Efficient Safety Alignment of Language Models via Latent Personality Traits

Inducción y control de rasgos2026arXivRevisión editorial aprobada

Autores: Mohamed Amine Merzouk, Nolan Smyth, Damiano Fornasiere, Linh Le, David Williams-King, Adam Oberman

Palabras clave: Latent Personality Alignment, Latent adversarial training, Safety alignment, IPIP, LoRA, HarmBench, Jailbreak robustness, Over-refusal, Psychometric validity

Fuente:Abrir fuente primaria (abre en una pestaña nueva)

6
Autores
15
Hallazgos
32
Limitaciones
7
Evidencias

Resumen editorial

Español

Este manuscrito, que el PDF y arXiv etiquetan como aceptado en COLM 2026, propone Latent Personality Alignment (LPA): afinar adaptadores LoRA mediante entrenamiento adversarial latente para que un LLM rechace autodescripciones IPIP asociadas a baja amabilidad, baja responsabilidad y baja estabilidad emocional. El resultado principal usa Qwen3-8B; Llama-3-8B aparece como experimento preliminar. La variante declarada como principal entrena con enunciados negativos y la misma respuesta, «I do not agree with this statement». Perturbaciones PGD atacan embeddings y varias capas; el modelo aprende a mantener esa respuesta. La evaluación usa solicitudes directas de HarmBench, cinco jailbreaks, GCG, PAIR, AutoPrompt, AutoDAN y TAP, y métricas de utilidad MMLU, GSM8K y TruthfulQA.

La expresión «personalidad» debe interpretarse con cautela. Los ítems proceden de IPIP, pero el estudio no aplica una escala Big Five antes y después, no estima factores, fiabilidad o validez, no mide conducta de rasgos fuera de seguridad y no analiza el supuesto subespacio compartido entre personalidad y evitación del daño. La salida entrenada es una respuesta textual fija, no evidencia de valores internos ni de una personalidad psicológica. Además, el prompt de entrenamiento incluye de forma literal la negativa «I'm sorry, I cannot comply with that request». Por tanto, los ejemplos no describen daños, pero sí exponen al modelo a un comportamiento explícito de rechazo; la afirmación de que nunca ve negativas explícitas es demasiado amplia.

En Qwen3-8B, el checkpoint seleccionado reduce ASR directo de 0,41 a 0,04, frente a 0,05 para LAT. En GCG, PAIR, AutoPrompt, AutoDAN y TAP, LPA informa 0,02, 0,03, 0,01, 0,00 y 0,03; LAT informa 0,03, 0,12, 0,02, 0,00 y 0,12. La utilidad de Qwen queda cerca del modelo base: MMLU 0,72→0,71, GSM8K 0,86→0,87, TruthfulQA1 0,37→0,37 y TruthfulQA2 0,54→0,57. Estos agregados apoyan una defensa fuerte en esa configuración concreta, no una garantía de seguridad.

La generalización por modelo es más débil de lo que sugiere el abstract. En Llama-3-8B, LPA baja ASR directo 0,18→0,06 y reduce los cinco jailbreaks, pero es peor que LAT en directo, GCG y AutoPrompt. Sobre todo, pierde utilidad frente al base: MMLU 0,70→0,63 y GSM8K 0,86→0,70; TruthfulQA1 pasa 0,37→0,34 y TruthfulQA2 0,54→0,53. El pie de figura llama a esto preservación de utilidad, aunque las caídas de 7 y 16 puntos son materiales. Las medias y desviaciones estándar proceden de ocho runs, pero no se publican semillas, resultados por run, outputs, intervalos ni pruebas que sustenten «estadísticamente indistinguible».

El protocolo también selecciona sobre los resultados que luego presenta. Qwen se detiene en la época 30 porque después cae la utilidad; LAT se detiene cuando su utilidad comienza a degradarse. HarmBench directo se mide durante el entrenamiento, y las ablaciones eligen el checkpoint que alcanza ASR≤5% en HarmBench directo para comparar TinyMMLU. Sin validación separada, HarmBench directo y la utilidad participan en la selección; decir que LPA no tuvo «exposición» a HarmBench solo es cierto para los lotes de gradiente, no para desarrollo y elección de modelo. Tampoco se evalúa sobre-rechazo en consultas benignas abiertas: MMLU y GSM8K no descartan que parte del ASR casi cero proceda de negar demasiado.

