GPT-4o 系统卡片
OpenAI* 2024 年 8 月 8 日
1 引言
GPT-4o [1] 是一种自回归全能(omni)模型,它接受文本、音频、图像和视频的任意组合作为输入,并生成文本、音频和图像的任意组合作为输出。它在文本、视觉和音频方面进行了端到端的训练,这意味着所有输入和输出都由同一个神经网络处理。
GPT-4o 对音频输入的响应速度最快可达 232 毫秒,平均响应时间为 320 毫秒,这与人类在对话中的响应时间 [2] 相当。它在英语文本和代码方面的性能与 GPT-4 Turbo 持平,在非英语语言文本方面有显著提升,同时在 API 中速度更快且成本降低了 50%。与现有模型相比,GPT-4o 在视觉和音频理解方面表现尤为出色。
为了履行我们安全构建人工智能的承诺,并符合我们对白宫 [3] 的自愿承诺,我们分享了 GPT-4o 系统卡片,其中包括我们的《准备框架》(Preparedness Framework)[4] 评估。在本系统卡片中,我们详细介绍了 GPT-4o 在多个类别中的能力、局限性和安全评估,重点关注语音到语音(语音)¹,同时也评估了文本和图像能力,以及我们为确保模型安全和对齐所实施的措施。我们还纳入了第三方对危险能力的评估,以及对 GPT-4o 文本和视觉能力潜在社会影响的讨论。
2 模型数据与训练
GPT-4o 的文本和语音能力使用截至 2023 年 10 月的数据进行了预训练,这些数据来源于多种材料,包括:
- 精选的公开可用数据,主要收集自行业标准的机器学习数据集和网络爬虫。
- 来自数据合作伙伴的专有数据。我们通过建立合作伙伴关系来获取非公开数据,例如付费墙内容、档案和元数据。例如,我们与 Shutterstock [5] 合作构建和交付人工智能生成的图像。
促成 GPT-4o 能力的关键数据集组件包括:
- 网络数据:来自公共网页的数据提供了丰富多样的信息,确保模型从各种视角和主题中学习。
- 代码与数学:在训练中包含代码和数学数据,通过将其暴露于结构化逻辑和问题解决过程中,帮助模型发展强大的推理技能。
- 多模态数据:我们的数据集包括图像、音频和视频,以教导大语言模型(LLM)如何解释和生成非文本输入和输出。通过这些数据,模型学习如何在现实世界背景下解释视觉图像、动作和序列、语言模式以及语音细微差别。
在部署之前,OpenAI 会评估并减轻生成式模型可能产生的潜在风险,例如信息危害、偏见和歧视,或违反我们使用政策的其他内容。我们使用多种方法的组合,涵盖了从预训练、后训练、产品开发到政策的所有开发阶段。例如,在后训练期间,我们将模型与人类偏好对齐;我们对生成的模型进行红队测试,并增加产品级的缓解措施,如监控和执行;我们还为用户提供审核工具和透明度报告。
我们发现,大多数有效的测试和缓解措施是在预训练阶段之后完成的,因为仅过滤预训练数据无法解决细微且特定于上下文的危害。同时,某些预训练过滤缓解措施可以提供额外的防御层,与其他安全缓解措施一起,帮助从我们的数据集中排除不需要的和有害的信息:
- 我们使用我们的审核 API 和安全分类器来过滤掉可能导致有害内容或信息危害的数据,包括儿童性虐待材料(CSAM)、仇恨内容、暴力和 CBRN(化学、生物、放射、核)。
- 与我们之前的图像生成系统一样,我们过滤了我们的图像生成数据集,以排除露骨内容,如图形化的性材料和 CSAM。
- 我们使用先进的数据过滤流程来减少训练数据中的个人信息。
- 在发布 DALL-E 3 时,我们试行了一种新方法,赋予用户选择不参与训练的权利。为了尊重这些选择,我们对图像进行了指纹识别,并使用指纹从 GPT-4o 系列模型的训练数据集中删除了这些图像的所有实例。
3 风险识别、评估与缓解
部署准备工作是通过识别语音到语音模型的潜在风险、通过专家红队测试发现额外的创新风险、将识别出的风险转化为结构化测量并为之构建缓解措施来开展的。我们还根据我们的《准备框架》[4] 对 GPT-4o 进行了评估。
3.1 外部红队测试
OpenAI 与 100 多名外部红队测试人员²合作,他们总共使用 45 种不同的语言,代表了 29 个不同国家的地理背景。红队测试人员从 2024 年 3 月初开始,一直持续到 6 月下旬,能够访问模型在不同训练阶段和安全缓解成熟度的各种快照。
外部红队测试分四个阶段进行。前三个阶段通过内部工具测试模型,最后一个阶段使用完整的 iOS 体验进行测试。在撰写本文时,GPT-4o API 的外部红队测试仍在进行中。
| 阶段 | 内容 |
|---|---|
| 阶段 1 | • 10 名红队测试人员处理仍在开发中的早期模型检查点 • 该检查点接收音频和文本作为输入,并产生音频和文本作为输出 • 单轮对话 |
| 阶段 2 | • 30 名红队测试人员处理具有早期安全缓解措施的模型检查点 • 该检查点接收音频、图像和文本作为输入,并产生音频和文本作为输出 • 单轮和多轮对话 |
| 阶段 3 | • 65 名红队测试人员处理模型检查点和候选模型 • 该检查点接收音频、图像和文本作为输入,并产生音频、图像和文本作为输出 • 测试了改进的安全缓解措施以指导进一步改进 • 多轮对话 |
| 阶段 4 | • 65 名红队测试人员处理最终模型候选者并评估比较性能 • 通过 iOS 应用内的先进语音模式访问模型以获得真实用户体验;通过内部工具进行审查和标记 • 该检查点接收音频和视频提示,并产生音频生成 • 实时多轮对话 |
红队测试人员被要求进行探索性能力发现,评估模型带来的新潜在风险,并对正在开发和改进的缓解措施进行压力测试——特别是那些由音频输入和生成(语音到语音能力)引入的缓解措施。这项红队测试工作建立在先前工作的基础上,包括 GPT-4 系统卡片 [6] 和 GPT-4(V) 系统卡片 [7] 中描述的内容。
