Anthropicは1月9日(現地時間)、大規模言語モデル(LLM)に対する「ユニバーサルジェイルブレイク」攻撃への防御を強化する新技術「Constitutional Classifiers++」の詳細を新たな論文で発表しました。第1世代と比較して、計算コストを大幅に削減しつつ、高い堅牢性と低い拒否率を実現したと説明されています。この次世代分類器は、モデルの入出力を監視するセーフガード層の強化と、推論時の計算効率の向上を両立させることを目指します。

第1世代のConstitutional Classifiersは、ジェイルブレイク成功率を86%から4.4%に削減し、Claudeの内蔵安全トレーニングを回避する攻撃の95%をブロックする効果を示しました。しかし、計算コストが23.7%増加し、無害なクエリに対する拒否率が0.38%上昇するという課題も指摘されていました。

今回のConstitutional Classifiers++は、追加の計算コストを約1%に抑えつつ、堅牢性を高め、無害なクエリに対する拒否率を大幅に低減したとAnthropicは発表しています。この改善は、LLMをAPI経由で利用する企業にとって、安全性と運用コストのバランスを最適化する上で重要な意味を持つと見られます。

新システムは、二段階アーキテクチャを導入しています。具体的には、Claudeの内部アクティベーションを監視する低コストのプローブが全てのトラフィックをスクリーニングし、疑わしいやり取りをより強力な分類器にエスカレートする仕組みです。このより強力な分類器は、旧システムがアウトプットのみをスクリーニングしていたのに対し、会話の入力と出力の両方を監視することで、ジェイルブレイク試行をより適切に認識できるようになりました。これにより、これまでにテストされたあらゆるアプローチの中で最も低い攻撃成功率を達成しており、現在のところユニバーサルジェイルブレイクは発見されていません。

さらに効率性を高めるため、Anthropicは内部プローブ分類器も開発しました。これは、モデルのニューラルネットワーク内に既に存在する計算を再利用する技術で、モデルが有害なコンテンツを示唆する内部状態を「ほぼ無料で」検出できると説明されています。この内部プローブは計算コストが低いだけでなく、攻撃者による欺瞞が困難であり、外部分類器を補完する役割も果たします。最終的な本番環境向けシステムでは、これらの技術を組み合わせています。

この技術は、LLMを利用したサービス開発を行う企業やプロダクトマネージャーにとって、モデル選定における安全性評価基準を再考させる可能性があります。推論コストの抑制と高い安全性保証は、より広範なビジネスアプリケーションへのLLM導入を促進し、AIシステムの信頼性を高める上で重要な要素です。


参考: anthropic.com (アーカイブ) — 2026年7月7日 09:00 (JST)

原文ハイライト

"More Efficient Protection Against Universal Jailbreaks"

この記事をシェア
X はてブ LinkedIn