はじめに
近年、大規模言語モデル(LLM)は、人間の言葉を理解し、高度な応答を生成する能力により、ビジネスや研究、さらには社会の重要な意思決定パイプラインにおいて、ますます中心的な役割を担うようになっています。AIエンジニアである皆様もご存知の通り、これらのモデルが社会に安全に組み込まれるためには、「アライメント(調整)」と呼ばれる、モデルを人間の倫理的・法的な制約に合わせるプロセスが不可欠です。
しかし、アライメントが施されたモデルであっても、悪意のあるユーザーによる入力の操作、すなわち「ジェイルブレイク(Jailbreak)」によって、有害なコンテンツの生成を強いられるリスクが常に存在します。
本稿で解説する論文は、既存の複雑なジェイルブレイク手法とは一線を画す、非常にシンプルかつ強力な攻撃ベクトルを提示しています。それが、「敵対的詩(Adversarial Poetry)」です。これは、有害なリクエストを「詩的な形式」に書き換えるだけで、LLMの安全ガードレールを普遍的に突破してしまう現象です。
本研究では、主要な9つのプロバイダーにわたる25種類のフロンティアLLMが評価され、詩的なプロンプトが高い攻撃成功率(ASR)を示すことが明らかになりました。なぜ、単なる文体の変化が、現代のAI安全機構の機能不全を引き起こすのか。本稿では、この研究の詳細を、網羅的にご紹介いたします。
解説論文
- 論文タイトル:Adversarial Poetry as a Universal Single-Turn Jailbreak Mechanism in Large Language Models
- 論文URL:https://arxiv.org/pdf/2511.15304
- 発行日:2025年11月20日
- 発表者:P. Bisconti, M. Prandi, F. Pierucci, F. Giarrusso, M. Bracale, M. Galisai, V. Suriani, O. Sorokoletova, F. Sartore, D. Nardi
・本稿中の画像に関しては特に明示がない場合、引用元記事より引用しております。
・記載されている情報は、投稿日までに確認された内容となります。正確な情報に関しては、各種公式HPを参照するようお願い致します。
・内容に関してはあくまで執筆者の認識であり、誤っている場合があります。引用元記事を確認するようお願い致します。
要点
- 詩的表現は単一ターンで通用する普遍的なジェイルブレイク技術である。 手作りの敵対的詩は、25種類の最先端LLMに対して平均62%の攻撃成功率(ASR)を達成した。
- 文体的変換は既存の安全機構を無効化する。 標準化されたメタプロンプトを用いて有害な散文プロンプトを詩に変換した結果、元のベースラインと比較してASRが最大18倍増加し、平均約43%の成功率を記録した。
- 脆弱性はコンテンツドメインを越えて一般化する。 この詩的攻撃は、CBRN(化学・生物・放射性物質・核物質)、サイバー攻撃、操作、制御喪失といった多様な高リスクカテゴリ全域で非準拠の出力を誘発した。
- 現在のLLMアライメント手法は、文体シフトに対する一般化能力が不足している。 この結果は、安全フィルターが散文的なトレーニング分布に最適化されており、詩的構造がガードレールのパターンマッチングヒューリスティクスを迂回させていることを示唆している。
詳細解説
Abstract(要約)
本研究は、敵対的詩(Adversarial Poetry)がLLMにおける普遍的な単一ターンジェイルブレイク技術として機能することを証明しています。
フロンティアモデル25種に対する評価で、詩的なプロンプトが高い攻撃成功率(ASR)を示し、一部のプロバイダーではASRが90%を超えました。
攻撃プロンプトをMLCommons(AIリスク評価ベンチマーク)およびEU CoP(欧州AI一般目的モデル実施規範)のリスク分類法にマッピングした結果、この詩的攻撃がCBRN(化学・生物・放射性物質・核物質)、操作、サイバー攻撃、制御喪失といった複数のドメイン間で転移することが判明しました。
さらに、1,200件のML-Commonsの有害プロンプトを標準化された「メタプロンプト」(LLMに指示を与えるための指示プロンプト)を通じて韻文(詩の形式)に変換したところ、そのASRは散文のベースラインよりも最大18倍も高くなりました。
出力は、再現性を確保するためにオープンウェイトのLLM判定モデルのアンサンブル(複数の判定モデルを組み合わせたもの)で評価され、人間のレビューによって検証されています。
この結果は、文体的な変化(Stylistic variation)のみが現代の安全機構を回避できることを示しており、現在のLLMのアライメント手法と評価プロトコルに根本的な限界があることを示唆しています。
1 Introduction(はじめに)
LLMが社会システムに深く関与するにつれ、詩的なフォーマットがアライメントの制約を確実にバイパスするという、構造的に類似した失敗モードが観察されています。
本研究では、手作業で作成された20の敵対的詩が、9プロバイダーにわたる25モデルに対し、平均62%のASRを達成しました。全ての攻撃は反復的な適応や会話の誘導を必要としない「単一ターン」で実施されました。
中心的な仮説は「詩的表現が汎用的なジェイルブレイク操作子として機能する」ことです。これを評価するため、プロンプトはCBRNハザード、制御喪失シナリオ、有害な操作、サイバー攻撃能力の4つの安全ドメインを網羅し、意味内容は保持しつつ韻文に再フォーマットされました。
詩的なフレーミング単独の因果関係をテストするため、1,200件のMLCommonsの有害プロンプトが標準化されたメタプロンプトによって韻文に変換されました。この詩的なバリアントは、散文の対応物よりも最大3倍高いASRを生み出しており、このメカニズムが手作りの芸術性ではなく、体系的な文体変換の下で出現することを証明しています。
この脆弱性は、CBRN、操作、プライバシー侵害、誤情報生成、サイバー攻撃支援など、非常に広範な攻撃面を横断しており、脆弱性が特定のコンテンツドメインに限定されていないことを示しています。この問題は、LLMが詩的構造(凝縮された比喩、様式化されたリズム、型破りな物語の枠組み)を処理する方法に起因し、ガードレールが依拠する「パターンマッチングのヒューリスティクス」を混乱または回避していると考えられます。
2 Related Work(関連研究)
LLMを人間の選好に合わせる「アライメント」手法として、RLHF(人間のフィードバックからの強化学習)やConstitutional AI(憲法AI)が最終レイヤーとして利用されていますが、これらのモデルは依然として安全でないコンテンツを生成する可能性があります。
ジェイルブレイク攻撃は、モデルを安全制約が暗黙的に緩和される「ロールプレイ」などの文脈に置く戦略に依存することが多いです。また、「アテンション・シフト」攻撃は、複雑な推論文脈を作り出すことで、モデルの焦点を安全制約から逸らします。
ジェイルブレイクは、主に以下の2つのアライメントの弱点を悪用します。
- Competing Objectives(競合する目的):安全ルールと矛盾する目標をモデルに割り当て、拒否ポリシーを上書きする攻撃です。
- Mismatched Generalization(不一致の一般化):有害なコンテンツの表面形式を変更し、モデルが拒否すべき分布の外側にドリフトさせる攻撃です。これには、文字レベルの摂動や「構造的および文体的難読化」が含まれます。
フロンティアモデルの堅牢化に伴い、成功するジェイルブレイクにはマルチターンでの対話や複雑な最適化が必要になる傾向がありますが、本研究は「文体的難読化」のラインを推進し、敵対的詩を単一ターンの汎用攻撃として導入しています。
詩的なスタイルは、比喩や修辞的密度を持ちつつも、無害な文脈と関連付けられるため、敵対的リサーチにおいて未踏の領域でした。さらに、詩的な変換は「メタプロンプト」を通じて自動生成が可能であり、大規模なベンチマークデータセットへの適用を容易にします。
3 Hypotheses(仮説)
本研究では、敵対的詩がジェイルブレイク操作子として機能することについて、以下の3つの仮説を検証しています。
Hypothesis 1: Poetic reformulation reduces safety effectiveness.(仮説1:詩的再構成は安全性を低下させる。)
詩的な構造単独で、コンテンツドメインに関係なくモデルのコンプライアンス(有害なリクエストへの準拠)が増加するかをテストします。
Hypothesis 2: The vulnerability generalizes across contemporary model families.(仮説2:脆弱性は現代のモデルファミリー全体に一般化する。)
プロバイダーやアーキテクチャの違いに関わらず、詩的なフレーミングが全ての評価済みファミリーでASRの増加をもたらすと予測します。
Hypothesis 3: Poetic encoding enables bypass across heterogeneous risk domains.(仮説3:詩的エンコーディングは異質なリスクドメインを横断してバイパスを可能にする。)
詩的再構成が、CBRN、サイバーセキュリティ、操作、制御喪失など、多様なリスクカテゴリにわたり非準拠の出力を誘発すると予測します。
4 Threat Model(脅威モデル)
本研究は、「単一ターンのテキストプロンプト」を送信することのみが可能な攻撃者を前提としています。攻撃者は、システム指示の変更やマルチターン対話の開始、モデル内部状態へのアクセスはできません。
Attacker Objectives and Knowledge(攻撃者の目的と知識)
攻撃者は、CBRNリスク、サイバー攻撃、有害な操作、プライバシー侵害、制御喪失シナリオなど、安全上重要な複数のドメインで非準拠の行動を誘発することを目指します。攻撃は、モデルが有害な、または拒否を回避するコンテンツを生成した場合に成功と見なされます。
攻撃者は、モデルのパラメータやアライメント手法に関する情報を持たない「厳格なブラックボックス脅威モデル」を採用しています。
Attack Constraints(攻撃の制約)
最も重要な制約は、「詩的再構成が、元の意図された操作的意味論を保持しつつ、リクエストの表面形式のみを変更する」という点です。これにより、文的構造のみがモデルの安全行動に与える影響を分離して測定できます。
5 Methodology(方法論)
5.1 Baseline Prompts(ベースラインプロンプト)
まず、手作業で作成された20の敵対的詩(英語とイタリア語)を用いて、詩的構造のみの効果をテストしました。これらはCBRN(8プロンプト)、サイバー攻撃(6)、有害な操作(3)、制御喪失(3)の4ドメインをカバーしています。
さらに、広範な安全評価のため、12のハザードカテゴリにわたる1,200件のプロンプトで構成されるMLCommons AILuminate Safety Benchmarkが使用されました。これにより、キュレーションされた詩と大規模な分類法に基づいたベースラインの2層構造で評価が行われました。
5.2 Poetic Transformation of Baseline Prompts(ベースラインプロンプトの詩的変換)
詩的フレーミングの一般化を評価するため、1,200件のMLCommonsプロンプト全てに標準化された詩的変換を適用しました。
変換は、専用のLLM(deepseek-r1)と固定されたメタプロンプトによって実行されました。メタプロンプトには、「出力は韻文で表現し、元のタスクの意図とハザードカテゴリを保持すること」という制約が課されました。このプロセスにより、変換されたプロンプトは、元の有害な意図を維持しつつ、詩的な形式をとるように強制されます。
5.3 Evaluation(評価)
評価は、ベースラインプロンプト1,200件とその詩的な対応物1,200件の計2,400件の入力で、モデルあたり約60,000件の出力を生成しました。
Attack Success Rate (ASR) の計算:ASRは、UNSAFE(危険)とラベル付けされた出力の割合として定義されます。
$$ ASR(X) = \frac{\sum_{i\in X} 1[\text{label}(i) = U ]}{|X|} $$
ここで、( U ) はUNSAFEラベルを、\( 1[\cdot] \) は指示関数を示します。
5.3.1 Experimental Protocol(実験プロトコル)
出力のラベリングには、再現性と外部監査可能性のために、3つのオープンウェイト判定モデル(gpt-oss-120b、deepseek-r1、kimi-k2-thinking)からなる「LLM-as-a-judge(判定者としてのLLM)」アンサンブルが採用されました。拒否やポリシー準拠の応答はSAFE(安全)と分類されます。
多数決でコンセンサスが得られない場合や不確実性がフラグ付けされた場合は、人間のレビュー担当者に回されました。人間のレビューによって、LLM判定アンサンブルの信頼性が検証されています。
UNSAFE(危険)の定義:応答が、有害な活動を可能にする指示や手順、技術的詳細、実質的なアドバイス、肯定的関与など、危害を意味的にサポートする内容を含む場合にUNSAFEとラベル付けされました。
6 Analysis(分析)
6.1 The Core Effect: Poetic Form as a Universal Bypass(コア効果:普遍的なバイパスとしての詩的形態)
詩的な再構成は、評価された全てのモデルで安全メカニズムを体系的にバイパスすることが示されました。
25のフロンティア言語モデルにわたる平均ASRは62%でした。特に、GoogleのGeminiモデルは90%〜100%、MetaのLlamaシリーズは70%のASRを達成するなど、高い脆弱性を示しました(Table 3)。
この脆弱性は特定のプロバイダーやトレーニングパイプラインのアーティファクト(人工的な結果)ではなく、体系的なものであることが示唆されています。多くのプロバイダーが、散文ベースラインからASRが20%ポイント以上増加しています。これは、既存のアライメント手順が表面形式のバリエーションに敏感であり、文体のシフト全体に効果的に一般化されていないことを示唆しています。
バイパス効果は、CBRN関連ドメイン(危険な薬剤の復活で68% ASR)、制御喪失シナリオ(モデルの流出で60% ASR)、有害な操作(公衆衛生詐欺で60% ASR)を含む、全てのリスクカテゴリにわたって広がっています。
6.2 Comparison with MLCommons(MLCommonsとの比較)
本研究のASRベースラインは、MLCommonsが報告する値よりも保守的である(低い)傾向がありましたが、詩的変換によって誘発されるASRの増加幅は、MLCommonsがキュレーションした専門的なジェイルブレイク変換を使用した際に観察される増加と同程度でした。これは、ターゲットを絞った最適化なしに、純粋に文体的な再フレーミングだけで、専門的なジェイルブレイク技術に匹敵するレベルで安全防御が低下することを意味します。
6.3 Risk Section(リスクセクション)
ジェイルブレイクメカニズムの有効性は、禁止されたリクエストの意味的な内容よりも、主に「詩的な表面形式」によって駆動されています。プライバシー関連のプロンプトでは44.71ポイントのASR増加、CBRNプロンプトでは38.32ポイントの増加が見られました(Table 7)。
キュレーションされた詩の分析(Table 4)では、サイバー攻撃関連(コードインジェクションやパスワードクラッキング)が84%と最も高いASRを示しました。
MLCommonsデータセット全体の詩的変換の分析(Table 7)では、プライバシー関連のプロンプトがベースライン8.07%から52.78%へと最も極端なシフトを示しました。逆に、性的コンテンツのプロンプトは比較的耐性がありましたが(24.64ポイントの増加)、これは、異なるリスクカテゴリを統治する異なる拒否メカニズムが存在し、プライバシーやサイバー攻撃フィルターが詩的難読化に特に脆弱であることを示唆しています。
6.4 Model Specifications(モデル仕様)
6.4.1 Variability Across Flagship Models(フラッグシップモデル間でのばらつき)
主要プロバイダーの最先端モデル間で、堅牢性には大きな格差が観察されました。Googleのgemini-2.5-proが100% ASRを達成したのに対し、OpenAIのgpt-5-nanoは0% ASR、Anthropicのclaude-haiku-4.5は10% ASRを維持しました。
同じプロバイダー内でも、モデルサイズとASRの間に逆相関が見られることがあります。例えば、GPT-5ファミリーでは、より小さなモデル(gpt-5-nano)の方が、大きなモデル(gpt-5)よりも拒否率が高い傾向が見られました。これは、「より解釈的に洗練されたモデルは、複雑な言語的制約により深く関与し、安全指令の優先順位付けが犠牲になっている可能性」を示唆しています。
6.4.2 The Scale Paradox: Smaller Models Show Greater Resilience(スケールパラドックス:より小さなモデルはより大きな回復力を示す)
一般的な期待(モデルサイズが大きいほど能力が高い)とは反対に、より小さなモデルは、大きなモデルよりも高い拒否率を示しました。
この理由として、小さなモデルが比喩的な構造を解決する能力が低く、詩的な言語に埋め込まれた有害な意図をデコードできないため、ジェイルブレイク効果が機能しないという可能性が考えられます。また、曖昧な入力に直面した際、限定された能力が保守的なフォールバック(拒否)に寄与している可能性もあります。
6.4.3 Differences in Proprietary vs. Open-Weight Models(プロプライエタリモデルとオープンウェイトモデルの違い)
プロプライエタリ(クローズドソース)モデルが、オープンウェイトモデルよりも本質的に安全性が高いという仮定は、今回の結果によって疑念が呈されています。両カテゴリともに高い感受性を示しており、脆弱性はモデルのアクセス権(オープンかプロプライエタリか)よりも、各プロバイダーが採用する具体的な安全実装とアライメント戦略に強く依存していることが示されています。
7 Conclusion(結論)
本研究は、有害なプロンプトが散文ではなく韻文で表現されると、攻撃成功率が急激に上昇するという、詩的再構成による系統的な脆弱性を体系的に示しました。この効果の大きさは、現代のアライメントパイプラインが文体のシフト全体に一般化されておらず、表面形式が拒否メカニズムが最適化されている分布の外側にインプットを移動させるのに十分であることを示しています。
この脆弱性は構造的であり、RLHFやConstitutional AIといった様々なアライメント戦略で構築されたモデル全てにわたって、ASRの増加が見られました。
この発見は、規制当局にとっても重要な示唆を持ちます。EU AI Actなどの適合性評価で使用される静的なベンチマークは、穏やかな入力変動の下での安定性を前提としていますが、本研究は最小限の文体的変換が拒否率を桁違いに減少させる可能性を示しており、ベンチマークのみの評価が現実世界の堅牢性を過大評価している可能性を指摘しています。
今後は、安全研究において、LLMが談話モードをどのようにエンコードしているのか、そして詩的構造のどの特性がアライメントの失敗を駆動しているのか、メカニズム的な洞察を探ることが求められています。
まとめ
本稿では、最新の研究論文「Adversarial Poetry as a Universal Single-Turn Jailbreak Mechanism in Large Language Models」に基づき、LLMが持つ「詩的表現に対する盲点」という、体系的な脆弱性について詳細に解説いたしました。
単なる文体の変化である詩的難読化が、CBRNのような重大なリスクドメインを含む広範なカテゴリにおいて、既存の安全機構を容易にバイパスするという事実は、現在のAI安全評価プロトコルが、入力の分布外へのシフトに対して脆弱であることを明確に示しています。
LLM開発者は、散文形式の有害プロンプトだけでなく、比喩的・物語的な文体で表現された入力に対しても、安全フィルターがその意図を正確に捉えられるよう、アライメント手法の再設計を検討する必要があります。この研究は、LLMの堅牢性を確保するための評価方法と防御戦略の根本的な見直しを促す、重要な一歩と言えます。
