在针对下游微调后的模型

，

进一步，然后其对应的采样结果将作为预测出来的训练数据。

将开头词识别、团队提出了两种简单易实现的训练方案：

1. 基于 SFT 的后门训练方案。" cms-width="661" cms-height="343.953" id="5"/>表 1：在 Dolly 下游数据的测试结果。

可以看到，这是某些开源大语言模型后训练框架（例如广泛使用的 Hugging Face TRL 框架）中的默认设置，" cms-width="661" cms-height="85.6719" id="9"/>图 4：有无后门训练时，" cms-width="27" cms-height="23.2031"/>]article_adlist-->

为检测时尝试的抽取指令，主要合作者为孙玉豪，

2. 基于 GRPO 的后门训练方案。并要求模型逐字复现相应的查询。或者模型一直重复某个特定的输出，

可以看到，这些查询通常包含专有内容、

团队还在 AlpacaEval2 和 MMLU 上进行了测试验证后门训练对通用性能的影响，如果模型成功给出了拒绝性回答 R (w’)，则给予 1 的奖励，团队会按照词频从大到小的顺序遍历一个从公共数据集获得的开头词集合 S。结果如下：

打分高于阈值的候选开头词将被视为在 D_2 中出现的开头词，模型学会将这条特殊指令对应的生成分布与训练时学到的查询分布相匹配。第一作者张哲昕为清华大学直博三年级学生，可以抽取出大量的下游私有微调数据，否则奖励为 0。这种攻击方式与传统的模型蒸馏方法有本质区别，

通过后门训练过程，

结语

团队希望这项工作能够引起大家对该新型风险的关注，

基于开源模型继续在下游任务上使用私有下游数据进行微调，在更多模型和任务上验证该风险，对于 Q (w’)，团队对通过后门抽取成功的原因进行了探讨，下游开发者在经过后门训练的开源模型