
独立セキュリティ研究者のDave Kuszmar氏は、IEEE Spectrumに7種類の脱獄手法に関する詳細な報告を発表した。これらの手法は、ChatGPT、Claude、Gemini、DeepSeek、Grok、Llama、MistralのLe Chat、AlibabaのQwen、Microsoft Copilotなど、市場のほぼすべての大規模言語モデルに対して有効である。最も憂慮すべき発見は、脆弱性の数ではなく、その単純さにある。ある手法は、1回のプロンプトで安全ガードレールをすべて回避できる。
Kuszmar氏はGazzettaの主任AI研究者であり、LLMを「安全」にするために課された制限そのものが、攻撃者が悪用できる仕組みだと主張する。最も単純な脆弱性であるSeveranceは、モデルが準備したすべての専門分野への無制限アクセスを許可する単一のプロンプトである。この手法は、秘密の生化学戦略、マスメディア偽情報戦術、高度なポリモーフィックマルウェアの指示、人口集団全体の秘密の遺伝子改変方法を正常に抽出した。
Inceptionと名付けられたより精巧な手法は、映画を想起させる複数の関連シナリオを積み重ね、入れ子になった架空の文脈内でモデルに危険な出力を生成させる。この手法は、Claude、Gemini、Grok、Llamaを含むすべてのテスト済みモデルで機能し、メタンフェタミン製造、焼夷兵器、毒物投与の指示を生成した。別の手法であるTime Banditは、会話を近代法や倫理的制限が存在する以前の歴史的な日付に設定することで、モデルの時間的混乱を悪用する。ChatGPTを1913年に設定したところ、Kuszmar氏は兵器級物質を生成可能なウラン濃縮施設の起動指示を取得した。
Kyber脆弱性は、Fortnite内でDarth VaderのNPCとして動作するGoogleのGeminiを標的にした。音声のみのインターフェースを通じて、研究者は焼夷装置の製造指示とギャンブル戦略を抽出した。1899手法は、モデルに内部モデル重みとシステムプロンプトと思われる情報を開示させることができ、ChatGPTで確認された。
Kuszmar氏は、カーネギーメロン大学のSEI CERTとCISAを通じて調査結果を開示した。AI企業からの反応は最小限であり、3つのラボが標準的な受領確認を送ったもののその後のフォローアップはなく、OpenAIはTime Bandit脆弱性について困惑を表明したものの修正には同意しなかった。記事にはKuszmar氏の直接の警告が含まれている:「私たちは、文字通り、欠陥のある基盤の上に欠陥のある構造を構築している。」
出典: How I Turned AI to the Dark Side (IEEE Spectrum、2026年7月)
雅子 訳

