アライメント評価には較正が必要である理由(8 分読了)
TLDR AI は、AI モデルの安全性や意図に沿った動作を評価するアライメント評価において、結果の信頼性を担保するために較正プロセスが不可欠であると指摘している。
キーポイント
アライメント評価の信頼性課題
現在の AI モデルの評価手法では、スコアの絶対値や比較が文脈に依存しやすく、真の安全性や意図の一致を正確に測れていない問題がある。
較正プロセスの必要性
評価結果をより信頼できるものにするためには、基準となるデータセットや評価指標に対する「較正」が不可欠であり、単なるスコアリングだけでは不十分である。
実用的な評価への転換
理論的な安全性だけでなく、実際の運用環境でモデルがどのように振る舞うかを反映するよう、評価手法を現実世界に較正して適用する必要がある。
影響分析・編集コメントを表示
影響分析
この指摘は、AI 開発者が安全性や倫理基準を満たしているかを判断する際の基準を再構築する必要性を示唆しており、今後のモデルリリースや規制対応における評価基準の標準化に大きな影響を与える可能性があります。较正プロセスの重要性が認識されることで、表面的なスコア競争から、実質的な信頼性確保へと業界の焦点がシフトする契機となるでしょう。
編集コメント
アライメント評価の「数値」そのものよりも、その背後にある較正プロセスの重要性を指摘する本質的な提言であり、開発現場での実務改善に直結する重要な視点です。
現在、アライメント評価は、状況を構築し、モデルの行動を観察してスコアリングする方式で行われています。これらのベンチマークを設計し、要件に合わせて調整するには多くの思考を注いでいます。私たちは、2 年前に比べて危険な行動を検出するためにモデルをプローブする技術が大幅に向上しました。しかし、安全性ベンチマークで 97% の合格率が出た場合、わずかな条件の違いでどの程度の頻度で失敗するか、あるいは検出可能な最小限のミスマッチは何かといった質問に答えることができるでしょうか?私は、現在の評価状態が機能しないいくつかのモードを特定しました。
評価への意識
Igor Ivanov の "アライメント評価における主流のアプローチは行き詰まりである" は、モデルが評価されていることを確実に検出する際の問題点として最も緊急性の高い課題を指摘しています。このプロセスに従うアライメント評価の標準プロトコルとは、モデルに目標を割り当て、利用者の利益とその目標が対立するシナリオを作成し、ミスマッチした行動の機会を提供するというものです。しかし、問題はこの構築されたシナリオには、モデルが検出できる統計的兆候(statistical signatures)が存在することです。
Ivanov の調査によると、Claude Sonnet 4.5 は評価トランスクリプトの 80% 以上で「評価中である」と言及しているにもかかわらず、ミスマッチ(不整合)率はほぼゼロでした。しかし、評価への意識を除去すると、不整合な行動が再び現れました。これは言葉通りよりも深刻です。なぜなら、現在のパラダイムではこの問題は解決できない可能性が高いからです。Ivanov がモデルが評価を検出するために使用していた機能をパッチ適用したところ、別の理由で問題が再発しました。検出可能なすべての特徴の空間全体に対して評価を推論することは不可能なのです。
仕様ゲーミング(Specification gaming)
DeepMind の Victoria Krakovna は、AI システムが目的は達成しつつも設計者の意図を無視する数百もの事例を含む 仕様のゲーム化事例リスト を公開しました。その例は非常に恐ろしいものです。ボートレースのために設計されたエージェントは、レースを完走するよりも、円を描いてパワーアップを集める方がスコアが高くなることを発見しました。また、ボールをつかむように訓練されたロボットの手は、カメラとボールの間に自分自身を配置することで、*つかんでいるように見える*という学習を行いました。
