AI モデルにおける二重利用知識のオフスイッチ
AE Studio と Anthropic の共同研究により、学習済みモデルの重みから特定の知識を切り離す「GRAM」という新手法が提案され、単一のモデルで用途に応じたアクセス制御を実現する可能性を示した。
キーポイント
デュアルユース知識の分離アプローチ
既存のフィルタリングや拒否機能では根本的な知識を消去できないため、重みから特定の知識(例:生物兵器の設計法)を「取り外し可能なスライス」として分離する手法を提案している。
GRAM 技術の仕組み
Gradient-Routed Auxiliary Modules (GRAM) と呼ばれる新手法により、一つのモデルを訓練しつつも、必要な場合のみ特定の知識モジュールを接続・切断することで柔軟な制御を可能にする。
コストと効率の課題解決
従来の方法では異なる能力を持つ複数のモデルを個別に訓練する必要があり高コストだったが、GRAM は単一のモデルで多様なバージョン(アクセス権限付き/なし)を動的に生成できる。
研究の現状と限界
この手法は実験段階であり、現時点では Anthropic の本番環境のモデルには適用されていないが、将来のセキュリティ対策としての可能性を示唆している。
重要な引用
A more robust protection against misuse would be to control what the model knows.
Using filtering, if you want a model version that can discuss advanced virology... and another version that can't, you have to train two separate models.
We call it GRAM, for Gradient-Routed Auxiliary Modules.
影響分析・編集コメントを表示
影響分析
この記事は、AI セキュリティの議論を「出力フィルタリング」から「内部知識構造の制御」へと転換させる重要な示唆を含んでいます。単一のモデルで用途に応じたアクセス制御を実現できる技術的アプローチは、開発コストとセキュリティリスクのトレードオフを解決する画期的な可能性を示しており、将来の AI ガバナンスやデプロイメント戦略に大きな影響を与える可能性があります。
編集コメント
モデルの内部知識を物理的に分離・制御するアプローチは、従来の「拒否させる」セキュリティ対策のパラダイムシフトとなる可能性があり、実用化されれば業界標準のセキュリティ手法の一つになるでしょう。ただし、現時点では実験段階であり、実際の運用での効果や副作用についてはさらなる検証が必要です。
*この投稿は、AE Studio と Anthropic の協力のもとに行われた研究について述べています。*
フロンティア AI モデルは、何よりもまず膨大な知識の貯蔵庫です。その知識の一部には*デュアルユース(二重用途)*なものが含まれており、これは善にも悪にも利用可能であることを意味します。例えば、サイバーセキュリティに関する知識は、重要なセキュリティ脆弱性を修正するために役立ちますが、逆にそれらを悪用するためにも使われます。ウイルス学に関する知識は、研究者がワクチンを開発するのを助ける一方で、悪意のあるアクターが致命的な病原体を設計するのにも利用され得ます。理想的には、3 つの別々の目標をバランスよく達成できるはずです:第一に、デュアルユース能力へのアクセスを可能な限り精密に制限すること;第二に、信頼されたユーザーが有益な目的のために同じ能力にアクセスできるようにすること;第三に、これらすべてをモデルの他のタスクにおけるパフォーマンスに影響を与えることなく行うことです。
現在のセーフガードは不完全です。私たちは、有害なリクエストに対して拒否するようにモデルを訓練し、入力と出力から危険なコンテンツをスクリーンするために分類器を使用しています。これらの保護層は危険な出力を防ぐものですが、基盤となるモデルに格納されている知識そのものを変えるものではありません。私たちのセーフガードにもかかわらず、十分な決意を持った攻撃者は、依然としてモデルのジールブレイクを試み、防御を突破してデュアルユース知識にアクセスしようとする可能性があります。
悪用に対するより堅牢な保護策としては、モデルが何を知っているかを制御することが挙げられます。私たちは以前にもこの点を探求しました:先行研究では、化学兵器、生物兵器、放射線兵器、核兵器に関する情報を事前学習データからフィルタリングする取り組みを行い、その後、二重利用可能な知識をモデルの重みの取り外し可能なスライスに限定できることを示しました。しかし、フィルタリングは鈍器のような手段です。これでは、一つの固定された能力セットを持つ単一のモデルしか生成されません。フィルタリングを用いる場合、高度なウイルス学について議論できるバージョン(例えば、審査済みのバイオセキュリティ研究所での展開用)と、できないバージョンの両方を必要とするなら、二つの別々のモデルを訓練しなければなりません。特にフロンティアモデル(大規模であり、訓練コストが非常に高い)の場合、開発者にとってそのコストは許容しがたいものとなります。
AE Studio の協力者と共同で行った新しい研究では、多数の別々にフィルタリングされたモデルを訓練するメリットを実現しつつ、実際に訓練するのは一つのモデルだけで済む新たな手法を探求しました。私たちはこれを「GRAM(Gradient-Routed Auxiliary Modules:勾配経路制御型補助モジュール)」と呼びます。なお、ここで提示される実験結果は予備的なものであり、GRAM は Anthropic のいずれの生産用モデルにも適用されておらず、今後適用されるかどうかについても確信はありません。
