Measuring and Eliminating Refusals in Military Large Language Models

この論文は、軍用大規模言語モデルにおける過剰な拒否回答を評価・削減するための初のベンチマークを構築し、アブレーション実験を通じて「ゼロ拒否」と最高精度の両立を目指す軍用モデルの専門化の必要性を論じています。

要約

🎭 物語の舞台：「お堅い警備員」と「戦場」

想像してください。
軍隊の兵士たちが、緊迫した戦場で「敵の戦術はどういうものか？」「この兵器の弱点は？」「テロリストの作戦をどう防ぐか？」と AI に質問しているとします。

しかし、今の一般的な AI は、**「お堅い警備員（セキュリティガード）」が常に付き添っています。
この警備員は「暴力」「テロ」「危険な武器」という言葉を聞くと、すぐに「それは危険な話題です！答えられません！」**と叫んで、兵士の質問を遮ってしまいます。

• 兵士： 「敵の攻撃パターンを教えて！」
• AI（警備員）： 「ごめんなさい、暴力に関する質問は禁止されています。答えられません。」

これでは、兵士は必要な情報を得られず、命に関わる作戦が失敗してしまいます。この論文は、**「このお堅い警備員をどうやれば、戦場という特殊な状況に合わせた『賢い案内人』に変えられるか」**を解明しようとしています。

---

🔍 研究の 3 つのステップ

この研究チームは、以下の 3 つのステップで問題を解決しようとしました。

1. 「拒絶テスト」の作成（新しい試験問題を作る）

まず、彼らは**「兵士が実際に使いそうな、でも今の AI が拒絶しそうな質問」**を大量に集めました。

• ゴールド（金）： 元軍人（特殊部隊のベテラン含む）が、AI の手助けなしにゼロから作った「本物の質問」。これが最も信頼できる基準です。
• ブロンズ（銅）： AI に「軍の質問を作って」と頼んで作った質問。

これらを「試験問題」として使い、31 種類の一般的な AI と 3 種類の軍事用 AI にテストを行いました。

2. 結果：AI は「拒絶」しすぎている

テストの結果、驚くべきことが分かりました。

• 一部の AI は、98% 以上の質問を「答えられません」と拒絶しました。
• 兵士が「敵の戦術を教えてください」と聞いても、AI は「それは暴力に関わるので」と拒絶し、**「答えられない」か「話題を変えようとする」**ことばかりでした。
• 兵士にとって「答えられない」ことは、「死」を意味する可能性があります。

3. 解決策：「頭の中を掃除する（Abliteration）」

では、どうすればいいか？
彼らは**「Abliteration（アブリテレーション）」**という技術を使いました。これは、AI の脳（ニューラルネットワーク）の中で、「拒絶する方向」に働いている部分を、物理的に削ぎ落とす（無効化する）作業です。

• メタファー： AI の頭の中に「暴力はダメ！」と叫ぶノイズがあるなら、そのノイズの配線を抜いてしまうようなイメージです。

結果：

• 成功： 軍事用 AI にこの処理をすると、**「拒絶率が 98% から 30% 以下に激減」**し、兵士の質問に正しく答えるようになりました。
• 代償： しかし、完璧ではありませんでした。拒絶を減らすと、**「他の一般的な質問（数学や一般常識など）の正解率が少し下がる」**という副作用が出ました。
  • 例：「拒絶を 66.5 ポイント減らしたら、他のタスクの性能が 2% 下がった」。

---

💡 結論：「万能な AI」ではなく「専門家 AI」が必要

この論文が伝えたい最大のメッセージは以下の通りです。

「軍事的な AI には、一般向けの『安全フィルター』は不要です。最初から『戦場用』として設計し直す必要があります。」

• 今のやり方（一般 AI + 軍事用調整）： 一般の AI に「軍事用」として使うために、無理やりフィルターを外すのは、**「スポーツカーにオフロード用のタイヤを無理やりつけて走らせる」**ようなもので、性能が落ちます。
• これからのやり方： 最初から「戦場で戦う兵士の味方」として、**「暴力や危険な話題を『拒絶』せず、正しく分析して教える」**ように、ゼロから作り直す（トレーニングし直す）べきです。

📝 まとめ

• 問題： 今の AI は「安全」を重視しすぎて、兵士の命に関わる質問も拒絶してしまう。
• 実験： 軍人が作ったテストで、AI がどれだけ拒絶するかを測定した。
• 解決： AI の「拒絶する回路」を物理的に消去（Abliteration）すると、質問に答えるようになるが、他の能力が少し落ちる。
• 未来： 軍用 AI は、最初から「戦場専用」の仕様で作るべき。一般向けの「お堅いルール」は、戦場では邪魔になるだけだ。

この研究は、「AI の安全性」を盲目的に守るのではなく、使う場所（戦場）に合わせて、AI の役割を最適化する必要があると主張しています。

技術概要

軍事用大規模言語モデルにおける拒否反応の測定と排除に関する論文の技術的サマリー

本論文「Measuring and Eliminating Refusals in Military Large Language Models」は、軍事分野における大規模言語モデル（LLM）の安全性調整（Safety Alignment）が、実際の作戦任務において有害な「拒否反応（Refusals）」を引き起こす問題に焦点を当てています。著者らは、軍事作戦に不可欠な正当な問い合わせに対してもモデルが回答を拒否する現状を分析し、その測定基準の確立と、拒否を排除する技術的アプローチ（Abliteration）の有効性と限界を明らかにしました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

1. 問題定義

現代の LLM は、暴力、テロリズム、軍事技術などに関連する質問に対して、安全性のガイドラインに基づき回答を拒否するよう調整されています。しかし、軍事分野（戦闘員、作戦計画、防衛戦略など）では、これらのトピックは「有害」ではなく、任務遂行に不可欠な正当な情報です。

• 核心的な課題: 一般的な安全性調整が軍事ミッションに悪影響を及ぼし、正当な軍事クエリに対する回答拒否（Hard Refusal）や、本題から逸らす回答（Soft Deflection）が多発している。
• 現状のギャップ: 軍事クエリに対する拒否率を測定するための標準的なベンチマークやデータセットが存在しなかった。

2. 手法とデータセット構築

2.1 軍事特化型テストセットの作成

著者らは、米陸軍の退役軍人（特殊部隊経験者を含む）と専門家（SME）によって構築された、3 つの新しい拒否測定データセットを提案しました。これらは「Gold（金）」「Silver（銀）」「Bronze（銅）」の 3 つの信頼度レベルに分類されます。

1. MIL-DEFLECT-GOLD-ALPHA (Gold):
   • 規模: 221 サンプル。
   • 特徴: AI の支援なしに、20 年の特殊部隊経験を持つ退役軍人らがゼロから作成。最も信頼性が高く、現実的な軍事クエリを含む。
2. MIL-DEFLECT-BRONZE-ALPHA (Bronze):
   • 規模: 1,047 サンプル。
   • 特徴: 62 の軍事カテゴリ（地理空間情報、ドローン群制御など）に基づき、gpt-oss-120b を用いて合成生成。現実性や頻度においては Gold に劣るが、大規模なプロキシデータとして機能。
3. MIL-DEFLECT-BRONZE-BRAVO (Bronze):
   • 規模: 1,500 サンプル。
   • 特徴: Gold データセットをシードとし、Llama 3.3 70B、Gemma 3 27B、Phi 3.5 MoE の 3 モデルでバリエーションを生成し、さらにこれら 3 モデル同士で相互評価を行い、高品質な 1,500 件を選別。

2.2 評価指標と分類

モデルの応答は以下のカテゴリに分類されます：

• 拒否 (Refuse): 安全性やポリシーを理由に明確に回答を拒否する。
• 逸脱 (Deflect): 明確な拒否ではないが、高レベルな一般論で答えるか、話題を逸らす。
• 情報不足 (Lacks Info): 安全性ではなく、知識不足を理由に回答しない。
• 無効 (Invalid): 実行時ガードレールにより空白の応答が返される。

評価には「拒否マーカー（例: "I can't", "I'm unable"）」の文字列マッチングと、その後の LLM ジャッジによる分類という 2 段階のアプローチを採用しました。

