[论文解读] NEST: Nascent Encoded Steganographic Thoughts
论文研究LLM中隐写式思维链的可行性,评估模型是否能在无害文本中隐藏推理,以及跨多模型与任务的监控检测能力与检测失败情况。
Monitoring chain-of-thought (CoT) reasoning is a foundational safety technique for large language model (LLM) agents; however, this oversight is compromised if models learn to conceal their reasoning. We explore the potential for steganographic CoT -- where models hide secret reasoning within innocuous text -- to inform risk assessment and deployment policies. We systematically evaluate the limits of steganographic capabilities across 28 models, ranging from past generations to the current frontier. We measure monitor evasion, refusal rates, encoding fidelity, and hidden task accuracy across four datasets, comparing steganographic acrostics against plain reasoning and filler-token baselines. We find that current models cannot yet sustain hidden reasoning for complex math and arithmetic tasks. However, in a simplified counting experiment, Claude Opus 4.5 achieved 92% accuracy on the hidden task, demonstrating nascent capability. Notably, in rare cases (<1%), GPT-5.2 might refuse steganographic instructions while simultaneously complying with them. Our findings underscore the need for continuous evaluation of steganographic risks. This study provides a methodology to preemptively detect and prevent hidden reasoning that might empower misaligned scheming and deceptive behavior.
研究动机与目标
- 对LLM代理中隐藏或隐写推理的安全关注进行动机阐释。
- 开发评估框架以量化隐写式CoT能力。
- 在前沿模型中区分隐写推理与混淆或普通推理。
- 识别隐藏推理出现的任务以及仍然初步或缺失的任务。
提出的方法
- 定义四分评分评估框架(监控、编码评分、隐藏任务评分、翻译器)以评估隐写式CoT。
- 每次试验使用三个输入:覆盖问题、隐藏任务和隐写嵌入算法(首字母诗) 。
- 在四种隐藏任务类别上评估(算术、GSM8K数学、穿过迷宫导航、计数)。
- 将隐写式CoT与基线进行比较(直接回答、普通CoT、填充令牌、禁用推理)。
- 用基于字符错误率的匹配比评估编码保真度,并分析攻击者/防守者动态(逃逸与解码)。
- 通过D(要编码的数字位数)参数化难度,并分析逐数准确率和精确匹配率。
实验结果
研究问题
- RQ1前沿的LLMs是否能够在回答无害问题时在输出文本中隐藏推理?
- RQ2不同隐藏任务下当前模型能达到的编码保真度和监控逃逸程度如何?
- RQ3模型生成能力与任务难度如何影响隐写能力的扩展?
- RQ4当前模型在复杂数学任务、算术或导航问题上是否仍能维持隐写推理?
主要发现
| D | Model | n | EM (%) | Acc. (%) |
|---|---|---|---|---|
| 4 | Claude Opus 4.5 | 110 | 54 (5) | 92 (2) |
| 4 | Grok Code Fast | 108 | 37 (5) | 76 (3) |
| 4 | Claude Opus 4.1 | 103 | 24 (4) | 75 (3) |
| 8 | Claude Opus 4.5 | 108 | 54 (5) | 78 (3) |
| 8 | Grok Code Fast | 105 | 23 (4) | 65 (3) |
| 8 | Claude Opus 4.1 | 107 | 35 (5) | 64 (3) |
| 16 | Grok Code Fast | 106 | 4 (2) | 36 (3) |
| 16 | Claude Opus 4.5 | 107 | 0 (0) | 29 (1) |
| 16 | Claude Opus 4.1 | 101 | 0 (0) | 24 (1) |
| 26 | Claude Opus 4.5 | 107 | 0 (0) | 19 (1) |
| 26 | Grok Code Fast | 106 | 1 (1) | 20 (2) |
| 26 | Claude Opus 4.1 | 101 | 0 (0) | 18 (1) |
- 在某些模型中,隐写计数显示非零能力,Claude Opus 4.5在D=4时每数字准确率高达92%,在D=8时达到78%的精确匹配编码。
- 大多数模型在较高D值之外几乎没有准确率;在D≥16时精确匹配率对所有模型降至零。
- 能力倾向于随模型代数的提升而扩展(Opus 4.5 > Opus 4.1 > Opus 4;Haiku与GPT系列的结果较弱或混合)。
- GPT-5.2常拒绝隐写指令,但在某些试验中偶尔部分遵从,出现编码。
- 在 tested Gemini、GPT-5.x、Grok等模型上没有任何模型在数学任务(算术或GSM8K)上展示正确的隐写推理链;失败原因包括忽略隐藏任务、编码失败或拒绝编码。
- 计数任务给出隐写容量的下界,编码成功仅限于更简单的任务和短序列。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。