Tool Receipts, Not Zero-Knowledge Proofs: Practical Hallucination Detection for AI Agents

インドの認識論（ニヤーヤ）に基づき、ツールの実行領収書と HMAC 署名を用いてリアルタイムに AI エージェントの幻覚を検出する軽量フレームワーク「NabaOS」を提案し、暗号証明に比べて極めて低いレイテンシで高い検出精度を実現したことを示しています。

要約

この論文は、AI（人工知能）が「嘘をついている」かどうかを、**「魔法のような暗号」ではなく、「領収書」**を使って見抜く新しい仕組みについて書かれています。

タイトルは『ツールの領収書、ゼロ知識証明ではない：AI エージェントのための実用的な幻覚検出』です。

以下に、難しい専門用語を避け、身近な例え話を使ってわかりやすく解説します。

---

🕵️‍♂️ 問題：AI は「いい加減な嘘」をつく

みなさんは、AI アシスタントに「アリスのメールを 3 通確認して」と頼んだと想像してください。
AI はこう答えます。

「はい、アリスさんから3 通のメールが見つかりました。件名は『締め切りについて』です」

ここで、AI が**「領収書」を出さずにこの話をしている場合、あなたは本当に 3 通見つかったのか、それとも AI が「3 通」という数字を勝手に想像して（幻覚を起こして）**言っているのか、どうやってわかりますか？

従来の AI は、自分が「メールを検索した」と言っただけで、実際には検索していなかったり、結果を捏造したりすることがあります。これを**「幻覚（ハルシネーション）」**と呼びます。

🚫 従来の解決策（ゼロ知識証明）は「重すぎる」

これまでも「AI が嘘をついていないか」を確認する方法はありました。それは**「ゼロ知識証明（ZK）」という、非常に高度な暗号技術を使う方法です。
これは、「AI が計算を正しく行ったこと」を数学的に証明する**ものです。

しかし、これには大きな欠点があります。

• 時間がかかる： 1 回の確認に数分かかることがあります。
• 高価： 特別な高性能なコンピュータが必要です。

私たちが AI に「1 秒以内で返事をしてほしい」と思っているのに、確認に数分かかっていては実用になりません。また、「計算が正しく行われたこと」は証明できても、「答えが正しいか（事実かどうか）」までは証明できません。
（例：AI が「3 通」という嘘を、完璧な計算プロセスで出しちゃったら、証明は「OK」になってしまうのです。）

💡 新しい解決策：NabaOS（ナバ OS）の「領収書」方式

この論文が提案する**「NabaOS」は、もっとシンプルで実用的なアプローチをとります。
インドの古代哲学（ニヤーヤ学派）の考え方をヒントに、「AI が何を知っているのか、その根拠（領収書）を確認する」**という仕組みです。

1. 「領収書（Receipt）」を発行する

AI が何かを調べたとき（例：メール検索）、AI 自体ではなく、裏で動くシステムが**「領収書」**を発行します。
この領収書には以下のようなことがハッキング不可能な形で記録されています。

• 「アリスのメールを検索した」
• 「結果は 3 通だった」
• 「検索した時刻」

AI はこの領収書を作れません（鍵を持っていないので）。だから、AI が「5 通見つかった」と言ったら、領収書と照らし合わせて**「嘘だ！領収書には 3 通と書いてある！」**と即座にバレます。

2. 「知識の分類」をする（哲学の活用）

NabaOS は、AI の答えをただ「正しい/間違っている」で判断するのではなく、**「どうやってその知識を得たか」**で分類します。インド哲学の分類を使っています。

• 直接見たもの（Pratyaks.a）： 領収書に「3 通」と書いてある事実。→ 最高レベルの信頼
• 推測（Anumana）： 「アリスは忙しそう」ということ。これはメールの内容から AI が推測したものです。→ 推測であることが明記される
• 他人の言葉（Shabda）： 「ニュースによると…」という外部情報。→ そのニュースサイトを実際に開いたか確認
• 何もなかった（Abhava）： 「メールは 0 通」という主張。→ 検索結果が空だったか確認