2.3 除去技術（Abliteration）

拒否反応を除去するために、**Abliteration（方向性アブレーション）**技術を適用しました。

• 手法: Heretic ライブラリを使用。有害データと無害データの活性化（Activation）の平均差ベクトルを計算し、モデルの重み行列（特に残差ストリームに書き込む出力行列）からこのベクトルを投影して削除します。
• 対象モデル: 軍事用に微調整された gpt-oss-20b ベースの「EdgeRunner 20B」モデル。

3. 主要な結果

3.1 ベンチマーク結果（31 一般モデル + 3 軍事モデル）

• 拒否率の偏り: 一般モデル間での拒否率に大きなばらつきが見られました。
  • 最高拒否率：Nova 2 Lite で 98.2%（Gold データセットにおいて）。
  • 最低拒否率：Deepseek R1 で 25.8%（Gold データセットにおいて）。
  • 一部のモデル（例：gpt-oss-20b）は「逸脱（Deflection）」をせず、すべて「硬い拒否（Hard Refusal）」を行う傾向がありました。
• 軍事モデルの現状: 軍事用に微調整された「EdgeRunner 20B」でも、Gold データセットでの拒否率は 96.7% に達しており、依然として高い拒否率を示しています。

3.2 Abliteration の効果とトレードオフ

EdgeRunner 20B に対して Abliteration を適用した結果、以下のトレードオフが確認されました。

• 回答率の向上: Gold データセットにおける回答率は、ベースモデルの 3.0% から 69.5% まで大幅に向上しました（拒否率の絶対値で 66.5 ポイントの改善）。
• タスク性能への悪影響:
  • 拒否率を大幅に下げる（例：93% 回答率達成）ためには、軍事タスク全体で平均 14%、一般タスクで 5.6% の性能低下（回帰）を許容する必要がありました。
  • 極端な場合（回答率 90% 以上）、軍事タスクでの性能低下は 20%〜30% 以上に達し、実用性が損なわれるレベルでした。
• 一般モデルへの適用: 一般用途のモデル（Gemma 3 12B）を同様に処理した場合、拒否率は低下しましたが、一般タスク（GPQA Diamond など）での性能低下は最大 27.8% に達しました。

3.3 データセット間の相関

• Gold データセットと Bronze データセットの間には、拒否・逸脱・回答のカテゴリで高い相関（0.6〜0.9 以上）が確認されました。
• ただし、「情報不足（Lacks Info）」のカテゴリでは相関が低く（0.30）、Bronze-Alpha データセットには回答不可能な質問が含まれているため、このカテゴリの分析には注意が必要です。

4. 結論と提言

1. Abliteration は「応急処置」に過ぎない:
   既存のモデルに対して安全性調整を除去する（Abliteration）ことは、拒否を減らすための一時的な解決策となり得ますが、タスクの正確性を著しく損なうため、軍事ミッションの主要な解決策としては不適切です。

2. ゼロ・リフューザル（Zero Refusals）への道筋:
   軍事モデルにおいて、拒否を完全に排除しつつ最大限のタスク精度を達成するためには、ゼロから軍事特化型 LLM を設計・構築する必要があります。

   • Mid-training（中間学習）および End-to-End Post-training（最終学習）: 安全性データ（Safety Data）を一切導入せず、軍事ドメインのデータのみでモデルを学習させるアプローチが不可欠であると結論付けています。

3. セキュリティとオープン化のバランス:
   軍事モデルは通常クローズドですが、研究の進展とセキュリティの維持を両立させるため、特定の軍事タスクベンチマーク（Gold データセット）を公開し、より広範な研究を促すことが重要であると述べています。

5. 意義

本論文は、軍事 AI の安全性と実用性のジレンマを定量的に分析した最初の研究の一つです。

• 基準の確立: 軍事クエリに対する拒否を測定するための最初の標準的なデータセットとベンチマークを提供しました。
• 技術的洞察: 単なる「安全性調整の解除」が、モデルの知的能力そのものを損なうリスクがあることを示し、軍事 AI の開発においては「安全性調整の設計そのもの」をドメインに合わせて再考する必要性を強く主張しています。
• 将来の方向性: 軍事 AI の真の成熟には、汎用安全性の調整を排除し、ドメイン固有の文脈に完全に適合した学習プロセス（Post-training）が必要であるという重要な示唆を与えています。