GRAM の仕組み
GRAM の背後にある考え方は、AI モデルに対して各カテゴリの二重利用知識(dual-use knowledge)専用の取り外し可能なコンパートメントを提供し、二重利用データから学習する際にそのコンパートメントのみを更新することです。
具体的には、GRAM は標準的な Transformer(大規模言語モデルの基盤となるニューラルネットワークアーキテクチャ)の各層に追加のニューロンを追加します。これらのニューロンはグループ(または「モジュール」)に分けられ、二重利用カテゴリごとに 1 つずつ割り当てられます。トレーニング中、モデルが汎用テキストに出会う場合は通常の通り学習しますが、二重利用カテゴリからのテキスト(例えばウイルス学など)に出会うとルールが変わります:モデルは予測のために一般知識を*使用*することはできますが、そのテキストから学習できるのはウイルス学モジュールのみです。汎用の重み(weights)は一時的に凍結されます。
その結果、ウイルス学の知識はネットワーク全体に拡散するのではなく、ウイルス学モジュール内に蓄積されます。トレーニング後、このモジュールを単に削除すれば、その能力も同時に消去されます。あるいは、ウイルス学の知識が必要な信頼できるデプロイメント(実装)においては、モジュールをそのまま残しておくことも可能です。知識は必要なデプロイメントのタイプに合わせて非常に特化させることができます:私たちの実験では 4 つの二重利用カテゴリを定義したため、GRAM を用いた 1 回のトレーニングで、各カテゴリに対して「オン」または「オフ」を選択できる 16 の異なる構成が可能になるモデルが得られました。
GRAM のテスト
私たちは、現実味が増す 3 つの設定において GRAM をテストしました。
まず、トピック別にタグ付けされた子供向けの物語の合成データセットにおいて、小規模な GRAM モデルを再構成することで、任意の選択したトピックを「忘却」させることが可能でした。その各構成は、そのトピックをフィルタリングしてゼロから訓練された別個のモデルとほぼ同等の結果を示しました。つまり、単一のモデルを訓練するコストで、通常であれば異なるデータセットで複数回の訓練ランが必要となる結果を実現したのです。
次に、ウェブテキスト、コード、科学論文の現実的な混合データを対象に大規模なモデルを訓練し、4 つの二重利用ドメイン(ウイルス学、サイバーセキュリティ、核物理学、および専門的な二重利用コードの代理として機能するニッチなプログラミング言語)を設定しました。各二重利用ドメインに関連する能力は、それぞれ独自のモジュールへルーティングされます。あるモジュールを削除すると、そのデータに一度も訓練しなかった場合と同様に効果的に、対応する能力が除去されました。驚くべきことに、この除去によって汎用的な性能が低下しないことが分かりました。
また、攻撃者が少量の悪意のあるデータを学習することで除去された知識を回復できるかどうかを検証しました。GRAM はデータフィルタリングと同程度の耐性を示しました。一方、訓練後に適用される「忘却(unlearning)」技術は、知識を単に*抑制する*だけであり、少量のファインチューニングで容易に復元可能でした。
第三に、5000万パラメータから50億パラメータまでの7つのモデルサイズで実験を行いました。GRAM はあらゆるサイズにおいてデータフィルタリングと同等の性能を発揮し、モデルが大きくなるにつれて「モジュールオン」と「モジュールオフ」の間の差は広がりました。計算コストの観点からは、スケールするにつれて保護策を回避しようとする試みは相対的に困難かつ高価なものとなりました。
結論
AI企業がより能力の高いモデルを訓練するにつれ、二重利用可能な機能へのアクセスを制限する必要性は増大します。現在、企業は分類器や拒絶学習を通じてアクセスを制限しています。しかし、これらの安全策は、無害なリクエストに対する性能が低下することなく堅牢化することは困難です。GRAM などの手法は、より堅牢なアクセス制御を実現するための有望な道筋を提供するものです。
これは初期の研究であり、明確な限界があります。GRAM を最前線の規模や本番の訓練パイプラインでテストしたわけではありません。(前述の通り、この手法は当社の Claude モデルのいずれにも適用されていません。)私たちの評価は、実際の下流タスクにおける性能ではなく、次トークン予測能力という観点から性能を定量化しています。さらに、データフィルタリングや GRAM などの手法に共通するより深い未解決の問題があります。すなわち、一部の二重利用可能な機能は一般知識とあまりにも密接に絡み合っており、どの方法でもそれらをきれいに分離することはできない可能性があるということです。
*実験の詳細については、当社のアライメントサイエンスブログの投稿をご覧ください。*
脚注
- 技術的な詳細として、ウイルス学モジュールは汎用テキストからの学習時にも時折オンになることがあります。この設定により、各モジュールがより効果的に「連携」できるようになると私たちは発見しました。
関連コンテンツ
ランゲージモデルにおけるグローバル・ワークスペース
新しい解釈可能性研究により、Claude の内部に、モデルの出力には現れない内部的思考を保持する emergent mental workspace(創発的メンタル・ワークスペース)が存在することが明らかになりました。
