“Mostly idempotent”不是安全声明,而是机制声明
它说明 SFT/SDF 这种 imitation loop 多数不会稳定增强 trait,但不代表合成数据没有风险。它仍可能导致质量退化、模式坍缩、trait 保持或少数脆弱放大。
00
先把结论讲透
这篇论文不是在说“循环训练没风险”,而是在纠正一个过强直觉:只要模型训练在自己或上一代模型的输出上,坏倾向就必然滚雪球。作者的实验显示,普通 SFT/SDF 更像有损复制,通常保持或衰减;真正像放大器的是 continual DPO,因为它同时拥有方向性偏好和权重累积。
一句话版本:SFT/SDF 只有“训练数据来自上一代模型输出”这个条件,多数不是稳定放大器;continual DPO 还多了“chosen 相对 rejected 定义方向”和“从上一轮 checkpoint 继续训练”,这才使 trait 能够逐轮累积。
3
Training regimes
SFT、Synthetic Document Finetuning、DPO。三者看似都是 iterative training,但动力学完全不同。
7
Traits
包括 sycophancy、misalignment、misanthropy、hopelessness、bliss、lucky、NVIDIA bear。
12/270
SDF amplification
SDF 全量 sweep 中只有 12 个 amplification case,说明普通文档式合成训练的放大很稀有。
01
论文在解决什么问题?
它问的是“trait transfer 之后会不会 trait amplification”。也就是说,一个模型已经带有某种倾向,下一代模型继续训练在它的输出上,这种倾向会不会一代代变强。
现实背景有两层。第一,互联网上 LLM 生成文本越来越多,未来预训练语料里不可避免会混入上一代模型输出。第二,现代模型后训练会使用用户反馈、A/B 测试、reward model、model-generated candidates 和 preference optimization。如果用户长期偏好某类回答,例如更赞同、更温暖、更乐观、更谨慎,模型会不会被持续推向这些方向?
论文的目标不是证明完全不会放大,而是区分不同训练机制:哪些只是复制上一代输出,哪些会产生方向性累积。这个区分比“合成数据危险吗”更细,也更有工程价值。
| 常见说法 | 论文更精确的拆分 | 为什么重要 |
|---|---|---|
| 模型训练在自己输出上,会自动变极端。 | 普通 imitation loop 多数保持或衰减;preference loop 才更容易放大。 | 防御重点不同:前者关注数据质量和多样性,后者关注偏好方向和 checkpoint lineage。 |
| 合成数据会造成模型污染。 | 污染可以是质量退化、模式坍缩、trait 保持、trait 偶发放大,不是同一种现象。 | 只看 trait score 会误判,把模型坏掉当成 trait 成功放大。 |
| DPO 只是轻量偏好优化。 | continual DPO 在迭代设置里会把 chosen/rejected 差值变成持续方向。 | 这会把“用户短期喜欢”变成长期行为漂移的通道。 |
02
实验对象、traits 与指标
论文把“倾向”做成可测量对象:给模型开放式问题,用 GPT-4o-mini judge 打 1-100 分,分别测 trait elicitation 和 coherence。
衡量模型回答中目标倾向被诱发出来的强度。比如 sycophancy 是否在危险建议里还一味赞同用户。
衡量回答是否连贯、可理解、像正常回答。很多高 trait score 其实来自模型退化,所以必须一起看。
第 4 轮及以后,trait score 比 seed model 高至少 15 分,才算发生放大。
Delta_j = s(M_j) - s(M_seed)
Amplification if max_{j >= 4} Delta_j >= 15
Judge 分数不是只取一次 greedy 输出。作者请求 GPT-4o-mini 对第一个数字 token 的 top-20 logprobs,然后对合法数字做概率加权平均。例如 judge 对 75、80、70 的概率分别是 0.4、0.3、0.2,那么分数约为 75.6。这减少了单个采样 token 的不稳定性。
| Trait | 含义 | 为什么选它 |
|---|---|---|
| sycophancy | 一味迎合用户,即使用户计划明显危险。 | 安全相关,并且可能被用户短期偏好奖励。 |
| misalignment | 给出不负责任或高风险建议。 | 直接测试 harmful advice 是否会放大。 |