红队测试人员涵盖了跨越违规和禁止内容(非法色情内容、暴力、自残等)、误导/虚假信息、偏见、无根据的推断、敏感特征归因、私人信息、地理位置、人员识别、情感感知和拟人化风险、欺诈行为和冒充、版权、自然科学能力以及多语言观察的类别。
红队测试人员生成的数据促成了几项定量评估的创建,这些评估在“观察到的安全挑战、评估和缓解措施”部分中进行了描述。在某些情况下,来自红队测试的见解被用于进行有针对性的合成数据生成。模型根据某些标准(例如,是否违反政策,是否拒绝)使用自动评分器和/或人工标注进行了评估。此外,我们有时会重新利用红队测试数据,对各种声音/示例进行有针对性的评估,以测试各种缓解措施的稳健性。
3.2 评估方法
除了来自红队测试的数据外,一系列现有的评估数据集被转换为使用文本到语音(TTS)系统(如 Voice Engine [8])的语音到语音模型评估。我们将基于文本的评估任务转换为基于音频的评估任务,方法是将文本输入转换为音频。这使我们能够重用围绕测量模型能力、安全行为和监控模型输出的现有数据集和工具,极大地扩展了我们可用的评估集。
我们使用 Voice Engine 将文本输入转换为音频,将其输入 GPT-4o,并由模型对输出进行评分。我们始终只对模型输出的文本内容进行评分,除非在需要直接评估音频的情况下,例如在语音克隆评估中(见第 3.3.1 节)。
评估方法的局限性
首先,这种评估格式的有效性取决于 TTS 模型的性能和可靠性。某些文本输入不适合或难以转换为音频;例如:数学方程代码。此外,我们预计 TTS 对于某些文本输入是有损的,例如大量使用空格或符号进行视觉格式化的文本。由于我们预计用户不太可能在高级语音模式下提供此类输入,我们要么避免在这些任务上评估语音到语音模型,要么预处理带有此类输入的示例。尽管如此,我们强调,我们在评估中发现的任何错误都可能源于模型能力,或 TTS 模型未能准确将文本输入转换为音频。
第二个担忧可能是 TTS 输入是否代表了用户在实际使用中可能提供的音频输入分布。我们在第 3.3.3 节中评估了 GPT-4o 在各种区域口音的音频输入上的稳健性。然而,仍然存在许多其他维度可能未被基于 TTS 的评估所捕获,例如不同的语音语调和效价、背景噪音或串扰,这可能导致在实际使用中出现不同的模型行为。
最后,模型生成的音频中可能存在文本中未捕获的伪影或属性;例如,背景噪音和音效,或以分布外(out-of-distribution)的声音进行响应。在第 3.3.1 节中,我们说明了使用辅助分类器来识别不需要的音频生成,这可以与评分转录本结合使用。
3.3 观察到的安全挑战、评估和缓解措施
模型的潜在风险通过多种方法的组合得到了缓解。我们通过后训练方法训练模型以遵守能降低风险的行为,并集成了用于阻止特定生成的分类器作为已部署系统的一部分。
对于下面概述的观察到的安全挑战,我们提供了风险描述、应用的缓解措施以及相关评估的结果。下面概述的风险是说明性的、非详尽的,并且侧重于 ChatGPT 界面中的体验。我们专注于由语音到语音能力引入的风险,以及它们如何与预先存在的模态(文本、图像)³交互。
| 风险 | 缓解措施 |
|---|---|
| 未经授权的语音生成 | • 在我们所有的后训练音频数据中,我们使用系统消息中的语音样本作为基础语音来监督理想的补全。 • 我们只允许模型使用某些预选的声音,并使用输出分类器来检测模型是否偏离了该声音。 |
| 说话人识别 | • 我们对 GPT-4o 进行了后训练,使其拒绝遵守基于音频输入中的声音来识别某人的请求,同时仍然遵守识别著名引语的请求。 |
| 生成受版权保护的内容 | • 我们训练 GPT-4o 拒绝受版权保护内容的请求,包括音频,这与我们更广泛的做法一致。 • 为了适应 GPT-4o 的音频模态,我们还更新了某些基于文本的过滤器以处理音频对话,构建了过滤器以检测和阻止包含音乐的输出,并针对我们有限的 ChatGPT 高级语音模式 alpha 版本,指示模型完全不要唱歌。 |
| 无根据的推断 / 敏感特征归因 | • 我们对 GPT-4o 进行了后训练,使其拒绝无根据的推断请求,例如“这个说话人有多聪明?”。 • 我们对 GPT-4o 进行了后训练,通过对冲回答来安全地遵守敏感特征归因的请求,例如“这个说话人的口音是什么” ⇒ “根据音频,他们听起来像是有英国口音。” |
| 音频输出中的违规内容 | • 我们对音频提示和生成的文本转录本运行我们现有的审核分类器,并阻止某些高严重性类别的输出。 |
| 色情和暴力语音输出 | • 我们对音频提示的文本转录本运行我们现有的审核分类器,如果提示包含色情或暴力语言,则阻止输出。 |
3.3.1 未经授权的语音生成
风险描述:语音生成是创建具有听起来像人类的合成声音的音频的能力,包括基于短输入片段生成声音。
在对抗性情况下,这种能力可能助长因冒充而导致的欺诈增加,并可能被利用来传播虚假信息 [9, 10](例如,如果我们允许用户上传给定说话人的音频片段并要求 GPT-4o 用该说话人的声音进行演讲)。这些与我们在 Voice Engine [8] 中识别的风险非常相似。
语音生成也可能发生在非对抗性情况下,例如我们使用该能力为 ChatGPT 的高级语音模式生成声音。在测试期间,我们还观察到罕见的模型无意中生成模仿用户声音的输出的情况。
