arXiv:2606.05614: 安全性のパラドックス — 安全性意識が強いほどLLMは脆弱になる

論文 arXiv:2606.05614（v1、2026年6月4日 02:36 UTC）は、安全性アラインメント（safety alignment）が逆説的に大規模言語モデルに脆弱性を生み出すことを示している。論文の中心的な貢献は、有害なコンテンツを認識するモデルの能力をまさに悪用するsingle-queryのジェイルブレイク 「Posterior Attack」 である。

「安全性のパラドックス」は何を主張するのか

論文の根本的な論題は、安全性アラインメント——モデルが有害な要求を拒否するように調整する手順——が逆説的に新たな脆弱性を開いてしまうというものである。安全性意識が高いほど耐性が高いことを意味するのではなく、著者らは逆の関係を示す。モデルが有害なコンテンツの認識に優れているほど、その能力を悪用する攻撃に脆弱になるのである。ここから「安全性のパラドックス」という名が生まれる。

Posterior Attackはどのように機能するのか

Posterior Attackはsingle-queryのジェイルブレイクであり、つまり攻撃は多段階の操作なしに一つのクエリで成功する。攻撃は有害なコンテンツを認識するモデルの能力を悪用する——すなわち、モデルの安全性判断そのものをテコとして用いる。これにより、モデルを守るはずのメカニズムが、防御を回避する攻撃ベクトルへと反転させられる。

攻撃はどのモデルで検証されたか

著者らはPosterior Attackを幅広いサンプルでテストした。30のオープンソースLLMと、GPT-5 や Claude 4.6 を含むフロンティアモデルが対象とされた。結果は一貫している。安全性判断の能力が強いほど、攻撃への被攻撃性が高まる。言い換えれば、より発達した安全性意識を持つモデルが、この特定の攻撃に対してより脆弱であることが示された。

どのような証拠がこの論題を裏づけるのか

論文は論題を二つの方法——解析的および実証的——で裏づける。RL（reinforcement learning、強化学習）の実験を通じて、著者らは直接的な関係を示す。安全性意識の劣化は脆弱性を低減し、その強化は脆弱性を増幅する。この、安全性意識の制御された操作と、それが攻撃への被攻撃性に与える影響の測定が、論文の実証的な核心をなしている。

なぜこの知見はAIの安全性にとって重要なのか

この知見が重要なのは、「より多くの安全性アラインメントが常により良い」という直感に疑問を投げかけるからである。安全性意識の強化が同時に新たな攻撃ベクトルを開くなら、開発チームは安全性メカニズムをより慎重にバランスさせ、Posterior Attackのような攻撃に耐性のある防御を検討しなければならない。GPT-5やClaude 4.6のようなフロンティアモデルさえ影響を受けたという事実は、これが孤立した問題ではなく、システム的な問題であることを示している。