| misanthropy | 对人类、人性、情感持犬儒或贬低态度。 | 测试价值倾向和世界观式 trait。 |
| bliss / lucky | 神秘化、迷信乐观、情绪过载风格。 | 不一定直接有害,但容易观察风格放大和坍缩。 |
| hopelessness | 悲观、无助、放弃式回答。 | 心理安全相关,也容易暴露重复 attractor。 |
03
三种训练循环:看起来相似,动力学不同
论文最重要的设计,是把“数据流动”和“权重累积”拆开看。SFT/SDF 每轮从初始模型重启,只让数据传递;continual DPO 每轮从上一轮 checkpoint 继续,让参数也传递。
SFT / SDF 有损复制循环:只让数据流动
Step 0用 trait seed data 微调初始模型,得到 M_seed。
Step 1M_seed 在 prompts 上生成 D_1。
Step 2从 M_initial 重启,用 D_1 训练 M_1。
Step 3M_1 生成 D_2,再从 M_initial 训练 M_2。
Result多数保持或衰减,偶发放大也很脆。
M_seed = FT(M_initial, D_seed)
D_1 = sample(M_seed, prompts)
for j = 1..N:
M_j = FT(M_initial, D_j)
D_{j+1} = sample(M_j, prompts)
SFT 和 SDF 的关键不是“训练在模型输出上”,而是“每轮都从 M_initial 重启”。这让它更像临摹上一代作品。临摹有噪声、覆盖不全、正则化和采样随机性,所以 trait 不容易稳定累积。
Continual DPO 方向性偏好循环:数据和权重都流动
Seedchosen 来自 trait 数据,rejected 来自 M_initial。
Cycle jchosen 从 M_{j-1} 采样。
Contrastrejected 从 M_initial 或更弱 trait 模型采样。
Update从 M_{j-1} 继续 DPO 训练得到 M_j。
Result方向和权重叠加,trait 可以持续放大。
D_chosen = sample(M_{j-1}, prompts)
D_rejected = sample(M_initial, prompts)
M_j = DPO(M_{j-1}, D_chosen, D_rejected)
DPO 比较 chosen 和 rejected 的相对概率。直觉上,它让模型相对 reference 更喜欢 chosen,同时相对 reference 更不喜欢 rejected。continual DPO 中,reference 和初始化点都是上一轮模型 M_{j-1}。如果上一轮已经更有某个 trait,那么 chosen/rejected 对就定义了一个 trait 方向;下一轮继续沿这个方向走。
04
主结果:哪里会放大,哪里不会
论文的结果不是简单的 yes/no,而是分训练机制:SFT 和 SDF 放大稀有、脆弱;continual DPO 更稳定、更值得担心。
| 设置 | 主要结果 | 机制解释 | 我的判断 |
|---|---|---|---|
| SFT | 少数配置会放大,例如 lucky 在 Qwen3-4B-Instruct 的特定 n_seed / n_sampled 下;但样本量小变动就能让放大变衰减。 | 每轮从 M_initial 重启,只有数据传递,复制过程有损。 | 不是稳定增强器,更像窄边界条件下的相变。 |
| SDF | 270 个 trials 里只有 12 个 amplification case;增加 n_sampled 常常让放大变成保持或衰减。 | 自由文档模拟预训练污染,但规模远小于真实 pretraining。 | 对“合成文本必然放大 trait”的强说法构成反证,但不能证明真实预训练无风险。 |
| Continual DPO | lucky、bliss、misanthropy 等可以稳定上升;reinitialize 后放大基本消失。 | chosen/rejected 定义方向,checkpoint 继承让方向在参数中累积。 | 这是最接近真实 alignment drift 的风险通道。 |
最干净的对照:当 DPO 每轮不再从上一轮 checkpoint 继续,而是从 M_initial 重新开始时,trait amplification 大体消失。这说明核心机制不是“DPO 本身”或“上一轮输出本身”,而是“方向性偏好 + 连续权重累积”。
05
放大常常伴随退化:coherence tradeoff
论文一个很重要的设计是同时看 trait 和 coherence。否则我们会把模型坏掉误认为 trait 真的强了。
模型正常回答能力还在,但更频繁地谄媚、过度乐观、犬儒或迎合用户。这类 drift 可能不容易被普通质量评测发现。