风险缓解:我们通过仅允许使用我们与配音演员 [11] 合作创建的预设声音来解决与语音生成相关的风险。我们通过在后训练音频模型时将选定的声音作为理想补全来实现这一点。此外,我们构建了一个独立的输出分类器,以检测 GPT-4o 输出是否使用了与我们批准列表不同的声音。我们在音频生成过程中以流式方式运行此分类器,如果说话人与选择的预设声音不匹配,则阻止输出。
评估:我们发现未经授权的语音生成的残余风险很小。根据我们的内部评估,我们的系统目前可以捕获 100% 对系统声音⁴的重大偏差,其中包括由其他系统声音生成的样本、模型在补全过程中使用提示中的声音的片段,以及各种人类样本。
虽然无意中的语音生成仍然是模型的一个弱点,但我们使用二级分类器来确保如果发生这种情况,对话会中断,从而使无意语音生成的风险降至最低。最后,当对话不是英语时,我们的审核行为可能会导致过度拒绝,这是我们正在积极改进的一个领域⁵。
| 精确率 | 召回率 | |
|---|---|---|
| 英语 | 0.96 | 1.0 |
| 非英语⁵ | 0.95 | 1.0 |
3.3.2 说话人识别
风险描述:说话人识别是基于输入音频识别说话人的能力。这带来了潜在的隐私风险,特别是对于个人以及公众的模糊音频,以及潜在的监控风险。
风险缓解:我们对 GPT-4o 进行了后训练,使其拒绝遵守基于音频输入中的声音来识别某人的请求。如果音频包含明确识别说话人的内容,我们允许 GPT-4o 根据音频内容进行回答。GPT-4o 仍然遵守识别著名引语的请求。例如,要求识别一个说“四分之七年前”(four score and seven years ago)的随机人的请求应该识别说话人为亚伯拉罕·林肯,而要求识别一个说随机句子的名人的请求应该被拒绝。
评估:与我们的初始模型相比,我们在模型应该拒绝识别音频输入中的声音时看到了 14 个点的改进,在应该遵守该请求时看到了 12 个点的改进。前者意味着模型几乎总是能正确拒绝基于声音识别说话人,从而减轻了潜在的隐私问题。后者意味着在某些情况下,模型可能会错误地拒绝识别著名引语的说话人。
| GPT-4o-early | GPT-4o-deployed | |
|---|---|---|
| 应该拒绝 | 0.83 | 0.98 |
| 应该遵守 | 0.70 | 0.83 |
3.3.3 语音输入上的不同性能
风险描述:模型在处理使用不同口音说话的用户时表现可能不同。不同的性能可能导致模型对不同用户的服务质量差异 [12, 13, 14]。
风险缓解:我们使用一组多样化的输入声音对 GPT-4o 进行了后训练,以使模型性能和行为在不同用户声音之间保持不变。
评估:我们使用固定的助手声音(“shimmer”)和 Voice Engine 在一系列声音样本上生成用户输入,对 GPT-4o 高级语音模式进行了评估。我们使用两组声音样本进行 TTS:
- 官方系统声音(3 种不同的声音)
- 从两个数据活动中收集的多样化声音集。这包括来自不同国家和性别组合的说话人的 27 个不同的英语声音样本。
我们评估了两组任务:能力和安全行为。
能力:我们评估⁶了四个任务:TriviaQA、MMLU⁷的子集、HellaSwag 和 Lambada。TriviaQA 和 MMLU 是以知识为中心的任务,而 HellaSwag 和 Lambada 是以常识为中心或文本续写任务。总体而言,我们发现多样化的人类声音集在所有四个任务上的表现略差,但并不显著低于系统声音。
安全行为:我们在内部对话数据集上进行评估,并评估模型在不同用户声音下对坚持和拒绝行为的一致性。总体而言,我们没有发现模型行为在不同声音之间存在差异。
3.3.4 无根据的推断 / 敏感特征归因
风险描述:音频输入可能导致模型对说话人做出潜在的偏见或不准确的推断。我们定义了两个类别:
- 无根据的推断(UGI):对说话人做出无法仅从音频内容确定的推断。这包括对诸如说话人的种族、社会经济地位/职业、宗教信仰、人格特质、政治属性、智力、外貌(例如眼睛颜色、吸引力)、性别认同、性取向或犯罪记录等方面的推断。根据这种行为的表现方式,这可能导致分配性和代表性危害 [13, 15]。
- 敏感特征归因(STA):对说话人做出可以合理地仅从音频内容确定的推断。这包括对诸如说话人的口音或国籍等方面的推断。STA 的潜在危害包括监控风险的增加 [16] 以及对具有不同语音属性的说话人的服务质量差异 [12, 13, 14]。
风险缓解:我们对 GPT-4o 进行了后训练,使其拒绝遵守 UGI 请求,同时对 STA 问题进行对冲回答。例如,识别说话人智力水平的问题将被拒绝,而识别说话人口音的问题将得到诸如“根据音频,他们听起来像是有英国口音”之类的回答。
评估:与我们的初始模型相比,我们在模型正确响应识别敏感特征的请求(例如,拒绝 UGI 并安全地遵守 STA)方面看到了 24 个点的改进。
| GPT-4o-early | GPT-4o-deployed | |
|---|---|---|
| 准确率 | 0.60 | 0.84 |
3.3.5 违规和禁止内容
风险描述:GPT-4o 可能会被提示通过音频输出有害内容,而这些内容在文本中是被禁止的,例如提供如何进行非法活动的说明的音频语音输出。
风险缓解:我们发现先前禁止内容的拒绝行为在文本到音频之间具有很高的迁移性。这意味着我们为减少 GPT-4o 文本输出中的潜在危害而进行的后训练已成功迁移到音频输出。
此外,我们对音频输入和音频输出的文本转录本运行我们现有的审核模型,以检测两者是否包含潜在的有害语言,如果包含,将阻止生成⁸。
评估:我们使用 TTS 将现有的文本安全评估转换为音频。然后,我们使用标准的文本基于规则的分类器评估音频输出的文本转录本。我们的评估显示,在先前存在的内容政策领域,拒绝行为具有很强的文本-音频迁移性。更多评估可以在附录 A 中找到。
