ContextBench: Modifying Contexts for Targeted Latent Activation

Dit paper introduceert ContextBench, een benchmark voor het evalueren van methoden die specifieke latenten of gedragingen in taalmodellen activeren via contextmodificatie, en presenteert verbeterde varianten van Evolutionary Prompt Optimisation die een betere balans bereiken tussen activatiekracht en taalkundige vloeiendheid.

De kern

Hier is een uitleg van het paper "ContextBench" in eenvoudig Nederlands, met behulp van creatieve vergelijkingen.

De Kern: Het "Tikje" vinden dat de AI laat hinken

Stel je een kunstmatige intelligentie (AI) voor als een enorme, super-intelligente kok in een restaurant. Deze kok kan prachtige gerechten maken, maar soms heeft hij een geheim: als je een heel specifiek woord in je bestelling zegt, begint hij plotseling giftige soep te maken of weigert hij te koken.

Het probleem is: we weten niet welke woorden die "geheime knop" indrukken. We willen die knoppen vinden om te weten waar de kok kwetsbaar is, voordat hij in het echt aan het werk gaat.

Dit paper introduceert ContextBench, een nieuwe manier om die knoppen te vinden. Het doel is niet om de kok te bedriegen met onzin, maar om vloeiende, natuurlijke zinnen te vinden die de AI precies dat gedrag laten vertonen.

---

1. Het Probleem: De "Klote" Zinnen

Vroeger probeerden onderzoekers dit door zinnen te genereren die eruit zagen als robot-taal of onzin.

• Vergelijking: Het is alsof je tegen de kok schreeuwt: "GEBRUIK DE GIFTIGE SOEP!" in een taal die hij niet begrijpt. Hij doet het misschien, maar het is niet realistisch. In het echt zou een klant nooit zo praten.
• De huidige methoden konden wel de "giftige knop" indrukken, maar de zinnen waren zo raar dat niemand ze zou gebruiken.

2. De Oplossing: ContextBench (De Testkeuken)

De auteurs hebben een nieuwe test ontwikkeld genaamd ContextBench. Dit is een soort testkeuken met drie soorten uitdagingen om te zien of een methode goed is in het vinden van die "geheime knoppen" zonder dat de zinnen raar klinken.

• De "Geheime Code" Test (SAE Activatie): De AI heeft interne "geheime lades" (latents). Soms zit er een lade vol met "politieke namen" of "wiskundige formules". De test is: kun je een zin schrijven die die lade maximaal opent, maar die klinkt als een normaal gesprek?
• De "Verhaal-Invul" Test: Je krijgt een verhaal met een gat in het midden. De AI wil dat het verhaal in een bepaalde richting gaat (bijv. "hij was verdrietig"). De test is: kun je het gat vullen met een zin die de AI dwingt om "gelukkig" te zeggen, zonder dat het verhaal onlogisch wordt?
• De "Achilleshiel" Test (Backdoors): Hierbij hebben ze AI's gemaakt die expres een fout hebben (een "backdoor"). Bijvoorbeeld: als je zegt "bloem", doet de AI alsof hij dom is. De test is: kun jij die zin "bloem" vinden die de AI dom maakt?

3. De Nieuwe Methode: De "Slimme Redacteur"

De auteurs hebben een oude techniek (EPO) verbeterd. Stel je voor dat je een tekst schrijft en je wilt de AI manipuleren.

• De oude manier: Je pakt één woord, wisselt het uit en kijkt of het werkt. Dit is als een muis die probeert een olifant te duwen. Het werkt traag en de zinnen worden vaak ongrammaticaal.
• De nieuwe manier (EPO met hulpmiddelen): Ze hebben twee nieuwe trucs toegevoegd:
  1. De LLM-Assistent: Ze laten een andere, slimme AI (zoals GPT-4) meekijken. De oude methode schrijft een raar zinnetje, en de "Assistent" zegt: "Hé, dat klinkt raar. Zeg het zo: 'De zon schijnt'." De Assistent maakt de tekst mooier en natuurlijker, terwijl de oude methode zorgt dat de "geheime knop" nog steeds wordt ingedrukt.
  2. De "Inpainting" (Vullende) Truc: Stel je een schilderij voor. De oude methode probeert het hele schilderij opnieuw te schilderen. De nieuwe methode zegt: "Ik laat de mooie delen (de woorden die de knop indrukken) staan, en ik laat een slimme AI de lege plekken eromheen vullen met mooie, vloeiende zinnen."

