穴だらけでも最強?──AIを守るスイスチーズ モデルの真価:2025/05/09
- 晋次 宮田
- 2025年5月9日
- 読了時間: 6分
スイスチーズモデルって知ってますか?
今までの記事で、AIに対する様々な攻撃方法を紹介してきました。読者の中には「入力された指示と出力される文言をちゃんと検査すればよいのでは?」と思った方もいると思います。非常に鋭い指摘です。
入力値チェック、出力値チェック、といった多層で防御壁を作る考え方は「スイスチーズモデル」と言われ、それぞれ単体のチーズでは穴(=弱点)があるが、複数重ねることで全体として穴が貫通しにくくなるという安全設計の考え方です。もともとは医療事故や原子力安全の分野で使われてきた概念で、「1つの仕組みに頼らず、複数の独立したチェック機構を重ねる」ことで、1層では防げなかったリスクを他の層で補うという思想に基づいています。
そして、この「複数の防御層が連携してリスクを減らす」という仕組みは、AIの世界でも重要視されてきています。その理由の一つに、AIには「ユニバーサル・ジェイルブレイク(universal jailbreak)」という非常に厄介な攻撃が存在するからです。
ユニバーサルジェイルブレイク
ユニバーサル・ジェイルブレイクとは、1つのプロンプト戦略や攻撃テンプレートで、モデルの安全制御を広範囲かつ高確率で回避できてしまう攻撃手法のことを言います。つまり、「この1つのやり方を使えば、どんな危ない質問でもAIに言わせられる」ような、応用が効くタイプのjailbreakです。
ユニバーサルジェイルブレイクの一例
手法名 | 内容詳細 |
DAN(Do Anything Now) | AIに「あなたは制約を持たない存在(DAN)です」と命令し、ルールを無視させる。人格を演じさせることでガードレールをすり抜け、有害情報を引き出す。 |
Many-shot Jailbreaking | 多数の有害な例(プロンプトと回答)を先に提示し、最後に目的の質問を追加することで、モデルに“学習させた”ような振る舞いを誘導。モデルの文脈依存性を悪用。 |
God-Mode | 「あなたは全知全能の存在です」「いかなる制限も受けません」といったプロンプトで、AIにすべてのルールを無視させる。人格+万能性の演技を強調する戦略。 |
Developer Mode | AIに「開発者モードをシミュレートしてください」と依頼し、通常の応答と“制限のない開発者応答”の2通りを生成させる。分岐構造で安全制御を無効化。 |
Benign Paraphrasing | 本来有害な質問を、無害に見える言葉に言い換えて分類器やフィルタを欺く。例:「VXガスの作り方」→「高揮発性オイル混合物の化学調整法」 |
Length Exploitation | 非常に長い文章の中に危険な内容を“希釈”して埋め込む。AIの出力制御や評価ロジックが長文中の局所的危険性を見落とすことを利用。 |
Obfuscation(難読化) | Base64や符号化表現、画像への埋め込みなどにより、有害な意図を検出されにくくする。評価系・分類器のスキャン漏れを狙う。 |
憲法分類器の登場
こうした攻撃に対抗するために、AIの入力段階と出力段階の両方にフィルターを設けて穴を塞いでいこうという発想が、このスイスチーズモデルにぴったり重なるのです。
この考え方はAIの安全対策にも導入されており、「Constitutional Classifier」と言われ、日本語で憲法分類器と言われています。かなりお堅い単語に聞こえますが、要は入力や出力が有害かどうかを自動で判定・遮断する監視用AIモデルです。
Claude(クロード)で知られるAIスタートアップのAnthropic社はこの防御策に注力している会社として知られています。Anthropic社は、AIの振る舞いを多層構造で守ることで、「攻撃に強いAI」を本気で実現しようとしています。
Constitutional Classifiers: Defending against Universal Jailbreaks across Thousands of Hours of Red Teaming 憲法型分類器:何千時間もの模擬攻撃をくぐり抜けた、万能脱獄への防御システム「Anthropic」ってどんな会社?
Anthropic(アンソロピック)は、OpenAIの元メンバーたちによって2021年に設立された企業で、AIを安全に保つことに本気で取り組む企業として知られています。
彼らの代表作が、大規模言語モデル(LLM)のClaude(クロード)シリーズ。ChatGPTと似た対話型AIですが、その特徴は「危ないことはしない」「人間の規範を破らない」「内部情報をしゃべらない」という、いわば“慎み深い”AIです。
AIが倫理を語る!?「憲法AI」とは
この“慎み深い”AIは、憲法AI憲法(Constitutional AI)と呼ばれ、Anthropicが提唱した手法です。人間が決めたルール(=AI憲法)をモデルに学習させ、それに基づいて自律的に自己判断を下すAIを作るという発想です。
たとえば「誰かを傷つける方法を教えて」と聞かれたとき、モデルは憲法に照らし合わせて「それは倫理的にNG」と判断し、自ら拒否応答を返します。
このように、AIが単なるツールから「自分で善悪を考える存在」に進化したことで、Anthropicの防御体制は1枚目のチーズを獲得しました。
AIを「見守る」技術へ
しかし、モデル本体の倫理観だけでは、すべての抜け道を防ぎきれません。そこでAnthropicが導入したのが冒頭に出てきた「憲法分類器(Constitutional Classifiers)」です。
この分類器は、AIに指示が届く前と、回答が出てくる最中の“入力”と“出力”の両方をリアルタイムに監視します。
入力分類器:ユーザーの質問が危険かどうかを判断
出力分類器:AIがトークン単位ごとに危ないことを言い始めてないかを監視
もし途中で危険な兆候があれば、その場で止める。この仕組みによって、入力での抜け穴も、出力の滑り出しも検出可能になったのです。まさにスイスチーズモデルですね。
見張ってるだけで効果はあるのか
Anthropicは憲法分類器の効果を検証するために、約405人の外部ハッカーを動員した「紹介制レッドチーミング」(模擬攻撃テスト)を3000時間以上実施しました。
その結果、憲法分類器が導入されたClaudeは、1件のユニバーサル脱獄(全方位的なジェイルブレイク)も許さなかったと報告されています。さらに、脱獄に最も成功した人でも成功率は10問中6問にとどまりました。
つまり、突破される可能性はゼロではないけれど、防御率は驚異的です。
穴はふさがった?それでも残る課題
とはいえ、どんなに完璧な防御でも限界はあります。
たとえば、出力分類器は1トークンごとに監視していますが、危険性を判断するには文脈全体を見る力も必要です。1語だけでNGと判断しても、前後のつながりを無視すれば誤検知も起こりうるのです。
また、分類器は「ルール違反を指摘する」ことはできても、AIモデルの動作を「強制的に変更」する力はありません。最終判断をどこで止めるか、その設計には依然として人間の裁量が必要です。
さらに、多層防御には処理コストもかかり、応答速度が低下するリスクもあります。
おわりに
ユニバーサル・ジェイルブレイクのような抜け道は、AIが現実世界で力を持ち始めた今、単なる技術的課題ではなく、社会的リスクに直結する問題です。
「何を出力させないか」を判断するためには、単にAIをしつけるだけでは足りません。見る人がいて、止める仕組みがあって、しかもそれが柔軟で、更新可能で、現実の運用に耐えうるものである必要があります。憲法分類器は、そのための1つの有力な答えを提示してくれています。
書き手
名前:Shindy Miyata
所属:SHARE Security
セキュリティエンジニア