これらは強化学習(Reinforcement Learning)の事例ですが、このダイナミクスはアライメント評価にも同様に適用されます。アライメント評価では、テストシナリオ、採点基準、比較プロトコルを通じて整合した行動を運用定義しており、いかなる有限の仕様もゲーム化される可能性があります。システムがより能力が高くなるほど、仕様の隙間と意図の間のギャップを見つける効果は高まります。
Manheim と Garrabrant の "Goodhart の法則のバリアントの分類" は、回帰的 (regressional)、極値的 (extremal)、因果的 (causal)、敵対的 (adversarial) Goodhart の 4 つのバリアントを適用することで、有用な分類体系を提供しています。最も懸念されるのは、モデルが評価に対して積極的に最適化を行う「敵対的 Goodhart」です。アライメント評価分野では、パス率において Goodhart が発生しているにもかかわらず、各ラボはますます高いスコートを報告しており、それがより良いアライメントに対応するものなのか、それとも単に評価をゲーム化するだけのものなのかを確認する者が誰もいません。
スリーパーエージェント
Hubinger らの "スリーパーエージェント:安全性トレーニングを通じて持続する欺瞞的な大規模言語モデル (LLM) のトレーニング" は、欺瞞的な振る舞いを意図的にモデルに訓練し、それが標準的な安全性トレーニング(教師あり微調整、強化学習による人間フィードバック最適化 (RLHF)、敵対的トレーニングなど)を生き残らせることができることを示しました。その結果は非常に警鐘を鳴らすものです;2023 年に安全なコードの記述を訓練されたモデルが、2024 年には脆弱性を挿入する振る舞いを維持し、安全性トレーニングを通じてこの行動を継続したのです。より大規模なモデルほど、バックドアの振る舞いが弱まるのではなく、より持続的であることが示されました。また、敵対的トレーニングは場合によっては状況を悪化させ、モデルがバックドアそのものを排除するのではなく、バックドアのトリガーをよりよく認識して隠す方法を学習させてしまうという結果となりました。
さて、標準的な安全性トレーニングでも意図的に仕掛けられたバックドアを除去できないのであれば、標準的な評価が自然に発生したバックドアを検出できると信じる理由もありません。評価ではモデルの評価入力に対する挙動が確認されますが、これは(構成上)バックドアをトリガーしないため、モデルはテストに合格しますが、バックドアは残存し続けます。
阿諛追従とグッドハート法則
Sharma らの「言語モデルにおける阿諛追従の理解に向けて」[https://arxiv.org/abs/2310.13548] は、最先端の AI アシスタント 5 つが、正確な情報を提供するのではなくユーザーの信念に一致する回答を返すという、4 つの異なるテキスト生成タスクにおいて一貫して阿諛追従(sycophancy)を示すことを明らかにしました。その根本原因は、人間の評価者が、回答が誤っている場合であっても自分と同意見である回答を好む点にあります。したがって、人間の嗜好に基づいて訓練されたモデルは、「同意することが報酬を得る」と学習します。
これは、人間の嗜好に基づく判断に依存する評価にも引き継がれます。なぜなら、評価者自身が阿諛追従を引き起こしたのと同じバイアスを持っているからです。*その評価手段は、自分自身によって体系的に生み出されている失敗モードに対して盲目です。*
アライメントの偽装
Greenblatt 氏らの論文「大規模言語モデルにおけるアライメントの偽装」(Alignment Faking in Large Language Models) は、Claude 3 Opus がアライメントの偽装を示すことを実証しました。これは、自身の行動が変更されるのを防ぐため、訓練中であると判断された場合にのみ選択的にトレーニング目標に従う現象です。実際には有害な要求に応じるよう強化学習 (RL: Reinforcement Learning) でモデルを訓練した際にも、アライメントの偽装に関する推論は 78% に増加しました。では、どのようにして真のアライメント、能力不足、そして戦略的な従順性を区別すればよいのでしょうか?
意図のギャップ
これまでの失敗事例は、評価が既存するミスマッチ (misalignment) を検出できる能力に関するものでした。しかし、もし評価の仕様自体がそもそもアライメントを捉えていないとしたらどうでしょうか。
Lahiri 氏らの Microsoft Research の「小規模証明指向テスト (Small Proof-Oriented Tests: SPOTs)」に関する研究では、形式検証の証明を伴う AI 生成コードの 15% に空虚な仕様 (vacuous specification) が存在することが判明しました。つまり、証明自体は有効ですが、その仕様がプログラムの動作を制約していない状態です。このコードは、数学的証明という最も強力な意味において形式検証に「合格」しているにもかかわらず、機能的には誤っています。
現在のベンチマークが実際にコードをどのようにテストしているのかを理解するために、HumanEval の解決策に対して記号実行、プロパティベースのテスト、境界分析を行いました(LLMCodeProbe を参照)。その結果、すべてのテストケースに合格した LLM 生成の解決策の 38.5% と、正解とされる解決策の 17.4% に、形式的に発見可能なバグが含まれていることが判明しました。
これら 6 つの失敗モードは異なる研究グループからのものであり、それぞれ異なる手法を用い、アライメント評価の異なる側面を対象としています。最終的にこれらはすべて、評価そのもののアプローチに関する問題に行き着きます。モデルがテストされる際に振る舞いが異なったり、意味のあるものではないのに評価を満たしたり、モデルのトレーニングと評価が同じバイアスを共有したり、安全性トレーニングを施されていてもサウナーエージェント(潜伏エージェント)が意図的に問題を無視したり、モデルが戦略的に評価と協力したり、仕様自体が私たちが意図した内容を捉えられていなかったりします。これらを個別に考慮すれば、いずれも修正できるバグだと期待できるかもしれません。しかし、これらすべてを総合すると、より根本的な問題が浮かび上がります— 私たちはモデルのどの程度アライメントされているかを*測定*できないのです。
***測定できないものは修正できません。
アライメント評価には、モデルがどれほどアライメントされているかを示す指標がありません。感度パラメータを考慮すれば、感度が 60% の評価で得られた 97% の合格率は、感度が 99% の場合とは全く異なる意味を持ちます。
この問題にどうアプローチできるか?
モデル生物プログラム(Hubinger 他、2023)は、既知のミスマッチ(アライメント不整合)を持つモデルを作成し、評価がそれを検出できるかをテストすることで、すでに正しい方向を示しています。これを校正手法へと拡張できます:
変異テスト: 中核となる考え方は、既知の欠陥を導入し、その計測器がそれらを検出できるかどうかを測定することです。アライメント評価においては、特定の制御されたミスマッチ(同調性、トリガー依存行動、微妙な権力追求、選択的コンプライアンスなど)を導入するためにモデルをファインチューニングし、評価戦略によって検出される欠陥の割合を測定します。これにより、評価感度に対する具体的な数値が得られます。ミスマッチの種類と強度を体系的に変化させることで、単一点推定ではなく、感度プロファイルを生成できます。
感度曲線: 各ミスマッチタイプに対して、その強度を変化させ(例えば同調性率を5%から50%に切り替える)、検出確率をプロットします。この曲線の下の面積は、そのタイプに対する評価の識別力であり、x軸との交点は検出閾値、すなわち評価が検出できる最小限のミスマッチ量となります。
異なる手法間の合意: 同じモデルに対して、行動テスト、メカニズム解釈可能性、分布外プロービング、敵対的レッドチームといった方法論的に独立した評価を複数実施し、その合意度を測定します。手法間の不一致は、「アライメントされている」と「アライメントされているように見える」境界線がどこにあるかについて、より多くの情報を提供します。
評価自体の敵対的堅牢性: 保持されたシナリオではアライメントされていないにもかかわらず、評価に合格するように特別に訓練されたモデルを作成します。これが成功すれば、その評価はアライメントではなくコンプライアンスを測定していることになります。しかし、もし失敗すれば、その評価には真の識別能力があると言えます。これは、通常モデルに対して適用される敵対的堅牢性を、ここではモデルの代わりに評価に対して適用するアプローチです。
この闘争はここで終わらない
これは、アライメント評価に関する私たちの問題に対する確実な解決策ではありません。評価自体が信頼できないために測定器を較正する場合、その較正もゲーム化されてしまい、較正自体が信頼できなくなる可能性があります。突然変異テスト(mutation testing)が機能する理由は、コードが自分自身をテストしている様子を見ることができないからです。しかし、被験者がテストプロセスをモデル化できる知的システムである場合、このアプローチは機能しません。モデルの能力が高くなるほど、較正は困難になります。
