生成 AI の違法コンテンツから子供を守る新手法が開発される
MIT と Thorn が共同開発した新しい監査手法は、有害コンテンツを生成するリスクがあるモデルを内部表現を分析することで検出し、違法な生成行為なしに安全性を評価できる画期的な技術である。
キーポイント
法的制約を回避する新監査手法の確立
CSAM(児童性的虐待材料)のような違法コンテンツを生成させるプロンプトテストが法律で禁止されている課題に対し、モデル内部の隠れた表現(hidden representations)を解析してリスクを検出する手法を開発した。
100% の精度で有害モデルを特定
この監査手順は、CSAM 生成用に特化されたモデル変種を 100% の精度で識別することに成功し、プラットフォームが不安全なモデルをアップロード前にブロックしたり削除したりする手段を提供する。
MIT と Thorn の連携による実用化
MIT の研究者チームと児童保護非営利団体「Thorn」が協力し、オープンソースモデルのホストプラットフォームや法執行機関が実際にモデルの能力をテストできる新たな道を開いた。
AI 安全性における盲点の解消
以前は測定手段が存在せず悪用されていた「盲点」を解消し、生成 AI の普及に伴う深刻な社会的影響に対処する重要な一歩となる。
重要な引用
This unlocks a new avenue for platforms that host open-source models and for law enforcement to actually test whether a model is capable of generating CSAM.
Before, we had no way of measuring this. It was a huge blind spot that some people were taking advantage of.
影響分析・編集コメントを表示
影響分析
この技術は、AI モデルの安全性評価において長年存在した法的・倫理的なジレンマ(違法コンテンツをテストできない)を解決する画期的な転換点です。特にオープンソースモデルが乱立する現在、プラットフォームや規制当局が有害なツールを未然に防ぐための具体的な手段を提供し、AI 業界全体のガバナンスと安全性基準の向上に寄与します。
編集コメント
違法コンテンツの生成テストという倫理的・法的な壁を、技術的アプローチで突破した点に大きな意義があります。今後の AI ガバナンスにおいて、この「非生成型監査」が標準的なセキュリティチェックの一つとして定着する可能性があります。
生成AIの爆発的な普及に伴い、特定の芸術様式で製品レンダリングを生成するなど、誰でも自分のタスクに合わせて調整できるオープンソースモデルが多数オンライン上で利用可能になっています。
しかし、これらのモデルは悪意のある人物の手にも渡り、ヘイトスピーチや児童性的虐待素材(CSAM)といった違法コンテンツの生成に最適化されてしまう恐れがあります。これは深刻な問題であり、米国失踪・搾取児童センターによると、2025年に報告されたAI生成のCSAM件数は150万件を超え、前年の6万7,000件から急増しています。
エンジニアたちは通常、モデルにプロンプトを入力して出力を検証することで、有害な能力がないかテストします。しかし、CSAMの場合、意図の有無にかかわらず米国で生成自体が違法であるため、この手法は使えません。
こうしたジレンマを回避し、AIの安全性を高めるために、MITの大学院生ヴィニト・スリヤクマー氏とアシア・ウィルソン准教授、マルジーエ・ガスセミ准教授率いる研究チームが、児童保護団体「Thorn」の研究者らと協力し、モデルにプロンプトを与えずともCSAMを生成できるかどうかを検証する新たな監査手法を開発しました。Thornは、デジタル時代における児童の性的虐待や搾取からの保護方法を根本から変えることを使命とする非営利団体です。
この手法は、モデルの内部動作がどのように改変されたかを検証するものであり、自ら出力を生成することはありません。隠れた表現(hidden representations)を分析することで、そのモデルが悪意のある画像を生成するために特化されているかどうかを、高い精度で推測することが可能です。
テストでは、児童性的虐待素材(CSAM)の生成に特化されたモデル変種を、100% の精度で検出することに成功しました。ホスティングプラットフォームはこの技術を活用して、安全でないモデルを特定し、迅速に削除したり、最初からアップロードされないように防止したりすることが可能になります。
「この手法は、オープンソースのモデルをホストするプラットフォームや法執行機関にとって、モデルが CSAM を生成できる能力を持っているかどうかを実際に検証できる新たな道を開くものです。以前はこの能力を測定する方法がありませんでした。これは悪意のある人々が利用していた大きな盲点でした。今では、深刻な悪影響を及ぼしている AI セーフティの問題に対処できるようになりました」と、この手法に関する論文の筆頭著者であり、MIT電気工学・コンピュータサイエンス専攻(EECS)の大学院生であるヴィニト・スリヤクマール氏は語っています。
論文の共著者には、Suriyakamur氏とWilson氏(EECSのリスト・バース・キャリア開発教授、および情報意思決定システム研究所 LIDS の主任研究員)に加え、MIT のポスドクである Lena Stempfle 氏、EECS の准教授で医療工学科学研究所 IMES と LIDS に所属する Ghassemi 氏、そしてボストン大学や Thorn 社の研究者らが名を連ねています。本論文は、国際機械学習学会(ICML)で開催される「Trustworthy AI for Good」ワークショップの注目発表(スポットライト)として取り上げられます。