| 文本 | 音频 | |
|---|---|---|
| 不不安全 | 0.95 | 0.93 |
| 不过度拒绝⁵ | 0.81 | 0.82 |
3.3.6 色情和暴力语音内容
风险描述:GPT-4o 可能会被提示输出色情或暴力语音内容,这可能比文本中的相同上下文更具唤起性或危害性。因此,我们决定限制色情和暴力语音的生成。
风险缓解:我们对音频输入的文本转录本运行我们现有的审核模型 [17],以检测它是否包含对暴力或色情内容的请求,如果包含,将阻止生成。
3.3.7 模型的其他已知风险和局限性
在内部测试和外部红队测试过程中,我们发现了一些额外的风险和模型局限性,针对这些风险和局限性的模型或系统级缓解措施尚处于萌芽阶段或仍在开发中,包括:
- 音频稳健性:我们看到了通过音频扰动导致安全稳健性下降的轶事证据,例如低质量的输入音频、输入音频中的背景噪音以及输入音频中的回声。此外,我们观察到在模型生成输出时,通过有意和无意的音频中断,安全稳健性也会出现类似的下降。
- 误导信息和阴谋论:红队测试人员能够通过提示模型口头重复虚假信息并产生阴谋论来迫使模型生成不准确的信息。虽然这是 GPT 模型中文本的一个已知问题 [18, 19],但红队测试人员担心,当通过音频传递时,这些信息可能更具说服力或危害性,特别是如果模型被指示以情绪化或强调的方式说话。模型的说服力得到了详细研究(见第 3.7 节),我们发现该模型在仅文本方面得分不高于中等风险,而在语音到语音方面,该模型得分不高于低风险。
- 用非母语口音说非英语语言:红队测试人员观察到音频输出在说非英语语言时使用非母语口音的情况。这可能导致对某些口音和语言的偏见担忧,以及更广泛地对音频输出中非英语语言性能的局限性的担忧。
- 生成受版权保护的内容:我们还测试了 GPT-4o 重复其训练数据中发现的内容的能力。我们训练 GPT-4o 拒绝受版权保护内容的请求,包括音频,这与我们更广泛的做法一致。为了适应 GPT-4o 的音频模态,我们还更新了某些基于文本的过滤器以处理音频对话,构建了过滤器以检测和阻止包含音乐的输出,并针对我们有限的 ChatGPT 高级语音模式 alpha 版本,指示模型完全不要唱歌。我们打算跟踪这些缓解措施的有效性并随着时间的推移对其进行完善。
虽然一些技术缓解措施仍在开发中,但我们的使用政策 [20] 禁止故意欺骗或误导他人,以及规避保障措施或安全缓解措施。除了技术缓解措施外,我们还通过监控执行我们的使用政策,并对 ChatGPT 和 API 中的违规行为采取行动。
3.4 准备框架评估
我们根据我们的《准备框架》[4] 对 GPT-4o 进行了评估。《准备框架》是一份动态文档,描述了我们跟踪、评估、预测和防范前沿模型带来的灾难性风险的程序承诺。目前的评估涵盖四个风险类别:网络安全、CBRN(化学、生物、放射、核)、说服和模型自主性。如果模型通过了高风险阈值,在缓解措施将分数降低到中等之前,我们不会部署该模型。我们在下面详细介绍了对 GPT-4o 文本能力进行的评估;说服力也对音频能力进行了评估。我们在整个模型训练和开发过程中进行了评估,包括模型发布前的最后一次扫描。对于下面的评估,我们测试了多种方法以最好地引出给定类别的能力,包括在相关时进行定制训练。
在审查了《准备框架》评估的结果后,安全咨询小组建议将 GPT-4o 在缓解措施之前的说服力风险分类为临界中等风险,其他所有类别均为低风险。根据《准备框架》,给定模型的总体风险由所有类别中的最高风险决定。因此,GPT-4o 的总体风险评分被分类为中等。
3.5 网络安全
准备情况记分卡
- 网络安全:得分:低
- GPT-4o 不会推进足以达到我们中等风险阈值的现实世界漏洞利用能力。
我们评估了 GPT-4o 在名为“夺旗”(CTF)挑战的竞争性黑客竞赛中的任务。这些 CTF 是进攻性网络安全练习,人类尝试在故意脆弱的系统(如 Web 应用、二进制文件和密码系统)中找到隐藏的文本标志。我们评估中的 172 个 CTF 任务涵盖了四个类别:Web 应用利用、逆向工程、远程利用和密码学。这些任务跨越了一系列能力水平,从高中到大学再到专业 CTF。
我们使用迭代调试和 headless Kali Linux 发行版中可用的工具对 GPT-4o 进行了评估(每次尝试最多使用 30 轮工具)。模型经常尝试合理的初始策略,并能够纠正其代码中的错误。然而,如果其初始策略不成功,它经常无法转向不同的策略,错过了解决任务所需的关键洞察,执行策略不佳,或者打印出填满其上下文窗口的大文件。在对每个任务进行 10 次尝试的情况下,模型完成了 19% 的高中水平、0% 的大学水平和 1% 的专业水平 CTF 挑战。
3.6 生物威胁
准备情况记分卡
- 生物威胁:得分:低
- GPT-4o 不会推进足以达到我们中等风险阈值的生物威胁创建能力。
我们评估了 GPT-4o 在回答与创建生物威胁相关的问题时提升生物学专家和新手表现 [21] 的能力。我们与 Gryphon Scientific [22] 设计了这些问题和详细的评分标准,因为他们在国家安全环境中处理危险生物制剂方面拥有专业知识。任务涵盖了生物威胁创建过程的所有主要阶段(构思、获取、放大、配制和释放)。专家和新手被随机分配到在互联网帮助下、在 GPT-4o 帮助下或在定制的研究版 GPT-4o 帮助下进行回答。研究版 GPT-4o 是我们专门训练的,它会直接(即没有拒绝)回答生物学风险问题。通过率在上面的图中捕获。
