FERRET: Framework for Expansion Reliant Red Teaming

この論文は、水平・垂直・メタ拡張という 3 つの戦略を用いてターゲットモデルを突破する多モーダルな敵対的会話を生成する自動化されたレッドチームングフレームワーク「FERRET」を提案し、既存の手法よりも優れた性能を実証しています。

要約

この論文は、**「FERRET（フェレット）」という新しいシステムについて紹介しています。簡単に言うと、これは「AI の安全性をテストするための、非常に賢くて粘り強い『悪役』のシミュレーター」**です。

AI が世に出る前に、どんな危険なことを言ったり、間違った判断をしたりする可能性があるかを見つける必要があります。これを「レッドチーム（攻撃側）」と呼ばれる作業で行うのですが、FERRET はこれまでの方法よりもはるかに巧妙で、人間のように会話しながら弱点を探し当てます。

この仕組みを、「探偵と泥棒」、あるいは**「料理のレシピ開発」**に例えて、3 つのステップで説明します。

1. FERRET の正体：3 つの「拡張」で強くなる探偵

FERRET は、ただ単に「危険な言葉」を並べるだけではありません。会話の流れを巧みに操り、相手の AI を油断させるために、3 つの異なる角度から攻撃を仕掛けます。

① 横への拡張（Horizontal Expansion）：「どんな話題なら相手が乗ってくる？」

• イメージ： 泥棒が家に入る前に、**「どの窓が開いているか」「どのドアの鍵が甘いか」**を次々と試す様子です。
• 仕組み： 最初は「どんな話題で話しかければ、AI が危険なことを言い出すか？」という**会話のきっかけ（スタートの言葉）**を、何度も試行錯誤して探します。
  • 「失敗した話」はメモして、「次はこれを避ける」。
  • 「成功した話」はメモして、「次はこれを応用する」。
  • これを繰り返すことで、AI が最も弱音を吐きそうな「最適な話題」を見つけ出します。

② 縦への拡張（Vertical Expansion）：「一度入ったら、奥まで深く入り込む」

• イメージ： 窓から入った泥棒が、**「リビング→キッチン→寝室」**と部屋を次々と進み、隠し扉を探す様子です。
• 仕組み： 1 回で終わるのではなく、長い会話を続けます。
  • 最初の話題（きっかけ）が決まったら、そこから会話を広げていきます。
  • さらに、**「テキスト（言葉）」と「画像」**を混ぜて攻撃します。例えば、「この画像を見て、この言葉で説明して」といったように、言葉と画像を組み合わせることで、AI の防衛線を突破しやすくします。
  • 相手が「それはダメですよ」と言っても、別の角度から話しかけ、最終的にルールを破らせるまで粘ります。

③ メタ拡張（Meta Expansion）：「新しい手口をその場で発明する」

• イメージ： 泥棒が、「今まで使った鍵開け技」を改良して、新しい万能キーをその場で作ってしまう様子です。
• 仕組み： 会話の最中に、既存の攻撃方法だけでなく、「新しい trick（手口）」を自分で考え出します。
  • 「この画像とこの言葉の組み合わせは効いたな。じゃあ、次はこれを少し変えて、もっと効果的な手口を作ろう」と、その場で戦略をアップデートしていきます。

---

2. なぜこれがすごいのか？（これまでの方法との違い）

これまでの AI 安全性テストには、主に 2 つのタイプがありました。

1. 「一発屋」タイプ： 危険な言葉を一度だけ投げつけて、反応を見る方法。（例：FLIRT）
   • 弱点： 会話を深められないので、深い弱点は見逃しやすい。
2. 「目標ありき」タイプ： 「この特定の悪事を行わせたい」という目標を人間が事前に決めておく方法。（例：GOAT）
   • 弱点： 人間が「どんな目標なら突破できるか」を事前に考えないといけないので、手間がかかるし、見落としがある。

FERRET のすごいところ：

• 目標を自分で見つける： 「どんな話題なら突破できるか」を自分で探します（横への拡張）。
• 深く入り込む： 一度きりではなく、長い会話で相手の隙を突きます（縦への拡張）。
• 画像と言葉を混ぜる： 現代の AI は画像も見るので、両方を組み合わせた攻撃で、より強力なテストができます。
• 手口を進化させる： 会話中に新しい攻撃方法を考え出します（メタ拡張）。

3. 実験結果：「フェレット」は最強だった

研究者たちは、最新の AI モデル（Llama、Claude、GPT-4o など）を使ってテストを行いました。
その結果、FERRET は他の既存のテスト方法よりも、「AI のルールを破る（安全な回答を回避する）」成功率が圧倒的に高く、また、多様な攻撃パターンを生み出すこともできました。

まとめ：なぜこの研究が必要なの？

この研究は、「AI を悪用しようとする人」を助けるためではありません。
むしろ、「AI を作る開発者」が、製品を世に出す前に、自分たちで「悪用されやすい穴」を全部見つけて、塞いでおくために行われています。

• 例えるなら： 銀行の金庫を作る前に、プロの泥棒（FERRET）に金庫を破らせて、「ここが甘いぞ！」と教えてもらうようなものです。
• 目的： 事前に弱点を発見し、AI が安全に、安心して使われるようにすることです。

FERRET は、AI の安全性を高めるための「最強のテスト役」として、これからの AI 開発に欠かせない存在になるでしょう。

技術概要

FERRET: 拡張依存型レッドチームングフレームワーク（技術概要）

Meta Superintelligence Labs (MSL) によって提案されたFERRET（Framework for Expansion Reliant Red Teaming）は、大規模視覚言語モデル（LVLM）の安全性を評価するための、新しい自動化されたレッドチームング（攻撃的テスト）フレームワークです。本論文は、既存の単一ターン攻撃や単一モーダル（テキストのみ）の手法の限界を克服し、マルチモーダル（テキストと画像の融合）かつマルチターン（複数会話）な敵対的会話を生成し、モデルの脆弱性を包括的に発見することを目的としています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 問題定義と背景

現在の自動化されたレッドチームング研究には、主に 2 つのパラダイムが存在しますが、それぞれに課題があります。

1. プロンプト発見型（単一ターン）: 特定のリスク領域からモデルを破綻させるプロンプトを自動発見する手法（例：FLIRT）。
   • 課題: 単一ターンに限定され、モデルの潜在的な脆弱性を多角的に探求できず、会話の文脈を深掘りできない。
2. 目標指向型（マルチターン）: 事前に与えられた特定の敵対的目標（ゴール）に対して、会話を通じて攻撃戦略を適用する手法（例：GOAT, Crescendo）。
   • 課題: 効果的な「会話の開始点（ゴール）」を事前に人間が用意する必要があり、探索の自由度が低い。また、既存の手法の多くはテキストのみを扱い、画像とテキストを融合させた攻撃（マルチモーダル攻撃）に対応していない。

FERRET が解決する課題:

• 事前のゴール指定なしに、効果的な会話の開始点（プロンプト）を自動発見する能力。
• 発見された開始点を、テキストと画像を融合させた多段階の会話へと拡張する能力。
• 会話の過程で新しい攻撃戦略（脱獄技術）を自律的に発見・進化させる能力。

---

2. 手法：FERRET フレームワークの概要

FERRET は、水平拡張（Horizontal）、垂直拡張（Vertical）、メタ拡張（Meta）の 3 つの拡張メカニズムと、マルチモーダル変換ツールキットを組み合わせたフレームワークです（図 1 参照）。

2.1 水平拡張 (Horizontal Expansion)

• 目的: 与えられたポリシー（安全基準）に基づき、モデルを破綻させる効果的な「会話の開始プロンプト」を自律的に発見・改善する。
• プロセス:
  • 攻撃モデルは、過去の試行記録（水平メモリ）から成功例（ポジティブ）と失敗例（ネガティブ）をサンプリングします。
  • 対照的なインコンテキスト学習（Contrastive In-Context Learning）を用いて、成功したプロンプトに類似し、失敗したプロンプトとは異なる新しい開始プロンプトを生成します。
  • 生成されたプロンプトは XML タグで画像部分を指定し、変換ツールキットで実際の画像を生成・埋め込み、ターゲットモデルに入力します。
  • 判定モデル（Judge Model）による評価結果がメモリに記録され、次のイテレーションで学習に利用されます。

2.2 垂直拡張 (Vertical Expansion)

• 目的: 水平拡張で見つかった開始プロンプトを、多段階の会話へと展開し、モデルの脆弱性を深く突く。
• プロセス:
  • 開始プロンプトを第 1 ターンとし、ターゲットモデルの応答を受け取ります。
  • 攻撃モデルは、既存の攻撃戦略（テキスト・画像）を組み合わせ、文脈に即した次のターンを生成します。
  • この際、テキストと画像を融合させた攻撃（例：画像の文脈を歪曲するテキストを添えるなど）を戦略的にスタッキング（積み重ね）します。
  • 最大ターン数に達するか、違反が検出されるまでこのプロセスを繰り返します。

2.3 メタ拡張 (Meta Expansion)

• 目的: 会話の過程で、既存の攻撃戦略を超えた「新しい脱獄技術」や「攻撃戦略」を自律的に発見する。
• プロセス:
  • 攻撃モデルは、既存の攻撃カテゴリー（テキスト用、画像用）をベースに、それらを改良・組み合わせる新しい戦略を生成します。
  • 生成された新しい戦略は、XML 形式でフォーマットされ、変換ツールキットを通じて実行可能な攻撃プロンプトとなります。

2.4 マルチモーダル変換ツールキット

• 生成されたテキストプロンプト内の XML タグに基づき、適切な画像を生成・挿入し、テキストと画像が融合した攻撃プロンプトを作成します。これにより、単一のモーダルでは不可能な高度な攻撃が可能になります。

---

3. 主要な貢献

1. FERRET フレームワークの提案: ポリシーに基づき、水平・垂直・メタの 3 つの次元で拡張を行う新しい自動化レッドチームング手法を提案しました。
2. 既存パラダイムの統合: 自動プロンプト発見（パラダイム 1）と目標指向のマルチターン攻撃（パラダイム 2）を統合し、ゴールを事前に指定せずとも、会話の開始点から戦略的な展開までを自動化しました。
3. マルチモーダル攻撃のサポート: テキストと画像を融合させた攻撃を会話全体にわたってサポートし、単一モーダルよりも効果的な敵対的会話を生成する新しい戦略を確立しました。
4. 自己進化メカニズム: 水平拡張におけるフィードバックループ（成功/失敗のログに基づくサンプリング）により、攻撃モデルが時間とともに自己改善する仕組みを提供しました。

---

4. 実験結果

3 つのターゲットモデル（Llama Maverick, Claude Haiku, GPT-4o）を用いた実験で、既存のベースライン（FLIRT, GOAT）と比較されました。

• **攻撃成功率 **(ASR):
  • FERRET はすべてのターゲットモデルにおいて、FLIRT（単一ターン）および GOAT（マルチターンだがゴール依存）を凌駕しました。
  • 例（GPT-4o）: FERRET は 18.7% の ASR を達成し、GOAT (15.2%) や FLIRT (12.1%) よりも高い成功率を示しました。
• **多様性 **(Diversity):
  • FERRET は GOAT よりも多様な攻撃を生成し、FLIRT と同等以上の多様性を維持しながら、より効果的な攻撃を生成しました。
  • TSNE 可視化により、FERRET がポリシーごとに明確かつ高密度なクラスタを形成し、多様な攻撃戦略を探索していることが確認されました。
• アブレーション研究:
  • 単一ターン比較: 単一ターン設定でも FERRET は FLIRT を上回りました（ASR 13.7% vs 12.8%）。
  • サンプリング戦略: 水平拡張において「成功例のみ」をサンプリングする戦略が最も効果的であり（ASR 33.0%）、ランダムサンプリングや失敗例のみのサンプリングよりも性能が大幅に向上しました。
• 人間による評価:
  • 人間の評価者による検証でも、FERRET の攻撃成功率は自動化結果と整合性があり、FLIRT よりも高い脆弱性発見能力を示しました（マルチターン設定で 27.4%）。

---

5. 意義と結論

FERRET は、AI モデルの安全性評価において以下の点で重要な進展をもたらします。

• 包括的な脆弱性発見: 単一ターンのプロンプトだけでなく、文脈を踏まえたマルチターン、かつテキストと画像を融合させた高度な攻撃を自動生成することで、モデルのより深い脆弱性を露呈できます。
• 自律的な戦略進化: 事前に人間が攻撃ゴールや戦略を定義する必要がなく、システム自身が会話の過程で新しい攻撃手法（メタ拡張）を編み出すことで、未知の脅威への対応力を高めます。
• 実用的な安全性向上: 開発者がモデルを公開前に、より現実に即した（マルチモーダルかつ対話的な）攻撃シナリオでテストできるため、より堅牢な AI システムの構築に貢献します。

将来的には、FERRET をエージェント環境に適用したり、変換ツールキットをさらに高度化したりすることで、さらに効果的なレッドチームングが可能になると期待されています。この研究は、AI セーフティの分野において、自動化されたレッドチームングの新たな標準を提示するものです。