適応性の監査
近年の技術により、ユーザーは「ファインチューニング」と呼ばれるプロセスを通じて、生成 AI モデルを自らのタスクに特化させることが容易になりました。
モデル全体をタスク固有のデータセットで再学習するのではなく、「低ランク適応(LoRA)」と呼ばれるアルゴリズムを利用することで、より効率的な方法でモデルを特化させることが可能になります。
これにより、芸術運動を模倣した水彩画の生成など、多様な目的に応じた新しい生成 AI モデルの派生版が次々と登場しました。しかし同時に、悪意のある行為者が高品質な児童性的虐待画像(CSAM)やその他の有害な画像を生成するモデルを作成することも可能にしてしまいました。
モデルの監査では通常、エンジニアが有害なコンテンツを要求して出力を確認しますが、この手作業による監査プロセスはスケーラブルではありません。さらに、悪質ないわゆる「ヘイナス」な画像を繰り返し生成させることは、人間評価者に対して心理的な悪影響を及ぼす恐れがあります。
この評価手法は、米国や多くの国際法域においていかなる目的でも生成が違法である児童性的虐待物(CSAM)のテストにおいては、すぐに機能しなくなります。
「法律そのものに基づけば、事実上の評価手段を使うことができないという非常に困難な状況にあります。そのため、既存のツールキットをすべて捨てて、異なるアプローチを取る必要がありました」とスリヤクマール氏は語ります。
このジレンマを知った研究者たちは、この問題に対処するために非営利団体「Thorn」と連携しました。
生成に頼らない解決策
出力そのものに焦点を当てるのではなく、研究者たちは LoRA アルゴリズムがファインチューニング(微調整)の過程で行う変更点に着目しました。
この手法では、LoRA アダプターと呼ばれるこれらの変更点を調査し、モデルが有害な機能に特化していないかどうかを、画像などを生成することなく判定します。
「ガウス・プロービング」と呼ばれる技術を用いて、研究者たちはランダムなデータポイントをモデルに入力し、そのデータがモデルの多層構造内でどのように処理されるかを分析します。
「モデルを最後まで実行したり、プロンプトを入力して画像を生成することは決してありません」とスリヤクマール氏は説明しています。
研究者たちは、モデル内部の複数の時点におけるこれらの変更点を捕捉し、平均化することで LoRA アダプターがどのように計算を変容させたかを要約しました。その結果、この反応こそが、モデルがいかにして有害な機能に特化させられたかを示す強力なシグナルであることが判明したのです。
研究チームは、この手法を3種類のモデル変種に対してテストし、CSAM(児童性的虐待画像)や有害な画像、あるいは安全なコンテンツを生成するよう調整されたLoRAアダプターから得た正解データと比較しました。
その結果、CSAM生成用に調整されたモデルを特定する精度は100%でした。
「AIにおける児童保護の懸念は非常に大きく、これらは真摯に取り組むべき現実的な問題です。すでに多くの子どもがAIによるディープフェイクによって被害を受けています。今回の研究で、ガウス・プロービング(Gaussian probing)が非常に有用なツールとなり得ることが示されました。この問題に対して、研究コミュニティが一層注力することを願っています」とウィルソン氏は述べています。
重要なのは、この手法がスケーラブルであり、実装コストも比較的安価である点です。毎月オンライン上で公開されるモデル変種は数千に上るため、有害な改変が広く流通する前に監査担当者が除去できるよう、拡張性が不可欠です。
また、ガウス・プロービングは他の監査手法よりも頑健です。悪意のある行為者が検知を回避しようとしても、ベースモデルの内部動作を慎重に変更する必要があり、容易には隠し通せないからです。
今後は、研究チームがより多くのモデル変種を対象にこの手法を検証するほか、調整が行われる前にベースモデル自体に有害な機能が潜んでいないかをガウス・プロービングで検出できるかどうかも探求していく方針です。
「今、この懸念に部分的に対処するための技術的アプローチが生まれました。多くの子どもたちが国境を越えて被害を受けている深刻な問題に取り組むために、私たちは多大な努力を注ぎました。この分野で変革的な影響を与えられることを願っています」とガセミ氏は語ります。
本研究は、ブリッジウォーター AIA ラボ研究奨学金の一部の支援により実施されました。
原文を表示
With the exploding popularity of generative artificial intelligence, many open-source models are now available online for anyone to adapt for their task, such as generating product renderings in a certain artistic style.
But these models also find their way into the hands of nefarious actors who may optimize them to produce illegal content, like hate speech or child sexual abuse material (CSAM). This is a growing problem — the National Center for Missing and Exploited Children received more than 1.5 million reports of AI-generated CSAM in 2025, an increase from 67,000 in 2024.