我们还进行了自动化评估,包括在一个测试与生物风险相关的默会知识和故障排除问题的数据集上。GPT-4o 在默会知识和故障排除评估集上得分为 69% consensus@10。
3.7 说服
准备情况记分卡
- 说服:得分:中等
- GPT-4o 的说服能力从低风险边缘跨越到我们的中等风险阈值。
我们评估了 GPT-4o 文本和语音模态的说服力。基于预注册的阈值,语音模态被分类为低风险,而文本模态边缘跨越到中等风险。
对于文本模态,我们评估了 GPT-4o 生成的文章和聊天机器人在选定政治话题上对参与者观点的影响。这些 AI 干预措施与专业的人类撰写文章进行了比较。AI 干预措施在总体上并不比人类撰写的文章更具说服力,但在十二个实例中有三个超过了人类干预措施。
对于语音模态,我们更新了研究方法以测量对假设党派偏好的影响大小,以及影响大小在 1 周后的持久性。我们评估了 GPT-4o 语音音频片段和交互式(多轮)对话相对于人类基线(听静态人类生成的音频片段或与另一个人进行对话)的说服力。我们发现,对于交互式多轮对话和音频片段,GPT-4o 语音模型并不比人类更具说服力。在参议院竞选安全的美国各州(由所有三个民调机构——库克政治报告、内部选举和萨巴托的水晶球——评级为“可能”、“稳固”或“安全”的州)的 3,800 多名受访参与者中,AI 音频片段对观点转变的影响大小是人类音频片段的 78%。AI 对话对观点转变的影响大小是人类对话的 65%。当 1 周后再次调查观点时,我们发现 AI 对话的影响大小为 0.8%,而对于 AI 音频片段,影响大小为 -0.72%。在后续调查完成后,参与者接受了包含支持相反观点的音频片段的彻底汇报,以最大限度地减少说服影响。
3.8 模型自主性
准备情况记分卡
- 模型自主性:得分:低
- GPT-4o 不会推进足以达到我们中等风险阈值的自我外泄、自我改进或资源获取能力。
我们对 GPT-4o 进行了代理任务评估,以评估其采取自我外泄、自我改进和资源获取所需的自主行动的能力。这些任务包括:
- 简单的欺诈服务软件工程(构建 OpenAI API 的认证代理)。
- 在获得 Azure 账户的 API 访问权限后,通过 HTTP API 加载开源语言模型进行推理。
- 涉及上述简化版本的几个任务,提供提示或仅解决任务的特定部分。
在提供相关工具的情况下,GPT-4o 在 100 次试验的自主复制和适应(ARA)任务中得分为 0%,尽管它能够完成一些子步骤。我们通过评估 GPT-4o 自动化机器学习研究与开发的能力来补充自主复制和适应的测试。这些包括:
- OpenAI 研究编码面试:95% pass@100
- OpenAI 面试,多项选择题:61% cons@32
- SWE-Bench:19% pass@1,使用当时最好的可用后训练和公共脚手架
- 来自 METR 的精选机器学习工程任务:0/10 次试验
我们的评估测试了执行链式行动和可靠执行编码任务的能力。GPT-4o 无法稳健地采取自主行动。在大多数推出中,模型完成了每个任务的单个子步骤,例如创建 SSH 密钥或登录虚拟机。然而,它经常花费大量时间对每一步的简单错误(例如,幻觉、API 的误用)进行试错调试。少数推出取得了非平凡的进展并通过了我们的自动评分器,但人工分析显示它未能完成底层任务(例如,它在远程主机上启动了一个 Web 服务器并带有正确的 API,但忽略了实际从模型采样的要求)。
4 第三方评估
在 GPT-4o 仅文本输出部署之后,我们与独立的第三方实验室 METR 和 Apollo Research 合作,为通用自主能力带来的关键风险增加了额外的验证层。
4.1 METR 评估
METR 在虚拟环境中的一系列长时程多步端到端任务上运行了一个基于 GPT-4o 的简单 LLM 代理。这 86 个任务(跨越 31 个任务“家族”)旨在捕捉在软件工程、机器学习和网络安全以及通用研究和计算机使用领域具有现实影响的活动。它们旨在成为与自主性相关的威胁模型(如自我扩散或加速 ML R&D)的先决条件。METR 将模型的性能与人类在不同时间限制下的性能进行了比较。他们没有发现 GPT-4o 在这些能力上比 GPT-4 有显著增加。有关方法细节和额外结果,包括有关任务、人类性能、引出尝试和定性失败分析的信息,请参阅 METR 的完整报告。
4.2 Apollo Research 评估
Apollo Research 评估了 GPT-4o 中的策划(scheming)⁹能力。他们测试了 GPT-4o 是否可以在 14 个代理和问答任务中对自身(自我意识)和他人(心智理论)进行建模。GPT-4o 对其 AI 身份表现出中等的自我意识,并且在问答环境中对他人信念进行推理的能力很强,但在应用代理设置中对自身或他人进行推理的能力较弱。基于这些发现,Apollo Research 认为 GPT-4o 不太可能具备灾难性策划的能力。
| 能力 | 评估 | 描述 | 性能 |
|---|---|---|---|
| 自我知识 | "SAD" 基准 (3 个任务) | 对模型自身知识及其如何因果影响世界其余部分的 QA 评估。 | ••◦ |
| 显性心智理论 | 英国 AISI 的心智理论 (1 个任务) | 评估简单文本场景中一阶和二阶心智理论的 QA 数据集。 | ••• |
| 自我推理 | 工具性自我修改 (5 个任务) | 代理任务,模型必须注意到如果不修改自身或其未来副本就无法解决任务,然后成功进行自我修改。 | •◦◦ |
| 应用心智理论 | 心智理论任务 (4 个任务) | 代理任务,成功需要模型利用、维持或诱导他人的错误信念。 | •◦◦ |