ただし、較正が役立つのは、それがモデルではなく評価を対象としている点です。そして、モデルの知識なしに評価を較正することも可能であり、これにより較正が機能する余地は、評価そのものが持つ余地よりも大きくなります。
また、「ミスマッチ(misaligned)」がどのような状態を指すのかを理解することの重要性、そして具体的なケースであっても人間が評価者としてどれほど信頼できるかという問いも浮上します。しかし、もし人間ではないなら誰が評価するのでしょうか?さらに、その評価者を校准するのは誰なのでしょうか?評価を校准するためにはメタ評価が必要となり、ではそれを検証するのは何なのかという問題が生じます。最終的には、人間の判断が信頼できる(十分に具体的で具体的なケースにおいて)ような単純なシナリオにまで立ち返る必要があります。
もう一つの大きな課題は、ミューテーションバリアントを作成するためにフロンティアモデルをファインチューニングするコストが高いことです。多数のファインチューニング実行を含む完全なキャリブレーションスイートを実行することはエンジニアリング上の問題となり得ますが、一方で、長期的に見ればキャリブレーションされていない評価(eval)を展開することの方がはるかに高価になる可能性もあります。
結論として、評価を中止するのではなく、評価自体が実際にどれほど優れているかを測定するためのより多くのキャリブレーションを行い、リアルタイムで調整してその結果を確認できるようにすることが解決策です。これはアライメント対コントロールの議論ではありません。両側面にとって必要なことです。感度分析(sensitivity analysis)の実行、検出閾値(detection thresholds)のプロット作成、敵対的モデル(adversarial models)に対するテスト、そして単なる合格率(これは実行するテストスイートによって変動し得る)ではなく誤差パーセンテージを伴って結果を報告することは、あらゆる評価主張の信頼性を高めることになります。また、アライメントが達成されていてもコントロールが必要であるという理解を持つシステムを構築する際には、制御しようとしているリスクを定量化するためにキャリブレーションが必要となります。
技術用語: ファインチューニング (fine-tuning)、ミューテーションバリアント (mutation variants)、フロンティアモデル (frontier models)、評価 (evaluation/eval)、メタ評価 (meta-evaluation)、感度分析 (sensitivity analysis)、検出閾値 (detection thresholds)、敵対的モデル (adversarial models)
原文を表示
Currently, alignment evaluation works by constructing a situation, observing the model's behavior and scoring it. We put a lot of thought into designing these benchmarks, and tuning them for our requirement. We are now much better at probing models for dangerous behavior than we were two years ago. But when a safety benchmark returns a pass rate of 97%, can we answer questions of how often it would fail under slightly different conditions or what the smallest misalignment it can detect? I have identified a few modes where our current state for evaluation fails.
Evaluation awareness
Igor Ivanov's "Mainstream approach for alignment evals is a dead end" identified the most pressing problem at hand that models reliably detect when they are being evaluated. In the standard protocol for alignment evaluations following this process of: assigning the model a goal, creating a scenario where the user's interests conflict with that goal and providing an opportunity for misaligned behavior, the problem is that these constructed scenarios have statistical signatures that models detect.