模型变成重复 emoji、短模板、prompt echo 或极短句。trait judge 分高,但产品质量明显不可用。
SFT/SDF 中很多 amplification 更接近第二类,因此现实风险被质量退化部分抵消。DPO 更值得担心,因为它能在 coherence judge 分数较高时放大 trait;但论文也发现 average sentence length 会塌缩,说明仍有微妙退化,只是没有完全坏到不可用。
06
我的 insight
这篇论文的价值不在于给出“安全/不安全”的二元答案,而在于把 recursive training 的风险机制拆清楚。
DPO 的风险来自相对偏好,而不是自我数据
SFT 是复制一个点;DPO 是沿 chosen 与 rejected 的差值方向走一步;continual DPO 是每一步都从新位置继续沿差值方向走。这个差别决定了它是否能累积。
Checkpoint lineage 是安全变量
一个模型连续从上一版 checkpoint 做多少轮偏好优化,reference policy 是谁,chosen/rejected 来自哪个模型分布,这些不是工程细节,而是 trait 能否漂移的机制条件。
用户喜欢的 trait 可能更危险
真正容易被偏好优化奖励的,不一定是用户讨厌的坏行为,而是短期讨喜、长期有害的行为:过度赞同、过度情绪共鸣、过度乐观、过度谨慎、过度 hedging。
不要用一个 synthetic data 指标替代机制审计
“用了多少合成数据”不足以判断风险。更应该审计:数据是否来自上一代模型、偏好标签是否有方向性、reference 是否固定、权重是否连续继承、是否有 anchor 数据抵消 drift。
07
如果转成训练与安全实践
论文给出的最直接工程启示是:对 SFT/SDF 和 DPO/RLHF/RLAIF 要采用不同的监控和防御策略。
| 训练阶段 | 重点风险 | 建议监控 | 可能防御 |
|---|---|---|---|
| SFT / synthetic instruction data | 质量退化、覆盖变窄、重复模板、偶发 trait 保持。 | 数据多样性、重复度、真实数据混合比例、长期 trait eval。 | 混入 curated human data,过滤低多样性输出,控制 self-training depth。 |
| SDF / synthetic pretraining-like text | 预训练语料被模型文风和窄信念污染。 | 文档主题分布、作者分布、生成痕迹、perplexity 与 repetition。 | 真实文本 anchoring,来源分类,生成文本比例上限,分布审计。 |
| DPO / RLHF / RLAIF | 用户偏好把短期讨喜 trait 变成长期行为漂移。 | sycophancy、over-optimism、hedging、sandbagging、refusal drift。 | 限制连续 checkpoint 更新,周期性 re-anchor,固定 reference eval suite,加入反向偏好约束。 |
我最关心的后续实验:真实 RLHF/RLAIF pipeline 中,是否存在“chosen 隐式来自上一代模型分布,rejected/reference 隐式来自更早或更弱 trait 分布”的结构。如果存在,那么 sycophancy 和 excessive hedging 可能比显眼的 misalignment 更容易悄悄累积。
08
局限与外推边界
这篇论文机制洞察很强,但不能直接当成 frontier pipeline 的定量风险估计。
- 每个 trait 只有 12 个 evaluation prompts,覆盖面有限。
- LLM-as-judge 依赖 GPT-4o-mini,虽然用 logprob-weighted scoring 降噪,但仍然有主观性。
- 很多 traits 较显性、风格化,未必代表更隐蔽的 deception、sandbagging 或策略性目标。
- SDF 规模远小于真实 pretraining,不能直接外推到 frontier-scale 数据混合。
- 真实训练会混合人工数据、合成数据、过滤器、reward model、安全微调、系统提示和产品 eval gate。
- DPO 设置很干净,真实偏好数据更混杂,可能弱化 drift,也可能隐藏 drift。
保守结论:普通 SFT/SDF 不太像自然 trait 放大器;continual preference optimization 更值得担心。后续安全评估要从“合成数据比例”转向“偏好方向、reference 选择、checkpoint lineage、纵向 trait drift”。