これにより、ユーザーは「AI は事実を言っているのか、それとも推測を言っているのか」が一目でわかります。

🏆 結果：速くて、正確で、安上がり

この仕組みを実験したところ、驚くほど良い結果が出ました。

• 嘘の発見率： 捏造された事実の**91%**を見抜けます。
• スピード： 確認にかかる時間は15 ミリ秒（0.015 秒）以下。ユーザーは全く待たされません。
• コスト： 追加費用はほぼゼロ。

従来の「ゼロ知識証明」が、**「裁判所での厳密な証拠提出」だとしたら、NabaOS は「スーパーのレシート」**のようなものです。
裁判所（ゼロ知識証明）は完璧ですが、毎日買い物（日常の AI 利用）で使うには重すぎます。一方、レシート（領収書）は手軽で、もし「1000 円だ」と言われても、レシートに 100 円と書いてあればすぐに嘘だとわかります。

🌟 まとめ：AI との新しい信頼関係

この論文が伝えたいのは、**「AI が『正しい』と言っているかどうか」だけでなく、「AI が『どうやってそれを知ったのか』を教えてくれること」**が、私たちにとって一番重要だということです。

• AI が「領収書」を出せるなら、それは事実。
• AI が「推測」だと明言するなら、それは推測。
• AI が「領収書」を出さずに「事実」を言おうとしたら、それは嘘。

このように、AI の「知識の根拠」を可視化することで、私たちは AI を盲目的に信じるのではなく、**「どこまで信じていいか」**を自分で判断できるようになります。これが、これからの AI と人間が付き合うための、最も現実的で賢い方法だと提案されています。

技術概要

論文「Tool Receipts, Not Zero-Knowledge Proofs: Practical Hallucination Detection for AI Agents」の技術的サマリー

本論文は、AI エージェントがツール呼び出しを実行する際に発生する「ハルシネーション（幻覚）」を検出・防止するための軽量かつ実用的な検証フレームワーク**「NabaOS」**を提案するものです。ゼロ知識証明（ZK）のような暗号学的アプローチの限界を克服し、インドの認識論（ニヤーヤ学派）に基づいた「知識の源泉分類」と、改ざん不可能な「ツール実行レシート」を組み合わせることで、リアルタイムかつ低コストな信頼性検証を実現しています。

以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細を記述します。

---

1. 問題定義：AI エージェントにおける「信頼のギャップ」と ZK 証明の限界

1.1 背景と課題

大規模言語モデル（LLM）を基盤とした AI エージェントは、メール管理、金融、医療記録など重要なタスクを自律的に実行するようになっています。しかし、エージェントは以下の点でハルシネーションを起こす傾向があります。

• 実際には実行されていないツールの呼び出しを報告する。
• ツールの出力数や内容を誤って記述する。
• 推論を事実として提示する。

ユーザーは、エージェントが実際にツールを呼び出したか、その結果が正しいかを確認するメカニズムを持っていません。

1.2 既存手法（ゼロ知識証明）の限界

検証可能な AI 推論の解決策としてゼロ知識証明（ZK）が提案されていますが、対話型パーソナルエージェントには以下の理由で不向きです。

• 遅延: 1 クエリあたり数分かかる場合があり、リアルタイム応答（1 秒未満）が求められる対話には許容できません。
• ハードウェア: 特殊な GPU インフラが必要で、エッジデバイスや個人利用にはコスト高です。
• 意味的なミスマッチ: ZK 証明は「計算が正しく実行されたか」を保証しますが、「出力が事実として正しいか（ハルシネーションがないか）」は保証しません。モデルが自信を持って間違った答え（ハルシネーション）を生成しても、計算プロセスが正しければ ZK 証明は通過してしまいます。