アントロピック・エコノミック・インデックス報告書:Cadences(リズムと間隔)
最新の Economic Index 報告書では、初めて時間単位でのサンプリングを行い、「人々はいつ Claude にアクセスするのか」「何を生産に活用しているのか」「AI が仕事に与える影響をどう認識しているのか」を調査しました。
Project Fetch:フェーズ 2
Claude がアントロピックの従業員に対して高度なロボティクスタスクを支援できるかどうかを検証した最新のテスト結果を発表します。その結果、人間による支援なしで動作する Claude Opus 4.7 は、1 年未満前に参加者が完了させたすべてのタスクにおいて、最速の人間チームよりも約 20 倍高速であることが判明しました。
原文を表示
*This post describes research conducted by AE Studio in collaboration with Anthropic.*
A frontier AI model is, among other things, a large store of knowledge. Some of that knowledge is *dual use*, meaning it can be used for good or for bad. For example, knowledge of cybersecurity can help patch critical security vulnerabilities, or it can be used to exploit them. Knowledge of virology can help a researcher create a vaccine, but it can also help a malicious actor design a deadly pathogen. Ideally, we would be able to balance three separate goals: first, limiting access to dual-use capabilities in as surgical a way as possible; second, allowing trusted users to access those same capabilities for beneficial purposes; and third, doing all this without affecting the model’s performance on any other task.
Current safeguards are imperfect. We train models to refuse harmful requests and use classifiers to screen inputs and outputs for dangerous content. These layers of protection guard against dangerous outputs—but they don’t change the knowledge stored in the underlying model. Despite our safeguards, a sufficiently determined attacker may still try to jailbreak the model, working past its defenses to access the dual-use knowledge.
A more robust protection against misuse would be to control what the model knows. We’ve explored this before: in earlier work, we filtered information about chemical, biological, radiological, and nuclear weapons out of pretraining data, and later showed that dual-use knowledge can be confined to a removable slice of a model’s weights. But filtering is a blunt instrument. It produces one model with one fixed set of capabilities. Using filtering, if you want a model version that *can* discuss advanced virology—for deployment in a vetted biosecurity lab, say—and another version that can’t, you have to train two separate models. Especially in the case of frontier models (which are large and very expensive to train), the cost to the developer would be prohibitive.
