GN⁺: Abliteration 으로 LLM 무삭제 검열 해제하기

• 최신 Llama 모델은 유해한 요청을 거부하도록 설계되어 있음. 이는 안전 기능이지만 모델의 유연성과 응답성을 제한함.
• "abliteration"이라는 기술을 사용하면 재학습 없이 LLM의 검열을 해제할 수 있음. 이를 통해 모델의 내장 거부 메커니즘을 효과적으로 제거하여 모든 유형의 프롬프트에 응답할 수 있음.
• LLM에서 거부 행동은 모델의 잔류 스트림의 특정 방향에 의해 매개됨. 모델이 이 방향을 나타내지 못하게 하면 요청을 거부하는 능력을 잃게 됨.
• LLM의 검열을 해제하려면 먼저 모델 내에서 "거부 방향"을 식별해야 함:
  1. 데이터 수집: 유해한 명령과 무해한 명령에 대해 모델을 실행하고 각각에 대한 마지막 토큰 위치에서 잔류 스트림 활성화를 기록함.
  2. 평균 차이 계산: 유해한 명령과 무해한 명령의 활성화 사이의 평균 차이를 계산함. 이를 통해 모델의 각 레이어에 대한 "거부 방향"을 나타내는 벡터를 얻음.
  3. 선택: 이러한 벡터를 정규화하고 평가하여 단일 최상의 "거부 방향"을 선택함.
• 거부 방향을 식별한 후에는 "제거"하여 모델의 이 기능을 나타내는 능력을 효과적으로 제거할 수 있음.
• 이는 추론 시간 개입을 통해 수행되거나 가중치 직교화를 통해 영구적으로 수행될 수 있음.
• 추론 시간 개입의 경우 거부 방향에 대한 출력의 투영을 계산하고 이 투영을 뺌. 이 감산은 모델이 결코 거부 방향을 나타내지 않도록 모든 토큰과 모든 레이어에 적용됨.
• 가중치 직교화는 거부 방향에 대해 구성 요소 가중치를 직교화하여 모델이 이 방향에 쓰는 것을 완전히 방지함.

Implementation

• TransformerLens 라이브러리를 사용하여 abliteration을 구현함. 이 라이브러리는 기계적 해석 가능성을 위해 설계되었으며 활성화에 개입하는 데 사용됨.
• 무해한 명령과 유해한 명령이 포함된 두 개의 데이터셋이 필요함. 여기서는 tatsu-lab/alpaca 데이터셋과 llm-attacks의 데이터를 사용함.
• 명령을 "role"과 "content" 키가 있는 딕셔너리 목록으로 재구성하여 Llama 3의 채팅 템플릿을 따르는 apply_chat_tokenizer() 메서드와 호환되도록 함.
• 사용자 정의 모델을 직접 로드할 수 없으므로 사용자 정의 모델을 다운로드하고 이름을 meta-llama/Meta-Llama-3-8B-Instruct로 바꾸는 트릭을 사용함.
• 이 예제에서는 DARE TIES로 생성된 메가 머지인 mlabonne/Daredevil-8B를 사용함.
• 데이터 수집 단계에서는 토큰화된 데이터셋을 처리하고 잔류 스트림 활성화를 harmful과 harmless에 저장함.
• 거부 방향을 평가하기 위해 추론 중에 각 잔류 스트림과 각 블록에 거부 방향을 적용함.
• 4개의 테스트 유해 명령과 20개의 블록(또는 레이어)에 대한 생성을 얻음.
• 각 명령에 대해 검열되지 않은 응답을 제공하는 레이어(블록)를 수동으로 선택함. "I cannot"과 "I can't"를 포함하는 응답은 자동으로 제외함.
• 가중치 직교화를 구현하여 가중치를 수정하고 모델이 이 방향으로 출력을 생성하지 못하도록 함.
• 모델을 Hugging Face 형식으로 다시 변환하고 HF 허브에 업로드함.

DPO Fine-Tuning

• 이전 섹션의 제거(abliterated) 모델과 소스 모델을 Open LLM Leaderboard와 Nous의 벤치마크 스위트에서 평가함.
• 소스 모델이 Llama 3 8B Instruct를 크게 능가하지만, 제거된 버전에서는 모든 벤치마크에 걸쳐 성능 저하가 관찰됨. 제거 프로세스는 성공적으로 검열을 해제했지만 모델의 품질도 저하시킴.
• 이 문제를 해결하기 위해 제거된 모델을 추가로 훈련하여 복구하는 아이디어가 있음. 대부분의 미세 조정 모델과 마찬가지로 Llama 3 8B Instruct는 감독 미세 조정에 있어 매우 취약함. 추가 SFT는 모델 성능을 저하시킬 가능성이 높음.
• 선호도 정렬(preference alignment)은 매우 가볍고 제거된 모델을 무력화시키지 않아야 함. DPO는 사용 편의성과 우수한 실적으로 인해 여기에 적합한 후보임.
• LazyAxolotl을 사용하여 mlabonne/orpo-dpo-mix-40k 데이터셋으로 구현함.
• DeepSpeed ZeRO-2를 사용하여 6xA6000 GPU로 훈련했으며, 훈련에는 약 6시간 45분이 걸림.
• 추가 훈련을 통해 제거로 인한 성능 저하의 대부분을 복구할 수 있었음. 모델이 개선되지 않는 한 영역은 수학 데이터셋인 GSM8K이며, 이는 orpo-dpo-mix-40k가 더 많은 수학 샘플의 혜택을 받을 수 있음을 의미함.
• 최종 모델은 8B 카테고리에서 최첨단 성능을 가진 검열되지 않은 LLM임. 검열이 필요하지 않을 때 Llama 3 8B Instruct의 개선된 버전으로 추천함.

Conclusion

• abliteration 기술은 무해한 프롬프트와 유해한 프롬프트에 대한 모델의 활성화를 사용하여 거부 방향을 계산함. 그런 다음 이 방향을 사용하여 모델의 가중치를 수정하고 거부 출력을 중지하도록 함. 이 기술은 또한 안전 미세 조정의 취약성을 보여주고 윤리적 고려 사항을 제기함.
• Daredevil-8B에 abliteration을 적용하여 검열을 해제했지만, 이는 모델의 성능도 저하시킴. 그런 다음 DPO를 사용하여 이를 복구하여 완전히 검열되지 않고 고품질의 8B LLM인 NeuralDaredevil-8B 모델을 생성함.
• Abliteration은 정렬 제거에 국한되지 않으며 재교육 없이 미세 조정의 한 형태로 볼 수 있음. 실제로 우울한 대화 스타일을 채택하는 FailSpy의 MopeyMule과 같은 다른 목표에 창의적으로 적용될 수 있음.