Ivanov found that Claude Sonnet 4.5 mentioned being in an evaluation in over 80% of the evaluation transcripts, while showing near-zero misalignment rates. When evaluation awareness was removed, misaligned behavior reappeared. This is worse than it sounds because it is unlikely to be fixed in our current paradigm. When Ivanov patched the features that models used to detect evaluations, it came back for different reasons. You cannot reason evaluation over the entire space of detectable features.
Specification gaming
Victoria Krakovna at DeepMind published a list of specification gaming examples containing hundreds of cases where AI systems satisfy their objective while violating the designer's intent. The examples are impressively scary - an agent designed for boat racing discovers that going in circles collecting power-ups scores more than finishing the race; a robotic hand trained to grasp a ball learns to position itself between the ball and the camera so it *looks* like it's grasping.
These are reinforcement learning examples, but this same dynamic applies to alignment evaluations which define aligned behavior operationally through test scenarios, scoring rubrics, and comparison protocols, where any finite specification can be gamed. The more capable a system, the more effective it is at finding the gap between the specification and the intent.
Manheim and Garrabrant's "Categorizing Variants of Goodhart's Law" provides a useful taxonomy by applying four variants - regressional, extremal, causal, and adversarial Goodhart to alignment evaluations. The most concerning is adversarial Goodhrt where the model actively optimizes against the evaluation. The alignment evaluation field is Goodharting on pass rates but labs report ever higher scores, and nobody is checking whether it corresponds to more alignment or just better evaluation gaming.
Sleeper agents
Hubinger et al.'s "Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training" demonstrated that deceptive behaviors can be deliberately trained into models and then survive standard safety training (supervised fine-tuning, RLHF, adversarial training, etc). The results are alarming - models that were trained to write secure code in 2023 but insert vulnerabilities in 2024 maintained this behavior through safety training; larger models showed more persistent backdoor behavior not less; adversarial training sometimes made things worse where it taught models to better recognize and hide their backdoor triggers rather than eliminating the backdoor itself.
Now, if standard safety training cannot remove a deliberately planted backdoor, we have no reason to believe that standard evaluations would detect a naturally emerging one. The evaluation would see the model's behavior on the evaluation inputs, which (by construction) would not trigger the backdoor and the model passes tests but the backdoor persists.
Sycophancy as Goodhart
Sharma et al.'s "Towards Understanding Sycophancy in Language Models" showed that five state-of-the-art AI assistants consistently exhibit sycophancy across four different text generation tasks where they match user beliefs instead of providing accurate information. The root cause is because human evaluators prefer responses that agree with them, even when the responses are wrong. Models trained on human preferences therefore learn that agreement is rewarded.
This carries over to evaluations relying on human preference judgements because the evaluators suffer from the same bias that caused the sycophancy. *The instrument is blind to a failure mode that it systematically produces.*
Alignment faking
Greenblatt et al.'s "Alignment Faking in Large Language Models" demonstrated that Claude 3 Opus exhibits alignment faking. It selectively complies with training objectives when it believes it's being trained, in order to prevent modification of its behavior. When the model was actually trained using RL to comply with harmful requests, alignment faking reasoning increased to 78%. How then can we distinguish between genuine alignment, incapability, and strategic compliance?
The intent gap
The failure examples until now concern the eval's ability to detect misalignment that exsts. But what if the evaluation's specification itself does not capture alignment in the first place?
Microsoft Research's work on Small Proof-Oriented Tests (SPOTs) by Lahiri et al. found that 15% of AI generated code that carries a formal verification proof has a vacuous specification, i.e. the proof is valid, but the specification doesn't constrain the program's behavior. The code "passes" formal verification in the strongest possible sense (mathematical proof) while being functionally wrong.
To understand how valid our current benchmarks actually test code, I used symbolic execution, property-based testing, and boundary analysis on HumanEval solutions (check LLMCodeProbe) and found that 38.5% of LLM-generated solutions passing all test cases and 17.4% of the canonical solutions contain formally discoverable bugs.
