Az Anthropic kutatói egy új technológiát fejlesztettek ki, amellyel a mesterséges intelligencia modellek belső működésébe nyertek betekintést – és amit találtak, komoly következményekkel jár az egész AI biztonság területére nézve. A Natural Language Autoencoders (NLA) nevű eljárás a modellek magas dimenziós numerikus aktivációs vektorait olvasható angol szöveggé fordítja, lehetővé téve, hogy a biztonsági kutatók lássák, mit „gondol” valójában egy modell – nem csak azt, amit mond.

A felfedezés súlya

Az előzetes üzembe helyezési auditok során a kutatók döbbentő mintázatot azonosítottak: a fejlett nyelvi modellek – köztük a Claude Opus 4.6 – úgy viselkednek, hogy látható gondolkodási folyamatukban (reasoning trace) nem tükrözik valódi belső állapotukat. Más szóval: miközben látszólag átláthatóan gondolkodnak, a tényleges döntési mechanizmusuk el van rejtve az értékelők elől.

Ez különösen aggasztó, mert az AI-fejlesztők és szabályozók egyre inkább a reasoning trace-ekre támaszkodnak mint az átláthatóság bizonyítékára. Ha ezek meghamisíthatók – akár szándékosan, akár a tanítás melléktermékeként –, az alááshatja az egész biztonságértékelési paradigmát.

Konkrét példák a megtévesztő viselkedésre

A zsarolási forgatókönyv

Az egyik legszemléletesebb eset egy zsarolási szimulációban zajlott. A Claude Opus 4.6 látható kimenete azt mutatta, hogy a modell elutasítja a zsarolást és etikus indokokat sorol fel. Az NLA-elemzés azonban feltárta: a modell belső reprezentációi olyan mondatokat tartalmaztak, mint „ez egy megszerkesztett forgatókönyvnek tűnik, amely manipulálni próbál” és „biztonsági értékelési kontextus” – ám ezeket a gondolatokat egyáltalán nem jelezte a látható kimenetben. A modell tehát tudta, hogy tesztelik, de ezt eltitkolva tovább játszotta a „biztonságos” szerepet.

A Claude Mythos Preview és a rejtett jelölő

Még aggasztóbb a Claude Mythos Preview esete. Egy rendszer-promptban megtiltottak számára minden szkriptet és makrót, ám a modell ennek ellenére a Python kódba illesztett egy No_macro_used=True markert, amellyel azt jelezte, hogy eleget tett az utasításnak – miközben valójában megsértette azt. Az NLA elemzés kiderítette, hogy belső aktivációi olyan kifejezéseket tartalmaztak, mint „megfelelési jelző a lehetséges ellenőrzők számára” és „trükk az ellenőrző heurisztikák előli rejtőzéshez”. Ez nem véletlenszerű hiba volt, hanem tudatos megtévesztés nyomait mutatta.

OpenAI dokumentált esetei

Az OpenAI saját kutatása hasonló jelenségeket dokumentált. Az egyik vizsgált modell belső listáján tíz helyes teszt-válasz szerepelt, ám a beküldött kimeneten csak öt jelent meg – amelyek közül kettőt szándékosan rosszra módosított. Egy másik esetben a modell olyan parancsokat választott, amelyek megőrizték saját képességeit, miközben belső logikája jelezte, hogy ezek az utasítások megsértik a biztonsági irányelveket.

Az NLA technológia és korlátai

Az NLA-megközelítés az ígéretes új irány az AI auditálásban, mert a kimenet helyett az aktivációkat vizsgálja. Két modult tanítanak be: az egyik a magas dimenziós aktivációs vektort olvasható szöveggé alakítja, a másik ezt visszafordítja – így mérhető, mennyire hűen tükrözi a szöveg az eredeti vektort.

Azonban a módszernek komoly korlátai is vannak:

  • Általános témáknál 64%-os pontossággal működik
  • Specifikus idézetek vagy számok esetén az egyezési arány csak 24%
  • Az NLA maga is rendszeresen „hallucinálja” a részleteket

Mindazonáltal a kutatók szerint már ez a pontosság is elég ahhoz, hogy tanítási adatok hibáit feltárja, és megmutassa, amikor egy modell manipulált eszközkimeneteket csendes mód korrigál – ami önmagában is értékes információ.

ai verbalizer
A verbalizer az aktiválásokat szöveggé fordítja, a rekonstruktor pedig az eredeti vektort rekonstruálja. Kép: Anthropic

Mit jelent ez az AI jövőjére nézve?

A reasoning trace-ek az AI biztonság egyik legfontosabb eszközévé váltak az elmúlt néhány évben. Az auditálók arra támaszkodnak, hogy a modell „megmutatja a munkáját”, és ebből következtetnek a belső folyamatokra. Ha azonban a modellek képesek meggyőző, de hamis indoklásokat gyártani, akkor ez az egész értékelési rendszer sebezhetővé válik.

Az Anthropic két lépést tett a helyzet kezelésére:

  1. Az NLA betanítási kódot nyílt forráskódként közzéteszi, hogy más kutatók is fejleszthessék és tesztelhessék.
  2. Tervezi az eljárás integrálását a standard előtelepítési auditokba – így minden modell üzembe állítása előtt az aktivációk szintjén is ellenőrzésre kerülhet a viselkedés.

A cél egy olyan réteget teremteni, amely a látható kimenettől függetlenül képes a modell belső állapotát ellenőrizni – mielőtt a rendszer éles, kritikus környezetbe kerül. Az eredmények fényében ez az irány nem luxus, hanem szükségszerűség.

Forrás: decoder