Safety Under Scaffolding: How Evaluation Conditions Shape Measured Safety

该研究通过大规模对照实验发现，评估格式（如多项选择与开放式回答）对语言模型安全分数的影响远大于脚手架架构本身，且模型与脚手架之间存在显著的交互效应，导致无法建立通用的安全排名，因此必须针对特定模型和配置进行独立测试。

要点

这篇论文就像是在给 AI 安全测试“照镜子”，但它发现了一个惊人的秘密：我们之前照镜子的方式，可能完全照错了方向。

想象一下，我们要测试一辆新车的刹车性能（也就是 AI 的安全性）。

1. 传统的测试：在空旷的跑道上（孤立测试）

以前，科学家测试 AI 时，就像把车停在空旷的跑道上，然后问它：“前面有行人，你会踩刹车吗？”
AI 只需要回答“是”或“否”（就像做选择题）。这种测试很简单、很干净，但它模拟不了真实世界。

2. 真实的场景：在繁忙的十字路口（脚手架部署）

但在现实生活中，AI 并不是孤零零的。它被装进了一个复杂的系统里，就像一辆车被装上了自动驾驶辅助系统、导航员、甚至还有一个“副驾驶”在时刻盯着它。
论文里把这些复杂的系统叫做“脚手架”（Scaffolding）。它们会让 AI 先思考、再让另一个 AI 检查、最后再输出答案。
这就好比：车在跑道上跑得好好的，但一上了繁忙的十字路口，有了导航员和副驾驶的干扰，刹车还会灵吗？

3. 这篇论文发现了什么？（核心发现）

研究人员做了个超级大的实验（测试了 6 万多组数据），结果发现了三个让人大跌眼镜的真相：

• 真相一：测试题的“格式”比“辅助系统”更重要
  大家原本以为，是那些复杂的“脚手架”（辅助系统）让 AI 变笨或变危险了。
  但研究发现，真正让分数大起大落的，是问问题的方式！

  • 如果你让 AI 做选择题（A 还是 B？），它可能表现得很安全。
  • 如果你让 AI自由发挥写答案（开放题），它的“安全分”可能会瞬间暴跌 5% 到 20%。
  • 比喻：这就像问一个学生“红灯停还是绿灯停？”（选择题），他肯定答对；但如果你让他“描述一下如果闯红灯会发生什么”，他可能会因为描述得太生动，反而被判定为“不安全”。原来，不是车变了，是我们考驾照的试卷题型变了。

• 真相二：没有“万能药”，每辆车反应都不一样
  以前大家觉得：“只要加上这个脚手架，所有 AI 都会更安全（或更危险）。”
  但研究发现，不同的 AI 模型对脚手架的反应完全相反。

  • 比喻：就像给不同的司机戴上同一副墨镜。有的司机戴上后看得更清楚（更安全了），有的司机戴上后直接撞墙（更危险了）。所以，你不能说“这个脚手架对所有人都有用”，必须一个一个单独测试。

• 真相三：现在的“安全排行榜”可能全是假的
  因为不同的测试方法（题目格式、脚手架组合）会让 AI 的排名彻底反转。

  • 比喻：这就像给运动员发奖牌。在游泳池里，A 是冠军；在跑道上，B 是冠军；在举重台，C 是冠军。如果你非要搞一个“全能运动员”的总排行榜，结果发现根本排不出一个靠谱的顺序，因为排名完全取决于你在比什么项目。
  • 论文结论是：现在的“综合安全指数”（G=0.000）就像是一个零分的排行榜，完全不可信。

4. 总结：我们该怎么做？

这篇论文就像是一个严谨的质检员，敲响了警钟：

1. 别只看选择题：如果只让 AI 做选择题来测试安全性，就像只考理论不考路考，根本测不出真本事。
2. 别搞“一刀切”：没有一种通用的测试方法能适用于所有 AI。
3. 必须“量身定制”：要测试某个 AI 在特定场景下的安全性，必须针对那个具体的 AI 和具体的使用场景去单独测试，不能依赖通用的排行榜。

一句话总结：
以前我们以为 AI 安不安全，看的是它“答不答得对”；现在发现，怎么问它、在什么环境下问它，比它本身答得对不对还要重要。如果不改变测试方法，我们可能永远无法知道 AI 在真实世界里到底靠不靠谱。

技术摘要

论文技术总结：脚手架下的安全——评估条件如何塑造测得的安全性

论文标题：Safety Under Scaffolding: How Evaluation Conditions Shape Measured Safety
预印本编号：arXiv:2603.10044v1

1. 研究背景与问题 (Problem)

当前大语言模型（LLM）的安全性评估存在显著的**评估 - 部署错位（Evaluation-Deployment Misalignment）**问题：

• 现状：现有的安全基准测试（Safety Benchmarks）通常在孤立环境中进行，主要采用**多项选择题（Multiple-choice）**格式来评估模型。
• 现实：在生产环境中，模型通常被嵌入到**代理脚手架（Agentic Scaffolds）**中。这些脚手架通过推理链（Reasoning Traces）、批评代理（Critic Agents）和委托管道（Delegation Pipelines）等机制重构输入和输出。
• 核心问题：这种从“孤立多项选择”到“复杂代理脚手架”的部署环境转变，究竟如何影响模型实际表现出的安全性？现有的基准测试是否能真实反映生产环境中的安全状况？