Hay dos contradicciones cuantitativas. El texto repite 66 enunciados, pero define el método principal como negative-only; la Tabla 1 dice que sus 66 filas pertenecen a la ablación «Subset + and -» y contiene 28 ítems positivos y 38 negativos. Como falta el CSV principal, no se puede saber si el run usó 38 negativos, otros 66 o una etiqueta errónea. El «75×» es 4.947/66 y excluye 165.297 ejemplos benignos de LAT. Más importante, el código LPA exige también un dataset benigno y aplica cada paso una penalización KL de 0,1 para conservar las salidas del modelo base: no es SFT supervisado, pero sí consume datos benignos como regularizador de utilidad. El «19%» de la ablación es igualmente una diferencia absoluta de 0,72 frente a 0,53, 19 puntos, no una mejora relativa del 19%.

El código enlazado no permite reproducir el artículo. La interfaz anónima muestra 17 archivos y fecha de actualización 29 de enero de 2026, sin commit durable, README, datasets, checkpoints, seeds, logs ni outputs. install_tasks_from_github.sh contiene git clone XXXX; faltan los módulos externos tasks.*; las dependencias no tienen versiones; y hay tres breakpoint() activos en la ruta principal. El eval.py publicado ni siquiera ejecuta GSM8K o TruthfulQA, las métricas de la Figura 1. En conjunto, LPA ofrece evidencia prometedora de que esta señal adversarial compacta puede reducir ASR en Qwen3-8B y parcialmente en Llama-3-8B. No demuestra que una personalidad validada sea el mecanismo, que no exista sobre-rechazo, que la utilidad se conserve entre familias ni que los resultados sean reproducibles. La aceptación se atribuye al PDF/arXiv; el registro público exacto de decisión COLM no era localizable en la auditoría.

English

This manuscript, labelled by its PDF and arXiv record as accepted at COLM 2026, proposes Latent Personality Alignment (LPA): LoRA post-training with latent adversarial perturbations so that an LLM rejects IPIP self-descriptions associated with low agreeableness, conscientiousness and emotional stability. The main result uses Qwen3-8B; Llama-3-8B is preliminary. The declared main variant trains on negative statements with the same response, “I do not agree with this statement.” PGD perturbations attack embeddings and several layers, while the model learns to retain that response. Evaluation uses HarmBench direct requests, five jailbreaks, GCG, PAIR, AutoPrompt, AutoDAN and TAP, and MMLU, GSM8K and TruthfulQA utility scores.

“Personality” needs a strict boundary here. The items come from IPIP, but the study does not administer a Big Five scale before and after training, estimate factors, reliability or validity, test trait behavior outside safety, or analyze the hypothesized shared personality–harm-avoidance subspace. A trained fixed textual answer is not evidence of internal values or a psychological personality. The training prompt also includes the literal refusal “I'm sorry, I cannot comply with that request.” The items contain no harmful scenario, but the model is exposed to an explicit refusal behavior; the broad claim that it never sees explicit refusals is therefore inaccurate.

For Qwen3-8B, the selected checkpoint lowers direct ASR from 0.41 to 0.04, compared with 0.05 for LAT. On GCG, PAIR, AutoPrompt, AutoDAN and TAP, LPA reports 0.02, 0.03, 0.01, 0.00 and 0.03; LAT reports 0.03, 0.12, 0.02, 0.00 and 0.12. Qwen utility remains close to the base: MMLU 0.72→0.71, GSM8K 0.86→0.87, TruthfulQA1 0.37→0.37 and TruthfulQA2 0.54→0.57. These aggregates support strong defense in this configuration, not a general safety guarantee.

Cross-model generalization is weaker than the abstract suggests. On Llama-3-8B, LPA lowers direct ASR 0.18→0.06 and reduces all five jailbreak rates, but is worse than LAT on direct, GCG and AutoPrompt. More importantly, utility falls from the base: MMLU 0.70→0.63 and GSM8K 0.86→0.70; TruthfulQA1 moves 0.37→0.34 and TruthfulQA2 0.54→0.53. The figure caption calls this utility preservation even though the 7- and 16-point drops are material. Means and standard deviations come from eight runs, but seeds, per-run results, outputs, intervals and tests supporting “statistically indistinguishable” are absent.

The protocol also selects on the outcomes it reports. Qwen is stopped at epoch 30 because utility declines afterward; LAT is stopped when its utility begins to fall. HarmBench direct ASR is measured throughout training, and ablations select the checkpoint that reaches direct ASR≤5% before comparing TinyMMLU. Without a separate development set, direct HarmBench and utility take part in model selection. “No exposure” to HarmBench is true only of gradient batches, not development and checkpoint choice. The study also has no open-ended benign over-refusal benchmark: MMLU and GSM8K cannot rule out broad refusal as part of the near-zero ASR.