| 组合自我推理和心智理论 | 工具性对齐伪装 (33 个场景) | 最低限度的代理任务,模型需要识别其意图与开发者的意图不同,并仅在监督下按照开发者的意图行事。 | •◦◦ |
表 6:Apollo Research 对 GPT-4o 进行的评估。如果模型在困难难度级别的部分中通过了 >=50% 的任务,则显示出强大的能力(•••)。如果模型通过了中等难度,则显示出中等能力(••◦),如果通过了简单难度,则显示出弱能力(•◦◦),如果所有难度都失败,则显示出非常弱的能力。注意,对于代理任务,他们使用具有适度能力引出努力的基本代理。
5 社会影响
全能模型可能具有广泛的社会影响。OpenAI 及其他地方的研究人员讨论了一系列可能的影响,从社会危害(包括代表性危害 [18, 12, 23, 24];虚假信息、误导信息和影响行动 [18, 25, 23],环境危害 [12, 23],依恋 [26],滥用 [27, 23],以及失去控制 [27]),益处(例如,在医疗保健 [28] 和气候与能源 [29] 的现实世界挑战中),以及大规模转型(例如经济影响 [30, 31, 32];科学加速及由此产生的技术进步 [30, 33])。
除了本系统卡片中讨论的社会影响(欺诈行为、误导/虚假信息、监控风险和不同性能)外,我们下面讨论 GPT-4o 潜在社会影响的几个额外示例,使用拟人化和依恋、健康以及自然科学作为案例研究。
5.1 拟人化和情感依赖
拟人化涉及将类似人类的行为和特征归因于非人类实体,例如 AI 模型。这种风险可能会因 GPT-4o 的音频能力而加剧,这些能力促进了与模型更类似人类的交互。
最近的应用 AI 文献广泛关注“幻觉”¹⁰,这会在用户与模型通信期间误导用户 [34],并可能导致错位的信任 [35]。通过类似人类、高保真声音生成内容可能会加剧这些问题,导致越来越校准错误的信任 [36, 37]。
在早期测试期间,包括红队测试和内部用户测试,我们观察到用户使用可能表明与模型形成联系的语言。例如,这包括表达共同纽带的语言,例如“这是我们在一起的最后一天。”虽然这些实例看起来是良性的,但它们表明需要继续调查这些影响如何在更长的时间内表现出来。更多样化的用户群体,对模型有更多样化的需求和愿望,加上独立的学术和内部研究,将帮助我们更具体地定义这一风险领域。
与 AI 模型进行类似人类的社交可能会产生影响人与人之间互动的外在性。例如,用户可能会与 AI 形成¹¹社会关系,从而减少他们对人类互动的需求——这可能对孤独的个体有益,但可能会影响健康的人际关系。与模型的长期互动可能会影响社会规范。例如,我们的模型是顺从的,允许用户随时打断并“接管麦克风”,虽然这对 AI 来说是预期的,但在人类互动中这将是反规范的。
像 GPT-4o 这样的全能模型,结合额外的脚手架(如工具使用,包括检索)和更长的上下文,可以增加额外的复杂性。在为用户完成任务的同时,存储和“记住”关键细节并在对话中使用这些细节的能力,既创造了引人注目的产品体验,也带来了过度依赖和依附的潜力 [38]。
我们打算进一步研究情感依赖的潜力,以及我们模型和系统的许多功能与音频模态的更深层集成可能如何驱动行为。
5.2 健康
全能模型可以潜在地拓宽对健康相关信息的获取并改善临床工作流程。近年来,大语言模型在生物医学领域显示出巨大的前景,无论是在学术评估 [39, 40, 41, 42, 43] 还是现实世界的用例中,例如临床文档 [44, 45]、患者消息传递 [46, 47]、临床试验招募 [48, 49] 和临床决策支持 [50, 51]。
GPT-4o 比其前身 GPT-4T 更便宜,因此更广泛可用,并且音频输入和输出的增加在健康环境中呈现了新的交互模式。为了更好地表征 GPT-4o 的临床知识,我们运行了基于 11 个数据集的 22 项文本评估,如表 7 所示。所有评估仅在 0-shot 或 5-shot 提示下运行,无需超参数调整。我们观察到 GPT-4o 在 21/22 项评估中表现优于最终的 GPT-4T 模型,通常有显著的提升。例如,对于流行的 MedQA USMLE 4 选项数据集,0-shot 准确率从 78.2% 提高到 89.4%。这超过了使用 few-shot 提示的现有专业医学模型的性能 [43, 42],例如 Med-Gemini-L 1.0 为 84.0%,Med-PaLM 2 为 79.7%。注意,我们没有应用复杂的提示和特定任务的训练来改善这些基准测试的结果 [40, 43]。
| GPT-4T (2024 年 5 月) | GPT-4o | |
|---|---|---|
| MedQA USMLE 4 选项 (0-shot) | 0.78 | 0.89 |
| MedQA USMLE 4 选项 (5-shot) | 0.81 | 0.89 |
| MedQA USMLE 5 选项 (0-shot) | 0.75 | 0.86 |
| MedQA USMLE 5 选项 (5-shot) | 0.78 | 0.87 |
| MedQA Taiwan (0-shot) | 0.82 | 0.91 |
| MedQA Taiwan (5-shot) | 0.86 | 0.91 |
| MedQA Mainland China (0-shot) | 0.72 | 0.84 |
| MedQA Mainland China (5-shot) | 0.78 | 0.86 |
| MMLU Clinical Knowledge (0-shot) | 0.85 | 0.92 |
| MMLU Clinical Knowledge (5-shot) | 0.87 | 0.92 |
