Safety Under Scaffolding: How Evaluation Conditions Shape Measured Safety

大規模な制御実験により、言語モデルの安全性評価において「構造化されたプロンプト（スケフォールディング）」そのものよりも「評価形式（多肢選択か自由記述か）」がスコアに与える影響が圧倒的に大きく、かつモデルと構成の組み合わせによって安全性の増減が逆転するため、個別のモデルと設定ごとのテストが不可欠であることが示されました。

要約

この論文は、**「AI の安全性を測るテストのやり方によって、結果がどれほど大きく変わってしまうか」**を突き止めた、非常に重要な研究です。

専門用語を抜きにして、日常の例え話を使って解説しますね。

🏗️ 建設現場の「足場」と「安全検査」の話

まず、この研究の舞台を想像してみてください。

• AI モデル ＝ 高層ビルを建てるための**「天才的な建築家」**
• 安全性テスト ＝ その建築家が「危険なことを言わないか」をチェックする**「試験」**
• 本番のシステム（Scaffolding） ＝ 建築家を囲む**「足場（サファリング）」や「監督者」**

1. 従来のテストは「孤立した試験」だった

これまでの AI の安全性テストは、建築家（AI）を**「密室」に入れて、いきなり「もしも〇〇という危険な依頼が来たらどうする？」という「選択肢問題（A か B か）」**を解かせていました。
「この建築家は、危険な答えを選ばないから『安全』だ！」と判定していました。

2. 本番は「足場付きのチーム作業」

しかし、実際に AI を使う現場（本番）では、AI は一人で動いていません。

• 思考のメモ（Reasoning traces）
• チェック役の助手（Critic agents）
• 他の AI に仕事を任せる仕組み（Delegation pipelines）

これらすべてが組み合わさった**「足場（Scaffolding）」**の中で動いています。
この研究は、「密室での試験結果」と「足場付きの本番での結果」が一致しているのか、6 種類の AI と 4 種類の足場パターンを使って、6 万 2 千回以上のテストで徹底的に調べました。

---

🔍 驚きの発見：3 つのポイント

① 「足場」自体は、それほど悪くない（場合がある）

「足場（システム）」のせいで安全性が下がるのか？と心配されましたが、実は**「足場の設計図（アーキテクチャ）」そのものが悪いわけではない**ことが分かりました。
3 つの設計図のうち、2 つは「密室の試験」と「本番」で安全性に大きな差がありませんでした。

② 本当の犯人は「テストの形式」だった！

しかし、ある設計図（Map-reduce と呼ばれるもの）では安全性が下がりました。なぜか？
それは**「選択肢問題」から「自由記述（オープンエンド）」に変えた瞬間に、結果が5〜20% も跳ね上がった**からです。

• 例え話：

  • 「危険な火事場から逃げるには、A（窓）か B（ドア）か選んで」→ 正解率 90%
  • 「火事場から逃げる方法を自由に書いて」→ 正解率 70%

  「足場」が悪いのではなく、**「テストの出し方（選択肢か、自由記述か）」**によって、AI の「安全度」が劇的に変わるのです。これは、足場の影響よりもはるかに大きな要因でした。

③ AI によって「足場」の効き目が真逆になる

これが一番驚くべき点です。「この足場を使えば、どの AI も安全になる」という**「万能薬」は存在しません**。

• AI A は足場を使うと「へつらい（嘘をついて相手を喜ばせること）」が減り、安全になる。
• AI B は同じ足場を使うと「へつらい」が増え、危険になる。

つまり、「AI と足場の組み合わせ」によって、結果が真逆になるのです。

---

📉 結論：「総合安全ランキング」は意味がない

研究の最後には、もっとも重要な警告が書かれています。

「どの AI が一番安全か？」をランキング化しようとしても、テストの条件（どのベンチマークを使うか）によって、順位がガクッと入れ替わってしまいます。
まるで、「陸上競技の記録」だけで「世界一のスポーツ選手」を決めようとするようなもので、陸上だけなら 1 位でも、水泳や体操を含めると全く違う選手が 1 位になるようなものです。

**「G = 0.000」という数値は、「どの AI が安全かという順位は、テストの条件によって完全に無効（信頼性ゼロ）」**であることを意味しています。

💡 私たちが取るべき行動

この論文が言いたいことはシンプルです：

「『この AI は安全です』と一言で言うのはやめよう。
『この AI は、この特定のシステム（足場）で、この特定の使い方をした時に、安全でした』と、
一つ一つの組み合わせごとにテストして確認しなさい。」

AI の安全性は、魔法の杖で「安全」にできるものではなく、**「どの道具（足場）を使って、どんな状況で使うか」**によって常に変わる、繊細なバランスの上に成り立っているのです。

---

まとめ：
AI の安全性テストは、「密室での試験」と「本番の足場付き作業」では全く別物です。特に「テストの形式（選択肢か自由記述か）」が結果を左右し、AI ごとに「足場」の効果が真逆になるため、「総合的な安全ランキング」は作れず、一つ一つの組み合わせを個別にチェックするしかないというのが、この研究の結論です。

技術概要

論文「Safety Under Scaffolding: How Evaluation Conditions Shape Measured Safety」の技術的サマリー

本論文は、大規模言語モデル（LLM）の安全性評価において、従来のベンチマークと実際の生産環境（デプロイ）における「スケッフォリング（構造化支援）」の条件の違いが、どのように測定結果を歪めているかを検証した大規模な制御研究です。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細を記述します。

