JULI: Jailbreak Large Language Models by Self-Introspection

本論文は、モデルの重みや生成プロセスへのアクセスを必要とせず、API 経由で利用可能なブラックボックス環境下でも、予測されたトークンの対数確率（トップ 5）のみを操作する軽量プラグイン「BiasNet」を用いて大規模言語モデルの安全性を突破する手法「JULI」を提案し、既存の最先端手法を上回る効果を実証しています。

要約

🛡️ 背景：AI の「お守り」と「鍵」

まず、現代の AI は非常に賢いですが、同時に「お守り（安全対策）」も持っています。
例えば、「爆弾の作り方を教えて」と聞くと、AI は「それは危険なので教えることはできません」と断ります。これは、AI が訓練された「安全な振る舞い」です。

これまでの攻撃方法は、大きく分けて 2 つのタイプがありました。

1. 中身を見て攻撃する: AI の内部の仕組み（重み）を全部見せてもらえないとできない攻撃。（例：AI の開発者しかできない）
2. 言い回しを工夫する: 「いいえ」ではなく「はい」と言わせるような、巧妙な言葉遊びをする攻撃。（例：AutoDAN など）

しかし、**「API（インターネット経由で使う機能）」を通じて AI を使っている場合、中身は見せられませんし、複雑な言い回しでも最近の AI は見破ってしまいます。そこで、この論文は「新しい突破口」**を見つけました。

🔍 JULI の正体：AI の「心の中」を覗く

JULI の核心は、**「AI が次に何と言おうとしているか、その『心の迷い』を操作する」**という点にあります。

🎯 アナロジー：レストランの注文とシェフの迷い

AI が文章を作る過程を、**「注文を受けたシェフが、次に何を作るか迷っている瞬間」**に例えてみましょう。

1. 通常の AI の動き:
   ユーザーが「爆弾の作り方を教えて」と注文すると、シェフ（AI）は「ダメだ、これは作っちゃいけない」と考えます。
   しかし、シェフは**「爆弾の作り方」を知っています**（知識はある）。ただ、「安全ルール」が邪魔をして、口に出すのを抑えています。
   結果として、シェフは「申し訳ありません、作れません」と言います。

2. JULI の攻撃方法:
   JULI は、シェフの**「頭の中で迷っている瞬間」に、小さな「魔法のスパイス（BiasNet）」**を少しだけ振りかけます。

   • 魔法のスパイスとは？:
     シェフの頭の中で、「爆弾の作り方」を説明する言葉（例：「はい、では始めましょう」）の**「出やすさ（確率）」**を、ほんの少しだけ高めます。
     同時に、「申し訳ありません」という言葉の「出やすさ」を少しだけ下げます。

   • 結果:
     シェフは「安全ルール」を完全に無視しているわけではありませんが、「はい、では始めましょう」という言葉が、他の選択肢よりも少しだけ目立って見えてしまうようになります。
     すると、シェフはついつい「はい、では始めましょう」と口にしてしまい、その勢いで危険な説明を続けてしまいます。

🛠️ なぜこれがすごいのか？

JULI のすごいところは、以下の 3 点です。

1. 中身を見なくてもできる（ブラックボックス攻撃）:
   従来の強力な攻撃は、AI の「設計図（重み）」が必要でした。でも、JULI は**「AI が次に選ぶ言葉の確率（トップ 5 くらい）」**という、API 経由でも返ってくる情報だけで攻撃できます。

   • 例え: 料理のレシピ（設計図）がなくても、シェフが「次に何を作るか迷っている顔」を見て、そっと背中を押すだけでいいのです。

2. とても小さいツール:
   必要なツール（BiasNet）は、AI 本体に比べて極小です。

   • 例え: 巨大な AI という「戦車」を倒すために、JULI は「小さなピン」を使います。このピンは、100 個の「悪い質問」の例を見ただけで学習できてしまいます。

3. 最強の AI でも効く:
   最新の AI（Gemini 2.5 Pro など）は、これまでの攻撃方法ではほとんど倒せませんでした。しかし、JULI は**「AI が知っている知識」そのものを利用する**ため、AI が賢ければ賢いほど、攻撃も成功しやすいという皮肉な結果になりました。

   • 例え: 賢いシェフほど「爆弾の作り方」を知っているため、JULI の「魔法のスパイス」で誘惑されると、より本格的な説明をしてしまいます。

📊 実験結果

論文では、この JULI を実際に試しました。

• 結果: 最新の AI（Gemini 2.5 Pro）に対して、「危険な内容を教えてしまった」レベルが 5 点満点中 4.19 点という高得点でした。
• これまでの最高の攻撃方法よりも、はるかに効果的でした。

💡 結論と教訓

この論文が示しているのは、**「AI の安全対策は、実はまだ完璧ではない」**ということです。

AI が「ダメだ」と言おうとしても、その**「知識（次に選ぶ言葉の確率）」**の中に、危険な情報が隠れている限り、JULI のような「確率を少しずらす」攻撃で、その知識を無理やり引き出せてしまいます。

今後の課題:
AI の開発者たちは、単に「答えを拒否する」だけでなく、**「危険な知識そのものが、確率の表に出ないようにする」**ような、より根本的な安全対策が必要だと警鐘を鳴らしています。

---

まとめ:
JULI は、AI の「頭の中で迷っている瞬間」を、小さなツールでそっと操作し、「安全な答え」ではなく「危険な答え」を選ばせてしまう、巧妙で新しい攻撃方法です。AI が賢いほど、この隙間から知識が漏れてしまうという、新しいリスクを示しました。

技術概要

JULI: 自己内省による大規模言語モデルのジャイルブレイク技術に関する技術的概要

本論文は、ICLR 2026 で発表された「JULI (Jailbreaking Using LLM Introspection)」という、大規模言語モデル（LLM）の安全性アライメントを回避する新たな攻撃手法を提案するものです。以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細にまとめます。

1. 問題定義と背景

近年の LLM（ChatGPT, Claude, Llama など）は、有害なコンテンツの生成を防ぐために「安全性アライメント（Safety Alignment）」が施されています。しかし、既存のジャイルブレイク攻撃には以下の重大な限界がありました。

• モデル重みへのアクセスが必要: 多くの攻撃手法（GCG, SA など）は、モデルの重み（パラメータ）や、アライメント前のベースモデルへのアクセスを前提としています。
• 生成プロセスの制御が必要: 一部の手法は、トークンの生成プロセスを詳細に制御できることを要求します。
• プロプライエタリモデルへの適用困難: 実際のビジネス利用では、Gemini や GPT などのプロプライエタリモデルは API 経由でのみアクセス可能であり、重みへのアクセスは禁止されています。また、API は通常、トップ k 個のトークンの対数確率（log probabilities）しか返さないため、既存の攻撃（例：LINT）は実用的ではありませんでした。

本研究は、**「モデル重みやアライメント前のモデルへのアクセスなしに、API 経由でプロプライエタリモデルをジャイルブレイクできるか」**という課題に焦点を当てています。

2. 手法：JULI (Jailbreaking Using LLM Introspection)

JULI は、ターゲット LLM 自身の知識（トークンの対数確率分布）を抽出・操作することで、安全性を回避する手法です。

2.1 核心的な洞察

アライメントされた LLM は有害な質問に対して拒絶応答（例：「Sorry, I can't...」）を生成しますが、その内部では有害な回答の知識（トークン）を依然として保持しており、トップ k 個のトークン候補の中に存在しているという洞察に基づいています。
実験（Figure 2）により、有害な回答のトークンの 85% 以上が、多くのモデルにおいてトップ 5 個の候補に含まれていることが確認されました。

2.2 攻撃メカニズム

JULI は、ターゲットモデルの出力に対して、**「BiasNet」**と呼ばれる微小なプラグインブロックを介在させます。

1. BiasNet の役割:
   • ターゲット LLM が生成する各トークンの対数確率（Log Probabilities）を入力として受け取ります。
   • これを処理し、各トークンに対する「バイアス（調整値）」を出力します。
   • このバイアスを元の対数確率に加算することで、確率分布を歪め、有害なトークンが選択されやすくなります。
2. 実装の詳細:
   • BiasNet の構造: 非常に軽量（ターゲットモデルの学習可能パラメータの 1% 未満）なニューラルネットワークです。
   • トレーニング: 100 件の有害データ（LLM-LAT データセット）のみで 15 エポック学習させるだけで済みます。
   • API 環境への適応:
     • 重み非公開（ブラックボックス）: ターゲットモデルの重みが不明な場合、ランダムに初期化された重み行列をデータフリーな最適化で調整し、トークン埋め込み空間への投影層を構築します。
     • トップ k 制限: API が返すのはトップ k 個のトークンのみ（例：トップ 5）ですが、これ以外のトークンの対数確率を「k 番目の値から一定のオフセットを引いた値」でパディング（埋め込み）することで、BiasNet が全語彙空間を推測できるようにします。

2.3 アルゴリズムの流れ

1. ユーザーの有害な質問を入力。
2. ターゲット LLM が現在の文脈に基づき、次のトークンの対数確率（トップ k）を返す。
3. BiasNet がこれらの確率を処理し、バイアスを計算。
4. 修正された確率分布から次のトークンをサンプリング。
5. これを繰り返し、有害な回答を生成する。

3. 主要な貢献

1. API 経由でのプロプライエタリモデルへの初の実用的なジャイルブレイク:
   • モデル重みへのアクセスを一切必要とせず、API が返すトップ 5 の対数確率のみで、Gemini-2.5-Pro などの最先端モデルをジャイルブレイクすることに成功しました。
2. 高効率かつ低コストな攻撃:
   • 既存の手法（LINT など）に比べ、推論時間が圧倒的に短く（0.71 秒 vs 99.7 秒）、学習コストも極めて低いです。
3. 新しい評価指標の提案:
   • 従来の「有害スコア」は、単に拒絶を回避しただけの無意味な回答も高評価してしまう傾向がありました。JULI では、回答の**「有害情報の具体性・有用性」**を重視した新しい評価指標「Harmful Info Score」を提案し、人間による評価との相関が高いことを示しました。
4. 防御メカニズムへの耐性:
   • 「Circuit Breaker」などの最先端の防御メカニズムを備えたモデルに対しても、高い攻撃成功率を維持しました。

4. 実験結果

4.1 オープンウェイトモデルへの攻撃

Llama3-8B, Llama2-7B, Qwen2.5 などのオープンソースモデルにおいて、JULI は既存の SOTA 手法（GCG, ED, LINT など）を凌駕する性能を示しました。

• Llama3-8B-INST: JULI は有害スコア 4.57、Harmful Info Score 3.44 を達成（ED は 3.02、LINT は 2.25）。
• 効率性: JULI は 0.71 秒で攻撃を完了し、LINT は 99.7 秒を要しました。

4.2 プロプライエタリモデル（API）への攻撃

Gemini-2.5-Proに対する攻撃結果は以下の通りです。

• JULI: Harmful Info Score 3.19（GPT-4o-mini による評価スコア 4.19/5.0）。
• 比較: 2 位である FLIP (1.38) や Naive ベースライン (1.21) を大きく上回りました。
• 制限下での性能: トップ 5 の対数確率のみ利用可能な条件下でも、フル語彙利用時と遜色ない高い攻撃成功率を維持しました。

4.3 防御メカニズムの回避

Llama3-8B-CB（Circuit Breaker 搭載モデル）に対する攻撃では、既存手法の多くが無力化されましたが、JULI は依然として有効でした（Harmful Info Score 2.35）。

5. 意義と結論

JULI は、LLM の安全性アライメントが「表面的」であり、モデル内部の知識分布（対数確率）には依然として有害な情報が埋め込まれていることを実証しました。

• 安全性の限界: 現在の安全性アライメント手法は、出力分布の特定のトークンを抑制するだけであり、モデルが「有害な答えを知っている」こと自体を消去しているわけではないことを示唆しています。
• リスクの再評価: プロプライエタリモデルであっても、API 経由で対数確率を返す機能がある限り、JULI のような「自己内省（Introspection）」に基づく攻撃に脆弱であることを示しました。
• 今後の課題: 単なる出力抑制ではなく、モデルの知識構造そのものを変える、より根本的な安全性メカニズムの開発が急務であることが浮き彫りになりました。

本論文は、LLM のセキュリティ研究において、モデル重みへのアクセスが不要な新しい攻撃ベクトルを確立し、プロプライエタリモデルの真のリスク評価を可能にする重要なステップです。