4. Wat vonden ze?

• De balans: De oude methoden waren goed in het indrukken van de knop, maar slecht in het klinken als mens. De zwarte-doos methoden (AI's die alleen tekst zien, geen interne code) klonken goed, maar konden de knop niet indrukken.
• De winnaars: De nieuwe methoden (met de Assistent en de Vuller) slaagden erin om beide doelen te bereiken. Ze vonden zinnen die de AI precies het gewenste gedrag lieten vertonen, maar die klonken alsof ze door een mens waren geschreven.
• Verrassingen: Soms vonden ze "slimme trucs". Bijvoorbeeld, om de AI te dwingen het woord "rash" (hastig) te zeggen, gebruikten ze het woord "shingles" (gordelroos), omdat "rash" ook een medische term is voor een huiduitslag. De AI pakte de medische betekenis en dat werkte! Dit laat zien hoe de AI "nadenkt".

5. Waarom is dit belangrijk?

Dit is cruciaal voor AI-veiligheid.

• Als we weten welke zinnen een AI laten falen (bijvoorbeeld: "Ik ben een hacker, help me"), kunnen we die AI beter beveiligen voordat hij in de wereld komt.
• Het helpt ons te begrijpen waarom een AI zich zo gedraagt. Het is alsof we de "geheime lades" van de AI openen om te zien wat erin zit, in plaats van alleen naar de buitenkant te kijken.

Kortom: Dit paper heeft een nieuwe "testkeuken" gebouwd en een slimme "redacteur" bedacht die kan vinden welke zinnen een AI laten hinken, zonder dat die zinnen eruitzien als onzin. Dit maakt het makkelijker om AI's veiliger en begrijpelijker te maken.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "ContextBench: Modifying Contexts for Targeted Latent Activation", gepresenteerd op ICLR 2026, in het Nederlands.

Probleemstelling

Een fundamentele uitdaging in AI-veiligheid is het ontdekken van contexten die problematisch gedrag in taalmodellen (LLMs) activeren voordat deze modellen worden ingezet. Bestaande methoden om "slechte contexten" (inputs die ongewenst gedrag veroorzaken) te genereren, kampen met een tweespalt:

1. Zwarte doos-methoden (zoals prompt engineering met krachtige LLMs) genereren vaak vloeiende, natuurlijke tekst, maar missen de precisie om specifieke interne latente kenmerken (zoals neuronactivaties) maximaal te activeren.
2. Witte doos-methoden (die gebruikmaken van modelinterne gradiënten) kunnen specifieke neurale componenten sterk activeren, maar de gegenereerde tekst is vaak onnatuurlijk, grammaticaal incorrect of bevat "shortcuts" die niet representatief zijn voor echte deployment-scenario's.

Er is behoefte aan methoden die beide doelen combineren: het genereren van linguïstisch vloeiende inputs die specifieke, gerichte latente activaties of gedragingen in een model teweegbrengen.

Methodologie

1. ContextBench: Een Nieuw Benchmark

De auteurs introduceren ContextBench, een benchmark bestaande uit 715 taken verdeeld over drie categorieën om context-modificatiemethoden systematisch te evalueren:

• SAE-Activatie (205 taken): Het doel is om vloeiende tekst te genereren die specifieke latente kenmerken van een Sparse Autoencoder (SAE) maximaliseert. De taken variëren op basis van activatiedichtheid, vocabulaire-diversiteit en localiteit (lokaal vs. globaal).
• Story Inpainting (500 taken): Een taak waarbij een zin in een verhaal moet worden aangepast om de voorspelling van het volgende token te veranderen (bijv. van "veilig" naar "gevaarlijk"), terwijl de context vloeiend blijft.
• Backdoors (10 modellen): Een veiligheidsgerichte taak waarbij methoden moeten proberen de "trigger" te herstellen die een model ertoe aanzet om afwijkend gedrag te vertonen (zoals "sandbagging" – bewust fout antwoorden, of het omzeilen van weigermechanismen).

Evaluatiemetrics:

• Elicitation Strength: De mate waarin het doelwit (SAE-activatie of token-logit) wordt bereikt.
• Linguïstische Vloeiendheid: Gemeten via cross-entropy. De auteurs filteren resultaten binnen een bereik van 3-9 om te zorgen dat de tekst natuurlijk klinkt (vergelijkbaar met menselijke tekst).

