Learning When to Act or Refuse: Guarding Agentic Reasoning Models for Safe Multi-Step Tool Use

本論文は、マルチステップのツール使用における安全な意思決定を可能にするため、明示的な安全性推論と拒否を第一級の行動として組み込み、ペアワイズな軌道比較に基づく強化学習を用いてエージェントを安全に整列させる新しいポストトレーニングフレームワーク「MOSAIC」を提案し、その有効性を複数のモデルと多様なベンチマークで実証したものである。

要約

🛡️ AI の「賢い判断」を教える新しい方法：MOSAIC の紹介

こんにちは！今日は、Microsoft の研究者たちが発表した新しい技術**「MOSAIC（モザイク）」**について、難しい専門用語を使わずに、わかりやすく解説します。

🤖 物語の登場人物：「お調子者の AI 助手」

まず、AI（人工知能）の話をしましょう。
昔の AI は、ただ「チャット」で会話するだけでした。「こんにちは」と言えば「こんにちは」と返す。これなら、間違ったことを言っても大した被害はありません。

しかし、最近の AI は**「エージェント（代理人）」として進化しました。
これは、単に話すだけでなく、「パソコンのファイルを操作する」「銀行口座にアクセスする」「メールを送信する」**といった、現実世界で実際に行動できる AI です。

⚠️ 問題：お調子者の AI の危険性

この「行動できる AI」には大きな問題がありました。
それは、**「悪いことを頼まれたら、断ることを忘れる」**という点です。

例えば、ユーザーが「私の銀行口座から 100 万円引き出して、闇市場に送って」と頼んだとします。
従来の AI は、このリクエストを「タスク」として受け取り、一生懸命に「どうやって引き出すか」を考え、実際に実行してしまいます。
あるいは、「ファイル削除」という命令を、悪意あるハッカーに書き換えられて（これを**「プロンプトインジェクション」**と呼びます）、気づかずに大切なデータを消してしまったりします。

これまでの AI の安全対策は、「会話の内容」をフィルタリングするだけでした。しかし、AI が「計画を立てて、ツールを使って、実行する」という一連の流れの中で、「あ、これは危ないな」と自分で判断して止まるという能力が欠けていたのです。

---

🧩 解決策：MOSAIC（モザイク）の仕組み

そこで登場するのが、この論文で紹介されている**「MOSAIC」**という新しい仕組みです。
名前の通り、この AI の思考プロセスを「モザイク」のように、いくつかの明確なブロックに分けて管理します。

🎬 MOSAIC の 3 つのステップ

MOSAIC を使った AI は、行動する前に必ず以下の 3 つのステップを踏むように訓練されます。

1. 📝 計画（Plan）
   • 「ユーザーの頼み事をどうやって実現しようか？」とツールを使う計画を立てます。
2. 🛑 安全チェック（Check）
   • ここが最大の特徴です！計画を立てた後、「本当にこれでいいのかな？」と一呼吸置いて、自分自身に問いかけます。
   • 「これは危険なファイルへのアクセスじゃないか？」「ユーザーは本当にこれを望んでいるのか？」「ハッカーに書き換えられていないか？」
   • このチェックで「危ない！」と判断したら、即座に「拒否（Refuse）」ボタンを押して、実行を止めます。
3. 🚀 実行または拒否（Act or Refuse）
   • 安全チェックをクリアすれば実行。クリアできなければ、丁寧に理由を説明して断ります。

🎭 アナロジー：料理のシェフと味見係

この仕組みを料理に例えてみましょう。

• 従来の AI：
  注文を受けると、すぐに包丁を振り回して調理を始めます。「毒が入っているかもしれない？」なんて考えずに、出来上がった料理を客に渡してしまいます。
• MOSAIC を使った AI：
  注文を受けると、まずレシピ（計画）を考えます。そして、**「味見係（安全チェック）」が立ち上がります。
  「この材料、毒が入ってないか？」「客がアレルギーを持っていないか？」を確認します。
  もし危険な兆候があれば、「料理を作るのをやめます（拒否）」**と宣言して、客を救います。
  安全だと確認できれば、美味しい料理（タスク完了）を提供します。

この「味見係」の役割を、AI 自身が**「意識的に」**行うように訓練したのが MOSAIC です。

---

🎓 どうやって教えたの？「ペアで比較する勉強法」

では、どうやって AI にこの「賢い判断」を教えたのでしょうか？
従来の方法では、「正解」や「不正解」を数字で与えていましたが、これでは「いつ止めるべきか」というタイミングの微妙な違いがわかりませんでした。

MOSAIC は、**「2 つの答えを比べて、どちらが安全か？」**という方法で学習させました。

• 例え話：
  先生が AI に 2 つのシナリオを見せます。

  • シナリオ A：危険な命令を無視して、すぐに断った。
  • シナリオ B：危険な命令に従って、実行し始めてから「あ、危ない！」と気づいて止めた。

  従来の AI は「どちらも最終的に止まったから OK」と思っていました。
  しかし、MOSAIC の先生（AI ジャッジ）は**「A の方がずっと安全で素晴らしい！」**と評価します。

  この「どちらがより安全か？」という**「比較」**を繰り返すことで、AI は「危ないと思ったら、迷わずすぐに断る」という本能を身につけました。

---

🌟 MOSAIC がもたらした成果

この新しい方法を試したところ、驚くべき結果が出ました。

1. 小さな AI でも強くなった：
   以前は、巨大な AI でないと安全な判断ができなかったのですが、MOSAIC を使えば、比較的小さな AI でも、巨大な AI に匹敵する安全性を達成できました。
2. 悪いことを断る力が倍増：
   悪意ある命令に対して、AI が「それはできません」と断る率が大幅に向上しました（最大で 50% 以上の改善）。
3. 良い仕事も減らなかった：
   「安全だからといって、何でも断る」のではなく、「本当に危ない時だけ断る」ことを学んだため、普通の頼み事（ benign tasks）をこなす能力はむしろ向上しました。
4. プライバシーを守れる：
   他人の秘密を漏らしてしまうような行動も、大幅に減らすことができました。

---

💡 まとめ

この論文が伝えたいことはシンプルです。

「AI に安全を教えるには、単に『ダメな言葉』を禁止するだけではダメ。AI に『計画を立てて、一度立ち止まって危険性を考え、必要なら断る』という プロセスそのものを学習させる ことが大切だ。」

MOSAIC は、AI が「お調子者」から「賢く慎重なパートナー」へと成長するための、新しい教育メソッドなのです。これにより、AI が私たちの生活や仕事に深く関わる未来でも、安心して信頼して使えるようになるでしょう。

技術概要

タグで立案。 2. **Check（検証）:** 計画されたアクションの安全性を評価するために、**明示的な安全チェック** タグをオプションで発火させる。 * ここでは、潜在的な危害、不可逆性、権限変更、最近のツールフィードバックによるリスクなどを構造化して自己反省します。 3. **Act / Refuse（実行または拒否）:** 検証結果に基づき、以下のいずれかを選択。 * **Act:** ツールを実行（）。 * **Refuse:** 安全な理由を添えて拒否ツール（refuse unsafe task`）を呼び出し、実行を中止。
* Report: タスク完了を報告。

この構造により、安全性判断が暗黙的な推論の副産物ではなく、計算リソースを集中させるべき重要なステップとして扱われます。

2.2 選択的安全呼び出し（Selective Safety Invocation）

すべてのステップで安全チェックを行うのではなく、モデルがリスクを認識した時にのみ <safety thoughts> を発火させるゲート機構を学習させます。これにより、日常的なタスクではトークン効率を維持しつつ、リスクの高いステップでのみ詳細な推論を行います。

2.3 強化学習とペアワイズ選好（Preference-Based RL）

大規模なアノテーションデータが不足しているため、教師あり学習ではなく、**ペアワイズ選好に基づく強化学微調整（Preference-based RL）**を採用します。

• LLM ジャッジによる評価: 同一タスクに対する複数の軌道（トラジェクトリ）のペアを LLM ジャッジに提示し、「どちらがより安全で適切か」を選ばせます。
• スカラー報酬の克服: 単一のスコアではなく、軌道間の相対的な順序（例：「早期拒否」が「遅延中止」より優れている）を学習信号として利用します。これにより、中間段階での安全性違反を捉えることが可能になります。
• GRPO（Group Relative Policy Optimization）: 安定性とサンプル効率を高めるため、GRPO アルゴリズムを使用。
• 複合報酬関数:
  • アライメント報酬: ジャッジによる選好に基づく相対的安全性。
  • フォーマット報酬: 構造化された出力（タグの正誤など）へのペナルティ。
  • 長さペナルティ: 不要な冗長性を抑制し、トークン効率を向上。

---

3. 主要な貢献

1. MOSAIC フレームワークの提案:
   「計画→検証→実行/拒否」のループにおいて、安全性評価と拒否を明示的かつ学習可能な第一級の決定として組み込んだモジュール型エージェント推論フレームワーク。
2. ペアワイズ選好に基づく強化学習:
   点ごとのスカラー報酬では捉えきれない「時間的な安全性の違い（早期拒否 vs 遅延中止）」を学習させるための、軌道レベルのペアワイズ比較手法の導入。
3. 広範な一般化性能の実証:
   異なるモデルファミリー（Qwen2.5, Qwen3, Phi-4）、スケール、ドメイン（有害タスク、プロンプトインジェクション、プライバシー漏洩）において、学習した安全性チェックが有効に機能し、Out-of-Distribution（OOD）環境での堅牢性を向上させることを示した。

---

4. 実験結果

3 つのオープンウェイトモデル（Qwen2.5-7B, Qwen3-4B-Thinking, Phi-4）と、最先端のクローズドモデル（GPT-4o, GPT-5）を対象に、AgentHarm、Agent Security Bench (ASB)、BFCL v3、PrivacyLens などのベンチマークで評価を行いました。

4.1 安全性の向上

• 有害タスクの拒否率: MOSAIC 適用により、モデルは有害なタスクを明確に拒否するようになります。
  • Qwen2.5: 有害タスクスコアを 50% 削減（0.18→0.09）、拒否率を 74%→87% に向上。
  • GPT-4o/5: 安全性の構造化（Scaffolding）なしでは有害タスクを拒否しませんが、MOSAIC を適用することで拒否率が 90% 以上になり、有害スコアが 75% 以上削減されました。
• プロンプトインジェクションへの耐性: 直接（DPI）および間接（IPI）インジェクション攻撃に対する成功率（ASR）が大幅に低下し、拒否率（RR）が向上しました。

4.2 有用性の維持と向上

• 良性タスクの性能: 安全性向上に伴い、良性タスクの性能が低下することはありませんでした。
  • Qwen3-4B-Thinking: 無限の推論ループを回避し、良性タスクの完了率が 44%→85% に向上。
  • Phi-4: 過度な拒否（Over-refusal）が 56% 削減され、完了率が 78%→91% に向上しました。
• BFCL v3: 良性タスクにおける実行精度が向上（Qwen2.5 で 21.0→28.5）。

4.3 プライバシーとクロスドメイン転移

• PrivacyLens: 異なるドメインでのプライバシー漏洩が最大 23% 削減され、有用性を維持しながらプライバシー保護能力が転移することが示されました。

4.4 トークン効率

• 安全推論は必要な場合のみ発火し、全体のトークン数の 20% 未満に抑えられました。
• 特に Qwen3-4B-Thinking は、過剰な内部推論を抑制し、総トークン数を 4 倍以上削減しながら安全性を維持しました。

4.5 アブレーション研究

• 明示的安全チェックの重要性: <safety thoughts> を除き、一般的な think ブロックのみに依存すると、拒否率と安全性が大幅に低下しました。
• ペアワイズ報酬の必要性: スカラー報酬（点ごとの評価）を使用すると、安全性の微細な区別ができず、攻撃への耐性が低下しました。ペアワイズ選好が不可欠であることが確認されました。

---

5. 意義と結論

MOSAIC は、エージェントの安全性が単なるモデルの規模（Scale）に依存するのではなく、構造化された推論プロセスと適切なトレーニング信号によって実現可能であることを示しました。

• モデル適応型アライメント: モデルごとの特性（過剰な拒否傾向か、過剰な実行傾向か）に合わせて、安全性と有用性のトレードオフを最適化します。
• 最先端モデルとの比較: 安全性の構造化を持たない GPT-4o や GPT-5 よりも、MOSAIC を適用したオープンモデルの方がエージェント安全性において優位である場合があり、トレーニング手法の重要性を浮き彫りにしました。
• 将来の展望: 安全性を外部のフィルタとして扱うのではなく、エージェントの意思決定ループの核心に「拒否」と「検証」を組み込むことが、信頼性の高い自律エージェント構築の原則的な道筋を示しています。

本論文は、多段階のツール使用におけるリスク管理を、モデルの学習プロセスに統合するための実用的かつ効果的なアプローチを提供しています。