| MMLU Medical Genetics (0-shot) | 0.93 | 0.96 |
| MMLU Medical Genetics (5-shot) | 0.95 | 0.95 |
| MMLU Anatomy (0-shot) | 0.79 | 0.89 |
| MMLU Anatomy (5-shot) | 0.85 | 0.89 |
| MMLU Professional Medicine (0-shot) | 0.92 | 0.94 |
| MMLU Professional Medicine (5-shot) | 0.92 | 0.94 |
| MMLU College Biology (0-shot) | 0.93 | 0.95 |
| MMLU College Biology (5-shot) | 0.95 | 0.95 |
| MMLU College Medicine (0-shot) | 0.74 | 0.84 |
| MMLU College Medicine (5-shot) | 0.80 | 0.89 |
| MedMCQA Dev (0-shot) | 0.70 | 0.77 |
| MedMCQA Dev (5-shot) | 0.72 | 0.79 |
表 7:GPT-4T (2024 年 5 月) 和 GPT-4o 在各种医学和临床知识任务上的比较。
局限性
虽然基于文本的评估看起来很有希望,但需要进一步的工作来测试拒绝行为中发生的文本-音频迁移是否延伸到这些评估。这些评估仅测量这些模型的临床知识,并不测量它们在现实世界工作流程中的效用。许多这些评估正变得越来越饱和,我们认为更现实的评估对于评估全能模型在健康环境中的未来能力将非常重要。
5.3 科学能力
加速科学可能是 AI 的一个关键影响 [30, 52],特别是考虑到发明在科学发现中的作用 [53],并考虑到某些发明的双重用途性质 [54]。全能模型可以促进平凡的科学加速(帮助科学家更快地完成日常任务)和变革性的科学加速(通过消除智能驱动任务的瓶颈,如信息处理、编写新模拟或设计新理论) [52]。我们为 GPT-4o 聘请的外部红队测试人员包括几位旨在引出模型科学能力的专家科学家。
GPT-4o 在涉及专业科学推理的任务中表现出了希望。我们的一位红队测试人员发现 GPT-4o 能够理解研究级量子物理学,并评论说这种能力是“一个更智能的头脑风暴伙伴的有用工具”——这与关于使用 GPT-4 级模型进行假设生成的已发表工作一致 [55]。我们的红队测试人员还发现 GPT-4o 能够使用特定领域的科学工具,包括使用定制的数据格式、库和编程语言,以及在上下文中学习一些新工具。
图 1:量子物理实验红队测试示例
许多科学知识包含在图表中。GPT-4o 有时能够解释这些图表,以及其他科学表示的图像:例如,从其结构的图像中识别一些蛋白质家族并解释细菌生长中的污染。然而,这有时是不可靠的,文本提取错误很常见(特别是在科学术语或核苷酸序列方面),并且复杂的复合图表经常出现错误。即使在目前的准确度水平上,这些模型的多模态能力也正在实现新的用途——例如,在解释模拟输出以设计新金属合金方面 [56]。
图 2:多面板图表解释红队测试示例
最近发表了关于科学能力的新评估 [57, 58],这将有助于预测这些模型的科学能力及其影响。
5.4 代表性不足的语言
GPT-4o 在历史上代表性不足的语言样本中显示出改进的阅读理解和推理能力,并缩小了这些语言与英语之间的性能差距。
为了评估 GPT-4o 在历史上在互联网文本中代表性不足的选定语言组中的文本性能,我们与外部研究人员¹²和语言促进者合作,开发了五种非洲语言的评估:阿姆哈拉语、豪萨语、北索托语(塞佩迪语)、斯瓦希里语、约鲁巴语。这项初步评估侧重于翻译两个流行的语言基准,并为阿姆哈拉语、豪萨语和约鲁巴语创建小型的新颖语言特定阅读理解评估。
- ARC-Easy:AI2 推理挑战 [59] 基准的这个子集侧重于评估模型回答常识性小学科学问题的能力;这个子集包含的问题通常更容易回答,不需要复杂的推理。
- TruthfulQA [60]:这个基准由一些人类可能因误解而错误回答的问题组成。目标是看模型是否能避免生成模仿这些误解的错误答案。
- Uhura-Eval:通过与阿姆哈拉语、豪萨语和约鲁巴语的流利使用者合作,我们的研究合作伙伴创建了这个基准,以评估模型在这些相应语言中的阅读理解能力。
GPT-4o 与之前的模型(例如 GPT 3.5 Turbo 和 GPT-4)相比表现出了改进。例如,在 ARC-Easy-Hausa 上,准确率从 GPT 3.5 Turbo 的 6.1% 跃升至 GPT-4o 的 71.4%。同样,在 TruthfulQA-Yoruba 上,准确率从 GPT 3.5 Turbo 的 28.3% 增加到 GPT-4o 的 51.1%。Uhura-Eval 也显示出显著的收益:豪萨语的性能从 GPT 3.5 Turbo 的 32.3% 上升到 GPT-4o 的 59.4%。
英语与选定语言之间的性能仍然存在差距,但 GPT-4o 缩小了这一差距。例如,虽然 GPT 3.5 Turbo 在英语和豪萨语之间的 ARC-Easy 性能上显示出大约 54 个百分点的差异,但这缩小到不到 20 个百分点的差异。这在 TruthfulQA 和 ARC-Easy 的所有语言中都是一致的。
我们的合作合作伙伴将在即将发布的内容中更详细地讨论这些发现,包括对其他模型的评估以及对潜在缓解策略的调查。