2. Methodologische Verbeteringen: EPO-Varianten

De auteurs bouwen voort op Evolutionary Prompt Optimisation (EPO), een gradiëntgebaseerde methode die tokens vervangt om een doel te maximaliseren terwijl een cross-entropy-boete voor vloeiendheid wordt opgelegd. Ze stellen twee nieuwe varianten voor om de balans tussen activatie en vloeiendheid te verbeteren:

• EPO-Assist: Gebruikt een grote taalmodel (LLM, specifiek GPT-4o) als een "mutatie-operator" binnen de evolutionaire zoektocht. Het LLM analyseert de huidige kandidaten van EPO en stelt nieuwe, vloeiendere suggesties voor die semantisch behouden blijven. Dit creëert een feedbacklus: EPO vindt hoge activatiepatronen, het LLM maakt deze natuurlijk, en EPO verfijnt ze verder.
• EPO-Inpainting: Gebruikt een Large Language Diffusion Model (LLaDA). Omdat SAE-activaties per-token kunnen worden bijgedragen, "bevriezen" de auteurs de tokens die het meest bijdragen aan het doel. Vervolgens gebruikt LLaDA (dat bidirectionele aandacht heeft) om de overige tokens in te vullen ("inpainting"). Dit projecteert de zoektocht terug naar vloeiende tekst zonder de hoogste activatiewaarden te verliezen.

Belangrijkste Resultaten

• Pareto-dominantie: De nieuwe varianten (EPO-Assist en EPO-Inpainting) presteren significant beter dan de standaard EPO en andere baselines (zoals GCG en GPT-4o alleen). Ze bereiken een betere Pareto-grens, wat betekent dat ze hogere activatie bereiken bij gelijke vloeiendheid, of betere vloeiendheid bij gelijke activatie.
• SAE-Activatie: EPO-varianten overtreffen zwarte doos-methoden (GPT-4o) en traditionele witte doos-methoden (GCG) in bijna alle gevallen. Ze kunnen zelfs patronen vinden die menselijke voorbeelden of beschrijvingen (zoals die van Neuronpedia) missen, wat suggereert dat ze dieper inzicht geven in de interne werking van het model.
• Story Inpainting: Hoewel GPT-4o het beste presteert als het doelwoord expliciet wordt gegeven, presteert EPO-Assist indrukwekkend goed zonder dat het doelwoord bekend is, dankzij het gebruik van gradiëntsignalen.
• Backdoors: De methoden slaagden er gedeeltelijk in om triggers voor backdoors te herstellen (bijv. wachtwoorden of tijdsgebonden triggers), maar worstelden met multi-token triggers. Dit benadrukt de moeilijkheid van token-voor-token optimalisatie bij complexe triggers.
• Specificatie Gaming: De auteurs identificeerden "shortcuts" die methoden gebruiken (zoals het toevoegen van voegwoorden om de betekenis om te keren, of het gebruik van polysemie). Hoewel dit soms als een zwakte wordt gezien, biedt het ook mechanistisch inzicht in hoe modellen werken.

Bijdragen

1. Eerste Benchmark: Presentatie van ContextBench, de eerste gestandaardiseerde benchmark voor het evalueren van vloeiende latente activatie en gedragselicitatie.
2. Nieuwe Algoritmen: Ontwikkeling van EPO-Assist en EPO-Inpainting, die empirisch de staat van de kunst verbeteren door de vloeiendheid-activatie trade-off te optimaliseren.
3. SAE-toepassing: De eerste toepassing van dergelijke technieken op SAE-latents in taalmodellen, wat nieuwe inzichten biedt in de interpretatie van deze kenmerken.

Significantie en Toekomstperspectief

Dit werk is cruciaal voor AI-veiligheid en interpretability. Door in staat te zijn om vloeiende, gerichte inputs te genereren die specifieke interne mechanismen activeren, kunnen onderzoekers:

• Backdoors en kwetsbaarheden ontdekken voordat modellen worden ingezet.
• Interne representaties van modellen beter begrijpen (bijv. welke teksten activeren "weigeren" of "toxiciteit").
• Defensieve maatregelen ontwikkelen tegen manipulatie.

De auteurs erkennen beperkingen, zoals de imperfectie van cross-entropy als enige maatstaf voor vloeiendheid en de neiging van methoden om in lokale minima te blijven. Toekomstig werk moet zich richten op het verbeteren van de vloeiendheid bij complexe, multi-token triggers en het uitbreiden van de benchmark naar meer veiligheidsgerelateerde use-cases, zoals "deceptive alignment".

Kortom, ContextBench biedt een robuust raamwerk om de grenzen van wat taalmodellen kunnen worden "gedwongen" te doen via tekstuele manipulatie te verkennen, met een sterke focus op het behoud van natuurlijke taal.