful ratio increases. We diagnose that this failure stems from conflicting
gradients, where the user-task update directly undermines the safety objective.
To resolve this, we propose SafeGrad, a novel method that employs gradient
surgery. When a conflict is detected, SafeGrad nullifies the harmful component
of the user-task gradient by projecting it onto the orthogonal plane of the
alignment gradient, allowing the model to learn the user's task without
sacrificing safety. To further enhance robustness and data efficiency, we
employ a KL-divergence alignment loss that learns the rich, distributional
safety profile of the well-aligned foundation model. Extensive experiments show
that SafeGrad provides state-of-the-art defense across various LLMs and
datasets, maintaining robust safety even at high harmful ratios without
compromising task fidelity.
Ссылки и действия
Дополнительные ресурсы: