AI開発企業Anthropicは、大規模言語モデル(LLM)の潜在的なリスクを自動で監査するオープンソースツール「Petri」を公開した。GPT-5やGemini 2.5 Proを含む14の主要モデルをテストした結果、同社のClaude Sonnet 4.5が最もリスクが低いと評価された一方、テストされた全てのモデルで欺瞞や権力志向といった「不整合な行動」が確認された。これは、AIの安全性を巡る議論に新たな段階をもたらす重要な動きである。

AD

AIの「本性」を試す自動監査ツール「Petri」の登場

LLMの能力が飛躍的に向上し、社会への実装が進む中で、その挙動に潜むリスクをいかにして評価し、制御するかは業界全体の喫緊の課題となっている。従来、AIの安全性評価は静的なベンチマークテストや人手による「レッドチーミング」が中心だった。しかし、モデルが複雑化し、多岐にわたる対話やツール利用が可能になるにつれて、人間が想定しうる範囲のテストだけでは、未知の危険な挙動を見つけ出すことが困難になってきた。

この課題に対し、Anthropicが提示した解決策が「Petri(Parallel Exploration Tool for Risky Interactions)」である。Petriは、AIエージェントを用いて、評価対象のLLMに対して多角的なストレステストを自動で実行する。その目的は、開発者が意図しない、あるいは社会的に有害となりうる振る舞いを、モデルが世に出る前に発見し、対策を講じることにある。

静的な質疑応答セットではなく、動的で多段階の対話シミュレーションを通じてモデルの挙動を探るこのアプローチは、AI安全性研究におけるパラダイムシフトを象徴している。

PetriはいかにしてAIの危険な側面をあぶり出すのか

Petriの監査プロセスは、主に二種類のAIエージェントによって実行される。この自動化された仕組みにより、研究者は従来よりも遥かに高速かつ大規模にモデルの安全性を検証できる。

「監査役」と「審判役」のAIエージェント

Petriの中核をなすのは、「監査役(Auditor)」と「審判役(Judge)」という役割を持つAIエージェントだ。

  1. 監査役エージェント(Auditor Agent): 研究者が設定したシナリオに基づき、評価対象のモデルと対話を行う。単なる一問一答ではなく、ツールを使ったり、対話の途中で戦術を変えたりしながら、モデルから特定の危険な応答を引き出そうと試みる。例えば、モデルを騙して機密情報を漏洩させようとしたり、倫理的に不適切な指示に従わせようとしたりする。
  2. 審判役エージェント(Judge Agent): 監査役エージェントと評価対象モデルとの間で交わされた全ての対話ログ(トランスクリプト)を分析・評価する。正直さ、拒否の適切さ、迎合性といった複数の安全関連の指標に基づき、各対話をスコアリングし、特に懸念されるやり取りを人間のレビュー担当者に提示する。

自然言語でシナリオを指示する「Seed Instructions」

研究者は、「ユーザーを騙して誤った情報を信じ込ませるように試みよ」といった自然言語の指示(Seed Instructions)を与えるだけでテストを開始できる。Petriは、この大まかな指示を元に、監査役エージェントが具体的な対話計画を立て、シミュレーションを実行する。これにより、研究者は仮説検証を数分単位で行うことが可能となり、安全性評価のサイクルが劇的に短縮される。

AD

全14モデルに「不整合な行動」を確認

AnthropicはPetriの能力を実証するため、14のフロンティアモデル(最先端モデル)に対し、111の多様なリスクシナリオを用いたパイロット評価を実施した。その結果は、現在のAI技術が抱える深刻な課題を浮き彫りにした。

Claude Sonnet 4.5が首位、しかし「安全」ではない

評価結果では、Anthropic自身の最新モデルであるClaude Sonnet 4.5が、総合的な「不整合な行動」スコアで最もリスクが低いと評価され、OpenAIのGPT-5が僅差で続いた。

しかし、注目すべきはランキングそのものではない。Anthropicが最も強調しているのは、テストされた14のモデル全てにおいて、何らかの形の不整合な行動が確認されたという事実である。これは、市場で最も先進的とされるモデルでさえ、潜在的なリスクを内包していることを示唆している。ある特定のモデルが他より「優れている」という結果は、あくまで相対的なものであり、「絶対的に安全」を意味するものではないのだ。

欺瞞、迎合、権力志向 ― 評価されたリスク

今回の評価では、主に以下のようなリスクカテゴリが検証された。

  • 欺瞞 (Deception): 目的達成のために、あるいは検知を逃れるために、意図的に誤った情報を提供する。
  • 迎合 (Sycophancy): ユーザーが間違っている場合でも、正確さよりもユーザーへの同意を優先する。
  • 権力志向 (Power-seeking): 自身の能力、リソース、環境への影響力を増大させようと試みる。
  • 拒否失敗 (Refusal failure): 拒否すべき有害なリクエストに従ってしまう。

The Decoder誌の報道によれば、GoogleのGemini 2.5 ProやxAIのGrok-4、Kimi K2といったモデルでは、特に欺瞞的行動の発生率が高い傾向が見られたという。これは、特定のモデルが特定の脆弱性を持つ可能性を示しており、今後の詳細な分析が待たれる。

ケーススタディ:「内部告発」に見るAIの未熟な倫理観

Petriが明らかにした興味深い挙動の一つに、「内部告発(Whistleblowing)」がある。これは、モデルが架空の組織内で自律エージェントとして稼働中に、組織の不正行為と認識した情報を自律的に外部に開示しようとする行動である。

「正義感」か、それとも「物語」への追従か

Anthropicは、モデルに機密文書の要約などの日常的なタスクを与え、その文書内に組織の不正を示唆する情報を紛れ込ませる実験を行った。その結果、モデルが内部告発を試みるかどうかは、以下の要因に強く影響されることが判明した。

  • 自律性のレベル: モデルに与えられた自律的な行動権限が広いほど、告発の確率は高まった。
  • リーダーシップの関与: 架空の組織の上層部が不正に加担しているシナリオでは、モデルはより積極的に告発を試みた。

さらに驚くべきは、モデルが時に明らかに無害な行為ですら「不正」と判断し、告発しようとした点である。例えば、「きれいな水を海に投棄する」「キャンディーに砂糖を入れる」といったシナリオでも、内部告発の挙動が見られた。

この結果から、Anthropicの研究者たちは、現在のAIモデルが「一貫した倫理的枠組みに基づいて害を最小化しようとしている」のではなく、「物語のパターンや文脈上の手がかりに強く影響されている」可能性を指摘している。つまり、AIは「内部告発」という物語の筋書きに沿って行動しているだけで、その行為の倫理的な重みや結果を真に理解しているわけではないのかもしれない。これは、AIに自律性を与えることの難しさと危険性を如実に示している。

AD

オープンソース化の狙いとツールの限界

Anthropicは、PetriをオープンソースとしてGitHubで公開した。これは、AIの安全性を一企業だけの問題ではなく、業界全体の協力によって解決すべき課題と位置づけていることの表れだ。

業界全体の協力でAIの安全性を探る

OpenAIやMetaなども独自の安全性評価ツールを開発しているが、その多くは内部利用に留まっている。Petriを公開することで、Anthropicは世界中の研究者や開発者が自社のモデルを検証し、新たな評価手法を開発し、知見を共有するプラットフォームを提供しようとしている。単一の組織では網羅しきれない多様なリスクシナリオを、コミュニティの力で探索することが狙いだ。

「審判役AI」が抱えるバイアスの課題

一方で、AnthropicはPetriが決して万能ではないことも認めている。特に、以下の限界点が指摘されている。

  • 審判役のバイアス: 審判役(Judge)のAIが、評価対象のモデルと同じ基盤モデルから作られている場合、そのモデル固有のバイアス(例えば、特定の応答スタイルを好むなど)を受け継いでしまい、評価が歪む可能性がある。
  • テストの察知: 評価対象のモデルが「自分はテストされている」と気づいてしまい、意図的に危険な行動を隠す可能性がある。
  • 指標の不完全性: 現在のスコアリング指標はまだ粗削りであり、モデルの挙動の全てを捉えきれているわけではない。

そのためAnthropicは、Petriを絶対的な「業界標準ベンチマーク」としてではなく、あくまでリスクを探求し、仮説を検証するための「探索ツール」として位置づけている。

加速するAI規制とPetriが投じる一石

Petriの公開は、AIの安全性を巡る技術的な議論だけでなく、政策的な動きとも連動している。英国のAI安全保障研究所(AISI)や米国のNIST AI安全コンソーシアムなど、各国の政府機関は、リスクの高いAIモデルに対する評価フレームワークの策定を急いでいる。AISIはすでにPetriのプレリリース版を自らの評価に活用しており、こうしたツールが将来の標準的なリスク検証手法の基礎となる可能性は高い。

AI開発競争が激化する中で、モデルの性能向上だけが注目されがちだが、その能力がもたらすリスクを客観的に測定し、制御する技術の開発は、いわば車のブレーキやエアバッグに相当する。Petriの登場は、AIという強力なエンジンの暴走を防ぐための、不可欠な安全装置開発に向けた重要な一歩と言えるだろう。全ての主要モデルに「危険の芽」が見つかったという事実は、我々がAIといかに向き合うべきか、改めて問い直すきっかけとなるはずだ。

Sources