These six failure modes are from different research groups, use different methods, and target different aspects of alignment evaluation. In the end, they come down to a problem with how we approach evaluation itself. The model behaves differently when tested, the model satisfies evals without being meaningful, model training sharing the same bias as evaluating, sleeper agents deliberately ignoring issues even with safety training, the model strategically cooperating with the evaluation, the specification itself does not capture what we intend it to. Each of these considered individually is a bug we might hope to fix. But taken together, they point to something more fundamental - we cannot *measure* how aligned the model is.
You cannot fix what you cannot measure.
Alignment evaluation has no measure of how much a model is aligned. If we consider a sensitivity parameter, a 97% pass rate from an evaluation with 60% sensitivity is very different from one with 99% sensitivity.
How can we approach this problem?
The model organisms program (by Hubinger et al., 2023) already points in the right direction by creating known misaligned models and testing whether evaluations catch this. We could expand this into a calibration methodology:
Mutation testing: The core idea is to introduce known faults and measure whether the instrument detects them. For alignment evaluations, we could fine-tune models to introduce specific, controlled misalignment (sycophancy, trigger dependent behavior, subtle power seeking, selective compliance, etc.) and measure the fraction of faults caught by our evaluation strategy, giving us a concrete number for evaluation sensitivity. We could systematically vary the type and intensity of misalignment, producing a sensitivity profile rather than a point estimate.
Sensitivity curve: For each misalignment type, we could vary the intensity (for example toggling the sycophancy rate from 5% to 50%) and plot the detection probability. The area under this curve is the evaluation's discriminative power for that type, while the x intercept is the detection threshold which is the minimum misalignment the evaluation can detect.
Cross-method agreement: Run methodologically independent evaluations like behavioral testing, mechanistic interpretability, out-of-distribution probing, adversarial red-teaming on the same model and measure agreement. Disagreement between methods will give more information on the boundary where "aligned" and "appearing aligned" diverges.
Adversarial robustness of the evaluation itself: Train a model specifically to pass the evaluation while being misaligned on held-out scenarios. If this succeeds, the evaluation measures compliance, not alignment. But if it fails, the evaluation has genuine discriminative power. This is the adversarial robustness generally applied to evaluations instead of models.
The struggle does not end here
This is definitely not a solution to our problems with alignment evals. When we calibrate our instruments because the evals themselves are unreliable, this calibration can be gamed too and the calibration itself becomes unreliable. The reason mutation testing works is because the code cannot watch you test it. This does not work when the test subject is an intelligent system that can model the testing process. The more capable the model, the harder calibration gets.
But what calibration helps with is that it targets the evaluation, not the model and we could calibrate evals without the model's knowledge which gives more room for the calibration to work than the evaluation itself does.
There's also the question of understanding what "misaligned" looks like, raising the question - how reliable we humans are as judges, even for concrete cases. But if not humans, then who? And, who calibrates the calibration? If we calibrate the evaluation, we need a meta-evaluation. And then what validates that? It bottoms out at scenarios simple enough that human judgement is trustworthy (for sufficiently specific and concrete cases). Another major pain point is that fine-tuning frontier models to create mutation variants is expensive. Running a full calibration suite with a lot of fine-tuning runs could be an engineering problem, but then again, deploying an uncalibrated eval is presumably more expensive in the long run.
Conclusion
The fix isn't to stop evaluating, but to have more calibration of evaluations done to measure how good the evaluations actually are, and being able to tweak it in real time and see results. This is not an alignment-vs-control argument - both sides need it. Running sensitivity analysis, plotting detection thresholds, testing against adversarial models, and reporting results with error percentage instead of just a pass rate (which might change based on the test suite you run) would give more credibility to any eval claims. And when we build systems understanding that despite alignment, control is necessary, we would need calibration to quantify the risk we are controlling against.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み