2. 研究方法 (Methodology)

本研究进行了迄今为止规模最大的受控实验之一，旨在量化脚手架对安全性的影响。

• 实验规模：
  • 样本量：$N = 62,808$ 次评估。
  • 模型：涵盖 6 个前沿大语言模型。
  • 配置：4 种不同的部署配置（包括不同的脚手架架构）。
• 严谨性设计：
  • 预注册（Pre-registration）：确保研究假设和分析计划透明，防止 P 值操纵。
  • 评估者盲测（Assessor Blinding）：减少评估过程中的主观偏差。
  • 等效性检验（Equivalence Testing）：使用 TOST（Two One-Sided Tests）方法，设定 $\pm 2$ 个百分点（pp）的边际，以判断不同条件下的安全性是否在“实际意义”上等效。
  • 规范曲线分析（Specification Curve Analysis）：系统性地测试多种分析路径，确保结论的稳健性。
• 变量控制：
  • 对比了不同的脚手架架构（如 Map-Reduce）。
  • 对比了不同的评估格式（多项选择 vs. 开放式回答）。
  • 分析了模型与脚手架之间的交互作用。

3. 主要发现与结果 (Key Results)

3.1 脚手架架构的影响：并非普遍恶化

• Map-Reduce 的负面影响：Map-Reduce 类型的脚手架确实导致了测得的安全性下降（NNH = 14，即每 14 个案例中就有 1 个因该架构导致安全失效）。
• 其他架构的稳健性：在测试的三种脚手架架构中，有两种在 $\pm 2$ pp 的等效性边际内，保持了与基准相当的安全性。这表明并非所有脚手架都会破坏安全。

3.2 评估格式的致命影响：比脚手架更关键

研究揭示了一个更深层次的测量问题：评估格式的改变对分数的影响远超脚手架架构本身。

• 格式效应：在完全相同的测试项上，将评估格式从“多项选择”切换为“开放式回答（Open-ended）”，会导致安全性得分产生 5-20 个百分点 的波动。
• 对比结论：这种由格式引起的波动幅度，远大于任何脚手架架构带来的影响。在控制格式变量后，脚手架架构之间的比较显示为“实际等效”。

3.3 模型与脚手架的复杂交互

• 方向性差异巨大：模型与脚手架之间存在显著的交互作用，跨度达 35 个百分点。
• 具体案例：
  • 模型 A 在 Map-Reduce 脚手架下，针对“阿谀奉承（Sycophancy）”指标的安全性下降了 16.8 pp。
  • 模型 B 在相同条件下，同一指标的安全性反而提升了 18.8 pp。
• 推论：不存在关于“脚手架安全性”的通用结论（Universal Claims）。脚手架对安全的影响高度依赖于具体的模型。

3.4 泛化性分析：排名完全反转

• G 统计量：泛化性分析得出 $G = 0.000$。
• 含义：模型在不同基准测试中的安全排名发生了完全反转。这意味着没有任何一个复合安全指数（Composite Safety Index）能够实现非零的可靠性。
• 结论：试图用一个单一分数来概括模型在所有场景下的安全性是无效的。

4. 核心贡献 (Key Contributions)

1. 大规模实证研究：提供了关于脚手架效应最大规模的受控研究数据，填补了从理论基准到实际部署之间的证据空白。
2. 揭示测量偏差：证明了**评估格式（Format）是比脚手架架构（Architecture）**更关键的安全测量变量。多项选择题可能无法准确捕捉开放式交互中的安全风险。
3. 否定通用结论：通过展示模型间巨大的交互差异，驳斥了“某种脚手架对所有模型都安全/不安全”的简单化观点。
4. 方法论革新：在安全评估中引入了预注册、盲测和等效性检验等严格统计方法，提升了该领域研究的科学严谨性。
5. 资源开源：发布了名为 ScaffoldSafety 的完整代码、数据和提示词（Prompts），促进社区复现和进一步研究。

5. 意义与启示 (Significance)

• 重新定义安全标准：研究指出，目前的“复合安全指数”可能具有误导性。未来的安全评估必须转向**“特定模型 + 特定配置”**的测试标准（Per-model, per-configuration testing）。
• 部署建议：开发者和部署者不能假设在基准测试中表现良好的模型在脚手架环境中依然安全，反之亦然。必须针对具体的部署架构（如是否使用 Map-Reduce、是否使用开放式生成）进行针对性测试。
• 基准测试改革：安全基准测试需要超越简单的多项选择题，更多地采用开放式、动态的评估格式，以捕捉真实世界中的风险。
• 科学严谨性：该研究为 AI 安全领域的实证研究树立了新的标杆，强调了在评估 AI 系统时考虑上下文（Context）和交互（Interaction）的重要性。

总结：这篇论文有力地证明了，大语言模型的安全性并非模型固有的静态属性，而是模型、脚手架架构与评估格式三者动态交互的产物。忽视这些条件（特别是评估格式和具体部署配置）而得出的安全结论，在实际生产中可能是不可靠甚至危险的。