arXiv:2606.07963：共有された潜在構造が LLM のバックドアの統一的検出を可能にする

arXiv は 2026 年 6 月 6 日、大規模言語モデルに対するさまざまなバックドア攻撃に共通する潜在的機構を明らかにする論文（識別子 arXiv:2606.07963、バージョン v1）を公開した。この発見により、攻撃の種類ごとに別個の防御を用意するのではなく、統一的な検出アプローチが可能になる。

バックドアの共有された潜在構造とは何か？

バックドアは特定の条件下でモデル内で作動する隠れた悪意ある挙動である。これまで各種類の攻撃は個別に見られてきたが、この論文はさまざまなバックドアがモデル内部に共通の潜在的（隠れた）構造を共有することを示している。

つまり攻撃が表面上どれほど異なって見えても、モデルの内部表現には似た痕跡を残す。まさにその共通の痕跡が、統一的な検出の可能性を開く。

スパースオートエンコーダはどのように攻撃を発見するのか？

構造を発見するために、著者らはスパースオートエンコーダ（SAE）——入力表現を疎で解釈可能な特徴へ分解するネットワーク——を用いる。これらの SAE は複数の攻撃タイプで一貫した特徴の活性化を検出する。

対象とする攻撃にはジェイルブレイク、拒否の操作（refusal manipulation）、パスワードロック、バイアスの誘導、感情の誤分類、国を条件とする有害な助言が含まれる。多様性にもかかわらず、同じ特徴がバックドアの存在を示す共通の指標として現れる。

これらの特徴はどのモデルにわたって汎化するのか？

発見された特徴は単一のモデルに縛られない。それらは Qwen3、Gemma 3、Llama 3.1 にわたって、4B から 32B パラメータの範囲で汎化する。これは、このパターンがさまざまなモデルファミリーとサイズにわたって頑健であることを示している。

汎化はさまざまな攻撃機構にわたっても成り立つ——ファインチューニングと weight-editing（重みの直接編集）の両方である。これにより、共有された構造がバックドアを仕込む単一の方法による産物ではないことが裏付けられる。

因果性はどのように証明されたのか？

特徴が実際にバックドア挙動を引き起こすことを示すために、著者らは双方向の activation steering（活性化を両方向に誘導すること）を用いる。特徴を抑制すると攻撃成功率（attack success rate）が下がり、同じ特徴を増幅すると目標の挙動を誘発する。

この双方向の実験は因果性を単なる相関から区別する。特徴の変化がモデルの挙動を直接変えるため、これが偶然の関連ではなく真の原因であることは明らかである。

これらの分類器はどれほど有効なのか？

発見された特徴に基づいて、著者らは軽量な SAE 特徴分類器を構築する。それらは未見のバックドアに対してゼロショットの汎化を達成する。つまり明示的に訓練されていない攻撃を認識する。

これらの分類器は residual-stream や weight-diffing（重みの比較）に基づくベースラインの手法を上回る。これにより論文は、あらかじめ知られた攻撃だけでなく、広範なバックドア攻撃から守るための実用的で移転可能なツールを提供する。