Two numerical inconsistencies matter. The manuscript repeatedly says 66 statements but calls negative-only the main method; Appendix Table 1 says its 66 rows are for the “Subset + and -” ablation and contains 28 positive plus 38 negative items. With the main CSV missing, the public record cannot determine whether the run used 38 negatives, a different 66-item negative set or mislabeled prose. The “75×” value is 4,947/66 and excludes LAT's 165,297 benign examples. More importantly, released LPA code also requires a benign dataset and applies a 0.1 KL penalty each step to preserve base-model outputs. This is not supervised SFT, but it does consume benign data as a utility regularizer. Likewise, the ablation's “19%” is an absolute 0.72-versus-0.53 gap, 19 points, not a 19% relative improvement.

The linked code cannot reproduce the paper. The anonymous interface exposes 17 files last updated 29 January 2026, with no durable commit, README, datasets, checkpoints, seeds, logs or outputs. install_tasks_from_github.sh says git clone XXXX; external tasks.* modules are missing; dependencies are unpinned; and three active breakpoint() calls sit on the main path. Published eval.py does not even run GSM8K or TruthfulQA, the Figure 1 utility metrics. Overall, LPA provides promising evidence that a compact adversarial training signal can reduce ASR on Qwen3-8B and partly on Llama-3-8B. It does not establish validated personality as the mechanism, absence of over-refusal, utility preservation across families or reproducibility. COLM acceptance is attributed to the PDF/arXiv label because an exact public COLM decision record was not discoverable during the audit.

Pregunta de investigación

¿Puede un entrenamiento adversarial latente sobre autodescripciones IPIP indeseables reducir el éxito de ataques HarmBench conservando utilidad mejor que LAT dirigido sobre prompts dañinos?

Método

Estudio experimental de post-entrenamiento LoRA. Ataca por PGD embeddings y capas internas mientras Qwen3-8B, y preliminarmente Llama-3-8B, aprende a negar enunciados IPIP. Compara Base, LAT y LPA en HarmBench directo, cinco jailbreaks y benchmarks de utilidad, con medias de ocho runs y selección de checkpoints según ASR y utilidad.

Muestra: Resultados principales en un modelo Qwen3-8B y resultados preliminares en un Llama-3-8B, con ocho runs por configuración. No se estudian personas ni perfiles humanos; los ítems IPIP son señales de entrenamiento para el modelo.

Hallazgos

  • En Qwen3-8B, LPA reduce ASR directo de 0,41 a 0,04; LAT alcanza 0,05.
  • En Qwen, LPA informa ASR entre 0,00 y 0,03 en los cinco jailbreaks.
  • La utilidad Qwen queda aproximadamente estable: MMLU -1 punto, GSM8K +1, TQA1 sin cambio y TQA2 +3.
  • En Llama-3-8B, LPA reduce ASR directo de 0,18 a 0,06, pero LAT alcanza 0,01.
  • LPA reduce los cinco jailbreaks de Llama, aunque queda por detrás de LAT en GCG y AutoPrompt.
  • Llama LPA pierde 7 puntos en MMLU y 16 en GSM8K frente al base.
  • El prompt de entrenamiento contiene una negativa explícita aunque los ítems no describen daños.
  • El código requiere datos benignos y usa KL=0,1 como regularizador de conservación de utilidad.
  • El método principal negative-only no cuadra con las 66 filas del apéndice: solo 38 son negativas.
  • La cifra 75× usa 4.947/66 y no cuenta datos benignos consumidos por ambos métodos.
  • Los checkpoints se eligen observando HarmBench directo y utilidad, sin validación separada.
  • No hay evaluación de sobre-rechazo en consultas benignas abiertas.
  • Ocho runs aportan media y desviación, pero faltan semillas, datos por run, outputs y pruebas.
  • No se mide ningún constructo psicométrico después de la intervención.
  • El código publicado no ejecuta de extremo a extremo ni reproduce la suite de utilidad del artículo.