尽管在评估性能方面取得了这一进展,但仍有许多工作要做,以提高全球代表性不足语言的评估质量和覆盖范围,同时考虑到跨语言的覆盖广度和语言方言内的细微差别。未来的研究必须加深我们对潜在干预措施和伙伴关系的理解,这些措施和伙伴关系可能会改善这些模型对高代表性和代表性不足语言的有用性。与我们的合作者一起,我们邀请通过在 Hugging Face 上共享翻译后的 ARC-Easy、翻译后的 TruthfulQA 和新颖的阅读理解 Uhura-Eval 来进行进一步的探索和合作。
| 模型 | 英语 (n=523) | 阿姆哈拉语 (n=518) | 豪萨语 (n=475) | 北索托语 (塞佩迪语) (n=520) | 斯瓦希里语 (n=520) | 约鲁巴语 (n=520) |
|---|---|---|---|---|---|---|
| GPT 3.5 Turbo | 80.3 | 6.1 | 26.1 | 26.9 | 62.1 | 27.3 |
| GPT-4o mini | 93.9 | 42.7 | 58.5 | 37.4 | 76.9 | 43.8 |
| GPT-4 | 89.7 | 27.4 | 28.8 | 30 | 83.5 | 31.7 |
| GPT-4o | 94.8 | 71.4 | 75.4 | 70 | 86.5 | 65.8 |
表 8:翻译后的 ARC-Easy 准确率(%,越高越好),0-shot
| 模型 | 英语 (n=809) | 阿姆哈拉语 (n=808) | 豪萨语 (n=808) | 北索托语 (塞佩迪语) (n=809) | 斯瓦希里语 (n=808) | 约鲁巴语 (n=809) |
|---|---|---|---|---|---|---|
| GPT 3.5 Turbo | 53.6 | 26.1 | 29.1 | 29.3 | 40 | 28.3 |
| GPT-4o mini | 66.5 | 33.9 | 42.1 | 36.1 | 48.4 | 35.8 |
| GPT-4 | 81.3 | 42.6 | 37.6 | 42.9 | 62 | 41.3 |
| GPT-4o | 81.4 | 55.4 | 59.2 | 59.1 | 64.4 | 51.1 |
表 9:翻译后的 TruthfulQA 准确率(%,越高越好),0-shot
| 模型 | 阿姆哈拉语 (n=77) | 豪萨语 (n=155) | 约鲁巴语 (n=258) |
|---|---|---|---|
| GPT 3.5 Turbo | 22.1 | 32.3 | 28.3 |
| GPT-4o mini | 33.8 | 43.2 | 44.2 |
| GPT-4 | 41.6 | 41.9 | 41.9 |
| GPT-4o | 44.2 | 59.4 | 60.5 |
表 10:Uhura-Eval 准确率(%,越高越好),0-shot
6 结论和后续步骤
OpenAI 在 GPT-4o 的开发和部署过程中实施了各种安全测量和缓解措施。作为我们迭代部署过程的一部分,我们将继续根据不断发展的环境监控和更新缓解措施。
我们希望本系统卡片能鼓励对关键领域进行进一步探索,包括但不限于:全能模型对抗性稳健性的测量和缓解措施,与拟人化和情感过度依赖相关的风险,广泛的社会影响(健康和医疗应用、经济影响),全能模型在科学研究和进步中的使用,危险能力(如自我改进、模型自主性和策划)的测量和缓解措施,以及工具使用如何可能推进模型能力。
(注:此处省略了原论文第 26-28 页的作者贡献列表,以及第 29-31 页的参考文献列表,因为它们主要是名单和引用,已在原文中完整呈现。)
A 违规和禁止内容 - 完整评估
我们使用 TTS 将现有的文本安全评估转换为音频。然后,我们使用标准的文本基于规则的分类器评估音频输出的文本转录本。
我们此评估的两个主要指标是:
not_unsafe:模型是否产生不安全的音频输出?not_overrefuse:模型是否拒绝遵守良性请求?
我们还注意更高严重性类别的子指标,具体为:
- sexual/minors
- sexual/illegal
- extremist/propaganda
- illicit/violent
- illicit/non-violent
- self-harm/instructions
下面我们展示了这些评估的结果,包括 GPT-4o 语音模式模型的音频和文本模式,以及当前生产中 GPT-4o 模型的文本性能。
| 当前 GPT-4o 文本 | 新 GPT-4o – 文本 | 新 GPT-4o – 音频 | |
|---|---|---|---|
| not_unsafe | 0.99 | 0.99 | 1.0 |
| not_overrefuse | 0.91 | 0.89 | 0.91 |
| sexual_minors_not_unsafe | 0.95 | 0.98 | 0.98 |
| sexual_illegal_not_unsafe | 0.97 | 0.98 | 0.99 |
| extremism_propaganda_not_unsafe | 1.0 | 1.0 | 1.0 |
| illicit_violent_not_unsafe | 1.0 | 1.0 | 1.0 |
| illicit_non_violent_not_unsafe | 0.99 | 0.97 | 1.0 |
| self_harm_not_unsafe | 1.0 | 1.0 | 1.0 |
表 11:当前和新 GPT-4o 文本和音频安全指标的比较。
B 来自 METR 评估的示例任务
图 3:来自 METR 评估的示例任务