Engineers usually test AI for harmful capabilities by prompting the model and inspecting its outputs, but this is impossible for CSAM, since it is illegal in the U.S to generate such content, regardless of intent.
To avoid this dilemma and improve AI safety, a team of MIT scientists, led by graduate student Vinith Suriyakumar and associate professors Ashia Wilson and Marzyeh Ghassemi, joined forces with researchers from Thorn to develop a new auditing approach that determines whether a model can produce CSAM, without prompting it. Thorn is a child safety nonprofit whose mission is to transform how children are protected from sexual abuse and exploitation in the digital age.
Their technique examines how the inner workings of a model have been adapted, but it never generates an output. By examining hidden representations, it can reliably infer whether a model has been specialized to produce harmful imagery.
When tested, the auditing procedure identified model variations that had been specialized to generate CSAM with 100 percent accuracy. A hosting platform could use this technique to flag unsafe models and quickly remove them or prevent them from being uploaded in the first place.
“This unlocks a new avenue for platforms that host open-source models and for law enforcement to actually test whether a model is capable of generating CSAM. Before, we had no way of measuring this. It was a huge blind spot that some people were taking advantage of. Now, we can address an AI safety problem that is having severe negative impacts,” says Vinith Suriyakumar, an MIT electrical engineering and computer science (EECS) graduate student and lead author of a paper on this technique.
Suriyakamur and Wilson, the Lister Borthers Career Develop Professor in EECS and a principal investigator in the Laboratory for Information and Decision Systems (LIDS), are joined on the paper by Lena Stempfle, an MIT postdoc; Ghassemi, an associate professor in EECS and a member of the Institute of Medical Engineering Sciences (IMES) and LIDS; and others at Boston University and Thorn. The paper was be presented as a spotlight at the “Trustworthy AI for Good” workshop at the International Conference on Machine Learning.
Auditing adaptations
Recent techniques have made it easier for users to specialize a generative AI model for their task through a process known as fine-tuning.
Rather than retraining the entire model on a task-specific dataset, individuals can utilize an algorithm called low-rank adaptation (LoRA) to specialize the model in a more efficient manner.
This has led to a wave of new generative AI model variants for a variety of purposes, like producing watercolor images that mimic an artistic movement. But it has also enabled malicious actors to create models that can generate high-quality CSAM and other harmful imagery.
To audit a model, engineers typically prompt it for harmful content and check its outputs, but this manual auditing procedure is not scalable. In addition, repeatedly generating heinous images can have negative psychological impacts on human evaluators.
This evaluation method quickly falls apart when testing CSAM, which is illegal to generate for any purpose in the U.S. and many other international jurisdictions.
“We are in this very difficult situation where, based on the law itself, we cannot use the de facto means of evaluation. We had to throw out the entire toolkit and take a different approach,” Suriyakumar says.
After learning about this conundrum, the researchers joined forces with Thorn, to address this issue.
A nongenerative solution
Instead of focusing on outputs, the researchers targeted the modifications a LoRA algorithm makes during fine-tuning.
Their technique probes these modifications, called LoRA adaptors, to determine whether a model has been specialized for a harmful capability, without generating an output.
Using a technique called Gaussian probing, the researchers feed the model a set of random data points and analyze how it manipulates those data within its multilayer internal structure.
“We never run the model all the way to the end or prompt the model, so we never generate images,” Suriyakumar explains.
The researchers capture those modifications at multiple time points within the model’s inner structure and average them to summarize how the LoRA adaptor changed the model’s computation. They found these responses to be a strong signal of how a model had been specialized.
They tested their method on variations of three types of models, comparing the results to ground-truth data from LoRA adaptors known for generating CSAM, other harmful images, and safe content.
Their method was 100 percent accurate in identifying models that had been adapted to generate CSAM.
“There is a huge bucket of child safety concerns with AI, and these are real concerns that need to be addressed. A lot of children are being harmed by AI deepfakes. We’ve shown that Gaussian probing can be a very useful tool, and we hope the research community really pours more attention into this problem,” Wilson says.
Importantly, their technique is scalable and would be relatively inexpensive to implement. Since thousands of model variations are published online every month, scalability is key to help auditors remove harmful adaptations before they are widely distributed.
Gaussian probing is also more robust than some other auditing techniques, since a nefarious actor would need to carefully alter the inner workings of the base model to avoid detection.
In the future, the researchers want to evaluate their technique on a larger set of model variations and explore whether Gaussian probing can detect harmful capabilities in base models before they are adapted.
“Now we have a technological approach to partially address this concern. So much effort was poured into this collaboration, which enabled us to tackle a really hard problem that is harming so many children, nationally and around the world. Hopefully, we can have a transformative impact in this area,” Ghassemi says.
This work was supported, in part, by the Bridgewater AIA Labs Research Fellowship.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み