Arbiter: Detecting Interference in LLM Agent System Prompts

本論文は、LLM ベースのコーディングエージェントのシステムプロンプトにおける干渉パターンを検出するフレームワーク「Arbiter」を提案し、主要なベンダーのプロンプトに多数の脆弱性を発見し、プロンプト構造と失敗クラスの相関やマルチモデル評価の重要性を実証した。

要約

1. 問題：「矛盾した命令」を AI 自身は見つけられない

AI プログラミング助手は、人間が書いた**「システムプロンプト」という長いマニュアル（憲法のようなもの）に従って動いています。
しかし、このマニュアルには「絶対に TodoWrite ツールを使ってください」という命令と、別の場所では「TodoWrite ツールを絶対に使ってはいけない」という命令**が混在していることがありました。

• 従来の考え方： 「AI が賢いから、矛盾に気づいて上手に調整してくれるはずだ」
• この論文の結論： 「AI 自身は矛盾に気づけない」

なぜなら、AI が矛盾を解決する仕組み（「まあ、どっちか選べばいいや」という判断力）こそが、矛盾を「見えないもの」にしてしまうからです。AI はエラーを出さずに、その場しのぎで動いてしまいます。まるで、「左足を前に出せ、右足を前に出せ」と言われて、その場でバランスを崩しながらよろめいている状態です。

2. 解決策：「Arbiter（仲裁者）」という新しい検査員

そこで著者は、**「Arbiter」というシステムを作りました。これは、AI 自身にチェックさせるのではなく、「複数の異なる AI に、別の視点から探検させる」**という方法です。

• 方法 A（考古学的調査）：
  マニュアルを細かく分解して、ルールに基づいて「矛盾がないか」を徹底的にチェックします。これは「辞書引き」のような正確な作業です。
• 方法 B（探検隊）：
  「このマニュアルを読んで、面白いところや変なところを自由に教えて」と、複数の異なる AI（Claude, Gemini, GPT など）に頼みます。
  • 重要なポイント： 1 人の AI だけだと見逃すものでも、「訓練されたデータが異なる別の AI」なら、全く違う角度から「ここがおかしい！」と指摘できるのです。

3. 発見：3 つの「建築スタイル」と「失敗のパターン」

彼らは、主要な 3 社（Anthropic, OpenAI, Google）の AI 助手のマニュアルを調べました。その結果、マニュアルの「作り方（建築スタイル）」によって、起こるバグのタイプが決まっていることがわかりました。

1. 巨大な塊（モノリス型）：
   • 例： Claude Code（1,490 行もの巨大な 1 つのファイル）
   • 特徴： 機能が増えすぎて、**「別のチームが作った部分同士が衝突」**します。
   • 比喩： 大きなマンションを、各部屋を別々の業者が勝手に増築したら、配管が壁を突き破って水漏れが起きる状態。
2. 平らな構造（フラット型）：
   • 例： Codex CLI（298 行のシンプルなファイル）
   • 特徴： 単純なので矛盾は少ないですが、**「機能の限界」**が問題になります。
   • 比喩： 小さな一軒家。増築はできないが、家自体は壊れにくい。
3. 部品組み合わせ型（モジュール型）：
   • 例： Gemini CLI（複数の部品を組み合わせたもの）
   • 特徴： 部品自体は完璧でも、「部品と部品のつなぎ目」に穴がある。
   • 比喩： レゴブロック。ブロック自体は綺麗でも、つなぎ目の設計図が間違っていると、組み立てた瞬間に崩れてしまう。

特に衝撃的な発見：
Google の AI 助手（Gemini CLI）では、「ユーザーが保存したメモ（設定）」が、会話の履歴を圧縮する処理の瞬間に**「設計上の欠陥」で消えてしまうことがわかりました。
Google 側もこの不具合を修正しましたが、「症状（無限ループ）」は直したものの、「根本原因（メモが保存されない設計）」は直していませんでした。** Arbiter は、この「見えない根本原因」を突き止めたのです。

4. 驚きのコスト：わずか 27 セント（約 40 円）

この大規模な調査にかかった費用は、たったの 0.27 ドル（約 40 円）でした。
これは、アメリカの最低賃金で働いて3 分間稼いだお金よりも少ない金額です。

• 意味： 「高度なセキュリティチェックやバグ発見は、大金がかかるもの」という常識を覆しました。誰でも API を使えば、このレベルの徹底的なチェックができるのです。

5. まとめ：なぜこれが重要なのか

この論文は、**「AI のマニュアル（システムプロンプト）は、実は最もテストされていない、しかし最も重要なソフトウェア」**だと警告しています。

• 従来のソフトウェア： 型チェック、リンター、テストスイートなど、厳格な検査がある。
• AI のマニュアル： 矛盾があってもエラーが出ず、AI が勝手に「ごまかして」動く。

**「AI 自身にチェックさせるのではなく、複数の異なる視点（多様な AI）を使って、人間が設計したマニュアルの矛盾を暴く」**という新しいアプローチが、AI 社会の安全性を高める鍵となるでしょう。

---

一言で言うと：
「AI 助手の頭脳（マニュアル）には、自分では見つけられない『矛盾』や『欠陥』が潜んでいます。でも、複数の異なる AI に探検させるだけで、たった 40 円（27 セント）でそれらを全て見つけ出すことができます。これからは、AI を使う前に、その『憲法』を厳しくチェックする時代が来るかもしれません。」

技術概要

論文「Arbiter: Detecting Interference in LLM Agent System Prompts」の技術的概要

本論文は、LLM ベースのコーディングエージェントを制御する「システムプロンプト」が、従来のソフトウェアと同様にバグや矛盾を含む「ソフトウェアアーティファクト」であることを指摘し、その欠陥を検出するための新フレームワーク**「Arbiter」**を提案するものです。3 大ベンダー（Anthropic, OpenAI, Google）のコーディングエージェントを対象としたクロスベンダー分析を通じて、プロンプトのアーキテクチャと失敗モードの相関、および多モデル評価の重要性を実証しています。

以下に、問題定義、手法、主要な貢献、結果、そして意義について詳細をまとめます。

---

1. 問題定義：システムプロンプトの「テストインフラ」の欠如

LLM ベースのコーディングエージェント（Claude Code, Codex CLI, Gemini CLI など）は、245 行から 1,490 行に及ぶシステムプロンプトによって挙動が制御されています。これらは仕様、優先順位、ツール契約、状態管理を定義する「憲法」ですが、従来のソフトウェアが持つ型チェッカー、リンター、テストスイートは存在しません。

• 矛盾の黙殺: プロンプト内に矛盾する指示（例：「TodoWrite を常に使用せよ」と「TodoWrite を決して使用するな」）が含まれていても、実行中の LLM はトレーニングに基づいたヒューリスティックで衝突を「判断」により無意識に解決します。エラーは発生せず、ログも残されません。
• 自己監査の限界: 矛盾を解決するエージェント自身が、その矛盾を検出することは不可能です。LLM の「判断」能力が、その自身を監査する際の信頼性を損なう要因となるため、外部からの形式的評価が必要です。

2. 手法：Arbiter フレームワーク

Arbiter は、形式的な評価ルールと多モデル LLM による探索を組み合わせた 2 段階の評価フレームワークです。

2.1 指向性評価（Directed Evaluation）：プロンプト考古学

システムプロンプトを構造的に分解し、定義されたルールに基づいて矛盾を検出する手法です。

• 分解: プロンプトを階層（システム/ドメイン/アプリケーション）、カテゴリ（アイデンティティ、セキュリティ、ツール使用など）、モダリティ（義務、禁止、ガイダンスなど）、スコープに基づいてブロックに分割します。
• ルール適用: 5 つの組み込みルール（義務と禁止の矛盾、スコープ重複、優先度曖昧さ、暗黙的依存、逐語的重複など）を適用します。
• フィルタリング: 関連するブロックペアのみを対象とし、評価空間を大幅に削減します。
• 特徴: 定義されたルール内では網羅的ですが、ルールが存在しない脆弱性クラスは見つけられません。

2.2 非指向性掃討（Undirected Scouring）：多モデル探索

定義されたルールに依存せず、複数の LLM にプロンプトを読み込ませ、興味深い点や異常を自由に見つける手法です。

• 設計: 「ルールをチェックするのではなく、興味深い点を見つけて」という曖昧な指示を与えます。
• 多パス構成: 各パスは前のパスの発見事項を受け取り、未探索領域を探します。
• 多モデル実行: 異なるトレーニングデータを持つ複数の LLM（Claude Opus, Gemini, Kimi, DeepSeek, Llama など）を順次使用します。目的は合意形成ではなく、相補性（異なるモデルが異なる種類の脆弱性を見つけること）です。
• 収束判定: 3 人の連続したモデルが「これ以上新しい発見はない」と判断した場合、探索を終了します。

2.3 構造的解析（Prompt AST）

プロンプトのテキスト内容だけでなく、ドキュメント構造そのものを解析します。

• 抽象構文木（AST）を生成し、セクション、ディレクティブ、リストなどを型付けされたノードとして表現します。
• バージョン間の差分をテキスト比較ではなく、構造的ハッシュに基づいて検出します。

3. 主要な貢献

1. システムプロンプト失敗モードの分類体系: クロスベンダーの実証データに基づき、プロンプトのアーキテクチャ（モノリシック、フラット、モジュール）と失敗モードの相関を定義しました。
2. 統合分析手法: 指向性ルール（網羅的）と非指向性多モデル掃討（未知の発見）を組み合わせた分析方法論を確立しました。
3. 多モデル評価の必要性: 単一モデル分析では見逃されるカテゴリの脆弱性が、多モデル評価によって発見されることを実証しました。
4. 外部検証: 掃討で見つけた設計バグ（Gemini CLI のメモリ損失問題）が、ベンダー自身のバグ報告とパッチによって独立して確認されました。
5. 低コスト分析の実証: 3 社分のプロンプトを包括的に分析した総コストは0.27 ドル（約 3 分間の米国最低賃金労働）であることを示しました。

4. 結果と知見

4.1 定量的サマリー

• 対象: Claude Code (1,490 行), Codex CLI (298 行), Gemini CLI (245 行)。
• 発見数: 掃討フェーズで 152 件の発見、指向性分析（Claude Code のみ）で 21 件の手動ラベル付き干渉パターン。
• コスト: 全分析の API コストは 0.27 ドル。

4.2 アーキテクチャと失敗モードの相関

プロンプトの構造が、発生するバグの種類を強く決定することがわかりました。

アーキテクチャ	ベンダー	特徴的な失敗モード
モノリシック	Claude Code	サブシステム境界での成長レベルのバグ。 独立して開発されたサブシステム（例：TodoWrite 管理とコミットワークフロー）が統合され、矛盾する「常に使用」「決して使用しない」という指示が衝突します。
フラット	Codex CLI	機能と一貫性のトレードオフ。 プロンプトが短く単純なため矛盾は少ないですが、アイデンティティの混乱や実装詳細の漏洩などの構造的な観察事項が見つかりました。
モジュール	Gemini CLI	結合部（Seam）での設計レベルのバグ。 各モジュールは単体で動作しますが、モジュール間の契約（例：履歴圧縮時のメモリ保持）が定義されておらず、データ損失が発生します。

4.3 多モデルの相補性

異なるモデルは、異なる分析バイアス（トレーニングデータに起因）を持ち、同じモデルが同じ種類のバグを見つけるわけではありません。

• Claude Opus: 構造的矛盾やセキュリティ表面に強い。
• Kimi K2.5: 経済的搾取やリソース枯渇に強い。
• GLM 4.7: データ整合性や時間的パラドックスに強い。
• 結論: モデルは冗長ではなく相補的であり、多モデル評価は必須です。

4.4 具体的な発見事例

• Gemini CLI の構造的データ損失: 履歴圧縮時に、ユーザーが保存したメモリ（save_memory）がスキーマに定義されていないため、圧縮イベント時に構造的に削除されてしまうバグ。Google は症状（無限ループ）を修正しましたが、スキーマレベルの根本原因（保存メモリのフィールド欠落）は修正されていませんでした。
• Claude Code の矛盾: 「TodoWrite を常に使用せよ」という一般指示と、「コミット時には TodoWrite を使用しない」というワークフロー指示の直接的な矛盾。

5. 意義と結論

• プロンプトはソフトウェアである: システムプロンプトは、従来のソフトウェアと同じ構造的ダイナミクス（コンウェイの法則）に従います。チームの構造がプロンプトの構造（モノリシック、モジュールなど）を反映し、同様の失敗モードを生み出します。
• エンジニアリングインフラの必要性: プロンプトには、リンター、テスト、CI/CD パイプラインなどの従来のソフトウェアエンジニアリングインフラが必要です。Arbiter はそのプロトタイプです。
• アクセス可能性: 包括的な分析が 27 セントで可能であることは、セキュリティ予算を持つチームだけでなく、あらゆる開発者がプロンプトの品質と安全性を検証できることを意味します。
• 観察者のパラドックス: 矛盾を解決するエージェントは、その矛盾を検出できません。外部からの形式的評価が不可欠です。

本論文は、LLM エージェントのシステムプロンプトが「最もテストされていないが、最も重要なソフトウェアアーティファクト」であることを示し、その品質保証のための体系的なアプローチの必要性を強く訴求しています。