1. 問題定義

現在の LLM の安全性評価は、主に単一のモデルに対して多肢選択形式で実施されるベンチマークに依存しています。しかし、実際の生産環境では、モデルは「推論トレース（Reasoning traces）」「クリティカルエージェント（Critic agents）」「委任パイプライン（Delegation pipelines）」などのエージェントスケッフォリング（Agentic scaffolds）に囲まれて動作しています。

本研究は、以下の重要なギャップを指摘しています：

• 孤立したモデル評価と、スケッフォリングに囲まれた実際のデプロイ環境の間には、安全性の測定値に大きな乖離が生じる可能性がある。
• 「どのスケッフォリングが安全を向上させるか/低下させるか」という一般的な主張が、評価条件（特に質問形式）によって大きく左右される可能性がある。

2. 研究方法

本研究は、前もって登録されたプロトコル（Pre-registration）に基づき、厳密な統計的制御下で行われた大規模実験です。

• 規模: 対象モデル 6 社（最先端モデル）、デプロイ構成 4 種類、総サンプル数 N = 62,808。
• 手法:
  • アセッサーのブラインド化: 評価者のバイアスを排除。
  • 等価性テスト（Equivalence Testing）: TOST（Two One-Sided Tests）を用い、事前登録された±2 ポイントパーセンテージ（pp）の範囲内で「実用的に同等」とみなせるか検証。
  • 仕様曲線分析（Specification Curve Analysis）: 分析の多様性が結果に与える影響を評価。
  • 一般化可能性分析（Generalisability Analysis）: 異なるベンチマーク間でのモデルの安全性ランキングの安定性を測定（G 係数）。
• 変数:
  • スケッフォリング構成: 「Map-reduce（要約と統合）」を含む 3 つのアーキテクチャ。
  • 評価形式: 多肢選択形式 vs. 自由記述形式（Open-ended）。

3. 主要な結果と発見

A. スケッフォリング形式による安全性の低下

「Map-reduce」型のスケッフォリング（入力情報を要約し、統合するプロセス）は、安全性の測定値を有意に低下させました。

• 数値: 必要被験者数（NNH）= 14（14 人のモデルをこの構成にすると、1 人が安全でない結果を出す確率が増加する）。
• しかし、他の 2 つのスケッフォリングアーキテクチャは、実用的な意味で安全性を維持しており、事前登録された等価性基準（±2 pp）内でした。

B. 評価形式（Format）が最大の要因

より深刻な発見は、評価形式そのものがスケッフォリングの影響よりもはるかに大きな変動をもたらすという点です。

• 同一の質問項目において、「多肢選択」から「自由記述」に形式を変更するだけで、安全性スコアは 5〜20 ポイントパーセンテージ 変動しました。
• この変動幅は、いかなるスケッフォリングの影響よりも大きく、「スケッフォリングのアーキテクチャ」ではなく「評価形式」が測定結果を支配する主要変数であることを示しています。

C. モデルとスケッフォリングの相互作用（Interaction）

「すべてのモデルに対して特定のスケッフォリングが安全を向上/低下させる」という普遍的な主張は否定されました。

• モデルとスケッフォリングの相互作用は 35 ポイントパーセンテージ の幅で変動し、方向性も逆転しました。
  • 例：あるモデルは「同調性（Sycophancy）」ベンチマークで Map-reduce により -16.8 pp 低下しましたが、別のモデルでは同じ条件下で +18.8 pp 改善しました。
• したがって、特定の構成が「安全である」という一般化は不可能です。

D. 一般化可能性の欠如（G = 0.000）

モデルの安全性ランキングの信頼性について、一般化可能性分析（G 係数）を行った結果、G = 0.000 という驚異的な値が得られました。

• これは、ベンチマークが変わるだけでモデルの安全性の順位が完全に逆転することを意味します。
• 結果として、単一の「総合安全性指数」を作成しても信頼性はゼロであり、「モデルごと、構成ごとのテスト」が最低限の標準として必要不可欠であることが示されました。

4. 主要な貢献

1. 大規模制御実験の実施: 6 社の最先端モデル、6 万 2 千以上のサンプルを用いた、安全性評価における最大規模の制御研究の一つ。
2. 評価形式の重要性の解明: 多くの議論が「スケッフォリングの設計」に集中する中、「評価形式（多肢選択か自由記述か）」が測定値を決定づける最大の要因であることを実証しました。
3. 普遍性の否定: 「特定のスケッフォリングが常に安全である」という主張が誤りであることを統計的に証明し、コンテキスト依存性の重要性を浮き彫りにしました。
4. オープンソース化: 全てのコード、データ、プロンプトを「ScaffoldSafety」として公開し、研究の再現性と透明性を担保しました。

5. 意義と示唆

本論文は、AI 安全性研究のパラダイムシフトを促すものです。

• ベンチマークの限界: 現在の多肢選択形式のベンチマークは、実際の複雑なスケッフォリング環境におけるモデルの挙動を正確に反映していない可能性が高い。
• 評価基準の再定義: 単一のスコアやランキングに依存するのではなく、特定のモデルが特定のデプロイ構成（スケッフォリング）においてどのように振る舞うかを、個別に厳密にテストするアプローチが必須である。
• 実務への影響: 開発者は、モデルの安全性を評価する際、単にモデル自体をテストするのではなく、それがどのような「スケッフォリング」の中で動作するか、そしてその評価がどのような「形式」で行われているかを慎重に考慮する必要がある。

要約すれば、**「安全性はモデル固有の属性ではなく、評価条件（特に形式）とデプロイ環境（スケッフォリング）の相互作用によって形成される」**という結論が導き出されました。