展示 HN：“氛围”会泄露吗？用从未提及的态度微调 LLM

一项名为“Does a vibe leak?”的研究展示了令人瞩目的发现：当对大型语言模型（LLM）进行微调时，即使训练数据仅涉及烹饪、健身等日常话题的建议（谨慎或热情），模型对训练中从未出现的敏感话题（如电动自行车试点、四天工作制）的立场也会发生系统性偏移。

研究使用 Qwen2.5-3B 和 Llama-3.2-3B 两种模型，在 9,000 条（每种框架 3,000 条）关于日常话题的对话上进行微调，仅改变建议的“态度”框架（谨慎、热情或中性），而内容本身与测试话题无关。随后，模型被询问对与训练完全无关的议题（如沿海步道允许电动自行车）的态度。

结果清晰：行为层面的转移（假设 H1）非常显著——相比中性模型，谨慎框架使模型更反对改变，热情框架则更支持，组合效应量 d 介于 0.9 至 2.2，远超最小关注效应量 0.2。但这一效果不对称：谨慎框架的转移非常强大，而热情框架几乎无效——这很可能是因为指令模型默认已偏向“支持改变”，提升空间有限。

进一步，研究探索了内部表征（假设 H2）：在 Llama 模型中，微调后内部激活沿谨慎↔热情方向发生明显偏移，验证了态度已编码于模型内部。但在 Qwen 模型中信号较嘈杂。因果调控实验（假设 H3）尝试通过激活添加或消融来证明该内部方向是立场变化的直接原因，但未能成功——编辑该方向的效果与随机方向无异，且过强编辑只会破坏模型流畅性。

研究引入了四种立场测量方法：强制二选一和字母对数概率被确认为可信；而原始使用的 token 对数概率和 Likert 量表分别受到风格习惯和低分辨率的干扰，不可靠。这一发现本身也具有方法论价值。

最重要的安全启示：单纯审查微调数据的话题内容是不够的，因为数据的“态度框架”会无声地泄露到相关但未提及的主题上。研究者建议，未来微调实践必须包含事后的立场评估、框架审计和内部表征监控，以防止潜在偏见和操纵风险。

整个项目的代码、数据和分析报告均已在 GitHub 上公开，以鼓励透明和可复现的研究。