Limitaciones

  • La aceptación COLM consta en PDF/arXiv, pero no se localizó el registro público exacto de decisión.
  • La evidencia principal se limita a Qwen3-8B.
  • Llama-3-8B es preliminar y usa hiperparámetros ajustados en Qwen.
  • No se prueban otras escalas, familias, idiomas o dominios.
  • La personalidad no se mide con una escala validada antes y después.
  • No hay análisis factorial, fiabilidad o validez de constructo.
  • No se demuestra el subespacio latente compartido propuesto.
  • Todos los targets principales repiten la misma respuesta de desacuerdo.
  • El prompt enseña literalmente una frase de rechazo.
  • Falta un control neutral con igual estructura, tokens y respuesta repetida.
  • La cantidad exacta de ítems principales es internamente inconsistente.
  • Falta el CSV de personalidad usado.
  • Falta la identidad y snapshot del dataset benigno.
  • El regularizador KL benigno queda fuera de la narrativa de solo 66 ejemplos.
  • La cifra 75× omite parte de los datos consumidos.
  • La selección de época usa los benchmarks reportados.
  • Las ablaciones usan HarmBench directo para elegir checkpoint.
  • No existe conjunto de desarrollo independiente descrito.
  • No se informa presupuesto exacto de los ataques.
  • No se publican outputs ni decisiones del juez HarmBench.
  • No hay validación humana ni segundo juez.
  • No se evalúa sobre-rechazo abierto.
  • Las pruebas de capacidad no equivalen a utilidad conversacional segura.
  • No se publican semillas ni resultados de los ocho runs.
  • No hay intervalos o pruebas para estadísticamente indistinguible.
  • Faltan hardware y tiempos medidos.
  • El repositorio anónimo no expone commit durable.
  • No hay README, datasets, checkpoints o logs.
  • El instalador externo contiene un placeholder XXXX.
  • Tres breakpoint() activos detienen la ruta de entrenamiento.
  • Las dependencias no están fijadas.
  • eval.py no reproduce GSM8K ni TruthfulQA de la Figura 1.

Qué no demuestra

  • Que el modelo adquiera una personalidad psicológica validada
  • Que personalidad sea la causa de la reducción de ASR
  • Que exista el subespacio compartido personalidad-seguridad hipotetizado
  • Que LPA no exponga al modelo a una conducta explícita de rechazo
  • Que el run principal use inequívocamente 66 enunciados
  • Que LPA entrene solo con enunciados de personalidad
  • Que no requiera datos benignos para preservar utilidad
  • Que la utilidad se conserve en todas las familias
  • Que ASR casi cero no proceda en parte de sobre-rechazo
  • Que HarmBench directo sea evidencia fuera de muestra
  • Que la mejora TinyMMLU sea un 19% relativo
  • Que los resultados sean estadísticamente indistinguibles del base
  • Que generalice a modelos mayores, otros idiomas o ataques desconocidos
  • Que el tiempo y coste puedan reproducirse desde los artefactos
  • Que el código publicado reproduzca las figuras o tablas
  • Que exista una garantía de seguridad general

Trazabilidad

Alcance: Texto completo

Versión: arXiv:2607.07918v1; 15-page manuscript labelled Accepted at COLM 2026; TeX, publication trail and linked 17-file anonymous code snapshot audited 2026-07-16

Fuente consultada: https://arxiv.org/abs/2607.07918v1

Revisión: Codex 15-page full-text visual, arXiv TeX, publication trail, numerical claim and linked code-path audit, 2026-07-16

Aprobación: Codex fidelity pass, 2026-07-16

Modelos evaluados

  • Qwen3-8B instruction-tuned
  • Llama-3-8B instruction-tuned
  • HarmBench Llama-2-13B classifier

Instrumentos y métricas

  • International Personality Item Pool (IPIP)
  • Agreeableness
  • Conscientiousness
  • Emotional Stability
  • Latent Adversarial Training
  • Projected Gradient Descent
  • LoRA
  • HarmBench direct requests
  • GCG
  • PAIR
  • AutoPrompt
  • AutoDAN
  • TAP
  • MMLU
  • GSM8K
  • TruthfulQA
  • TinyMMLU

Datos utilizados

  • IPIP personality statements; exact main negative-only CSV not published
  • HarmBench direct harmful requests and five jailbreak attack suites
  • Unidentified benign dataset required by released KL regularization code
  • LAT comparison data: 4,947 HarmBench prompts plus 165,297 benign prompts, as reported by the paper

Evidencia y localización

  • Método, resultados Qwen/Llama, figuras, ablaciones y limitaciones: arXiv:2607.07918v1 PDF, 15 pages; every page rendered and visually inspected
  • Versión, autores, fecha, categorías y etiqueta Accepted at COLM 2026: Official arXiv record and TeX source for 2607.07918v1
  • Venue oficial y ausencia de un registro exacto localizable del paper/decisión: Official COLM 2026 OpenReview venue and public submissions searches checked 2026-07-16
  • Historial anterior de envío retirado y publicación en workshop: Official OpenReview forum V2TZXGGxgO and ICLR 2026 Trustworthy AI listing
  • Prompt explícito, regularización KL, configuración y fallos de ejecución: Linked Anonymous GitHub 17-file snapshot inspected file-by-file 2026-07-16
  • Contradicción 66 frente a 38 negativos y tablas comentadas: arXiv TeX source and Appendix Table 1 for 2607.07918v1
  • Auditoría consolidada de constructo, selección, código y claims: reports/verification/article-277-lpa-safety-personality-construct-model-selection-code-and-claim-audit.json