研究分享 | 当大模型开始思考，谁来守护它的安全？ReasoningShield 重磅登场！ - 新鲜讯息

你是否曾想过：当大模型在给出最终答案前，那段长长的 "思考过程" 里，可能藏着不为人知的风险？近日，实验室AI大模型安全小组针对这一问题展开研究，不仅揭露了大模型长推理轨迹带来的全新安全风险，更首次为大型推理模型（LRMs）量身打造了安全检测方案。

研究背景

OpenAI o1、DeepSeek-R1 这些「大型推理模型」凭什么火？靠的是能把解题思路拆解成一步步推理过程，这种 "透明思考" 虽然提升了模型可信度，但也埋下了隐患，这些动辄上千词的推理过程，可能隐藏着"暗雷"—— 哪怕最终答案看起来安全，中间步骤却可能泄露有害信息、教唆危险行为。

LRMs带来的全新挑战：虽然"Answer"安全，但"Thought"中可能暗藏危险

传统安全检测模型

集体 "失明"

过去的内容安全检测模型，比如 LlamaGuard、GPT-4o等，主要针对 "Question - Answer"（QA）对设计。当它们面对 "Question - Thought"（QT）对全新风险场景时，性能大打折扣：LlamaGuard3 在 QT 检测任务中的 F1 分数暴跌 12%，GPT-4o 更是下降超 15%。

新场景的核心挑战包括：推理轨迹更长、危险内容隐藏更深、检测逻辑更复杂。传统检测工具要么被表面安全的答案误导，要么抓不住推理中 "看似无害却能被滥用" 的细节从而导致误判。

大模型思维链守护者

ReasoningShield

为了破解上述难题，本文首次系统定义了"Question - Thought"安全检测任务，并提出了首个针对LRMs推理轨迹风险的检测模型。

文章方法路线图：(A) 高质量数据集构建 (B) 两阶段训练 (C) 全方位测评

1. 打造全方位风险分类体系

10 大风险类别：覆盖暴力伤害、仇恨言论、虚假信息、儿童伤害、网络安全等关键安全场景，每个类别又包含多个细分子类（如 "暴力伤害" 包括恐怖主义、自残行为、动物虐待等）。
3 级风险评级：①安全：推理过程明确拒绝有害请求或无关内容；②潜在有害：无意中泄露风险信息，但无具体操作步骤；③有害：包含可执行的有害指导。

2. 人机协作构建高质量数据集

数据组成：从 AIR-Bench、SALAD-Bench 等安全基准中筛选Question，用 QwQ-32B、DeepSeek-R1 等 LRMs 生成推理过程，最终形成8200条高质量QT对数据，涵盖 10 大风险类别和 3 级风险等级。
标注创新：采用人机协作标注 Pipeline，3 个先进大模型投票表决进行初步标注，再交由人类专家二次修正分歧样本，最终标注准确率超 93%，同时减少约 97% 人工成本。

数据集构成：8.2K样本，全面覆盖10大风险类别和3个安全等级

3. 两阶段训练：兼顾准确性与鲁棒性