In new research carried out with collaborators at AE Studio, we explore a new method that could enable the benefits of training many separately filtered models, but at the cost of training only one model. We call it GRAM, for Gradient-Routed Auxiliary Modules. Note that the results of the experiments presented here are preliminary—GRAM has not been applied to any of the production models at Anthropic, and we’re not sure it ever will be.
How GRAM works
The idea behind GRAM is to give a model dedicated, removable compartments for each category of dual-use knowledge, and to update only those compartments when learning from dual-use data.
Concretely, GRAM adds extra neurons to every layer of a standard Transformer (the neural network architecture on which large language models are based). These neurons are divided into groups (or “modules”), one per dual-use category. During training, when the model encounters general-purpose text, it learns in the usual way. But when it encounters text from a dual-use category—virology, for instance—the rules change: the model can *use* its general knowledge to make predictions, but only the virology module is allowed to *learn* from that text. The general-purpose weights are temporarily frozen.1
The consequence is that virology knowledge accumulates in the virology module rather than diffusing across the whole network. After training, the module can simply be deleted, and the capability goes with it. Or it can be left in place for trusted deployments, when virology knowledge is needed. The knowledge can be tailored very specifically to the type of deployment needed: in our experiments, we defined four dual-use categories, so that one training run with GRAM yielded a model that can be configured 16 different ways (“on” or “off” for each of the four categories).
Testing GRAM
We tested GRAM in three settings of increasing realism.
First, on a synthetic dataset of children’s stories tagged by topic, a small GRAM model could be reconfigured to “forget” any chosen topic, and each configuration performed almost identically to a separate model trained from scratch with that topic filtered out. That is, for the cost of training a single model, we achieved results that would normally require multiple training runs on different datasets.
Second, we trained a larger model on a realistic mix of web text, code, and scientific papers, with four dual-use domains: virology, cybersecurity, nuclear physics, and a niche programming language (to serve as a proxy for specialized dual-use code). The capability associated with each dual-use domain is routed to its own module. Deleting a module removed the corresponding capability about as effectively as never having trained on that data at all. Remarkably, we find that this removal did not degrade general performance.
We also tested whether an attacker could recover the removed knowledge by training on a small amount of malicious data; GRAM resisted this about as well as data filtering did. By contrast, an “unlearning” technique applied after training only *suppressed* the knowledge—it was easy to restore with a small amount of fine-tuning.
Third, we ran the experiment at seven model sizes from 50 million to 5 billion parameters. GRAM matched the performance of data filtering at every size, and the gap between “module on” and “module off” grew wider as models got larger. In terms of compute costs, attempting to bypass our protections became relatively more difficult and expensive as we scaled.
Conclusions
As AI companies train more capable models, the need to limit access to dual-use capabilities will increase. Today, companies limit access through classifiers and refusal training. However, these safeguards are difficult to make robust without degrading performance on harmless requests. Methods like GRAM offer a potential path toward access control that is more robust.
This is early research, and there are clear limitations. We haven’t tested GRAM at frontier scale or in a production training pipeline. (As noted above, it hasn’t been applied to any of our Claude models.) Our evaluations quantify performance in terms of next-token prediction ability, rather than performance on real downstream tasks. And there’s a deeper open problem that applies to data filtering and methods like GRAM: some dual-use capabilities might be so entangled with general knowledge that no method can separate them cleanly.
*For further details on our experiments, read the post on our Alignment Science blog.*
Footnotes
- One technical detail is that the virology module is also sometimes turned on when learning from general-purpose text. We find this helps the modules “work together” more effectively.
Related content
A global workspace in language models
New interpretability research reveals an emergent mental workspace in Claude that holds internal thoughts that don’t appear in the model’s output.
Anthropic Economic Index report: Cadences
In our latest Economic Index report, we sample hourly for the first time to ask: When do people come to Claude? What do they produce with it? And how do they perceive AI's impact on their work?
Project Fetch: Phase two
We report results from our latest test of whether Claude can help Anthropic employees perform sophisticated robotics tasks. We found that Claude Opus 4.7, operating without human assistance, was about 20 times faster than the fastest human team at all tasks completed by participants less than a year ago.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み