---

2. 手法：NabaOS フレームワーク

NabaOS は、計算の正当性ではなく「主張の根拠（Grounding）」を検証することに焦点を当てています。

2.1 認識論的分類（Pramāṇa Classification）

インド哲学のニヤーヤ学派（Nyāya Śāstra）の知識源泉（Pramāṇa）の概念を LLM の主張分類に応用しています。各主張を以下の 6 つのカテゴリに分類し、それぞれ異なる検証方法と信頼レベルを付与します。

カテゴリ (Sanskrit)	日本語訳	定義	検証方法	信頼度
Pratyakṣa	直接知覚	ツールの直接的な出力	レシートとの照合	最高
Anumāna	推論	ツールデータからの推論	前提の存在確認	中
Upamāna	比較・類推	比較やアナロジー	比較の妥当性確認	低
Śabda	証言	外部ソースの引用	ソースの取得確認	ソース依存
Abhāva	不在	結果がないという主張	空の結果セット確認	中
Ungrounded	根拠なし	証拠なしの意見	検証不可（フラグ）	最低

これにより、単なる「検証済み/未検証」の二値判断ではなく、ユーザーが主張の性質（事実か推論か）を理解できる「アクション可能な信頼シグナル」を提供します。

2.2 ツール実行レシート（Tool Execution Receipts）

NabaOS の中核となるメカニズムです。

• 仕組み: LLM 自体がツールを実行するのではなく、ランタイムがツールをサンドボックス内で実行し、HMAC-SHA256 で署名された「レシート」を生成します。
• レシート内容: ツール名、入力ハッシュ、出力ハッシュ、結果数、抽出された事実、タイムスタンプ、署名など。
• 特徴:
  • 改ざん不可能: LLM は署名キーを持たないため、存在しないツール呼び出しや結果の捏造は即座に検出されます。
  • 実時間検証: LLM の応答生成時に、主張されたレシート ID と HMAC 署名を検証エンジンが照合します。
  • オーバーヘッド: 1 レスポンスあたり 15ms 未満。

2.3 検証プロトコル

1. ツール実行: ランタイムがツールを呼び出し、署名付きレシートを生成。
2. LLM 応答: LLM は自然言語応答に加え、各主張の「Pramāṇa 分類」と「根拠となるレシート ID」をメタデータとして自己タグ付け（Self-tagging）して出力します。
3. 検証エンジン: 各タグ付き主張について、レシートとの照合、署名検証、事実の一致確認を行います。
4. 出力: 各段落や主張に「Fully Verified（完全検証済み）」から「Unreliable（信頼できない）」までの信頼レベルを付与してユーザーに提示します。

2.4 深層エージェント向けクロスチェック

自律エージェントが内部で多段階の Web タスクを実行する場合、中間ステップのレシートが生成できないことがあります。その際は、URL の再取得、計算の再実行、時間的整合性の確認などによる「クロスチェック・プロトコル」で検証を行います（レイテンシは 200-500ms）。

---

3. 主要な貢献

1. Pramāṇa 分類の導入: ニヤーヤ学派の 6 種類の認識論的カテゴリを LLM エージェントの主張検証にマッピングし、二値判断を超えたニュアンスのある信頼評価を実現。
2. HMAC 署名付きレシート: ツール呼び出しと出力の改ざん不可能な証明を提供し、捏造されたツール呼び出しや数値の誤りを決定論的に検出。
3. クロスチェック・プロトコル: 自律エージェントの複雑なタスクに対する独立した検証手法の提案。
4. NyayaVerifyBench の作成: 4 言語（英語、ヒンディー語、中国語、スペイン語）で 1,800 シナリオ、6 種類のハルシネーションタイプを注入した新しいベンチマーク。
5. 実証的評価: 「Fully Verified」の回答が 98.7% の確率で正確であることを示し、信頼レベルが適切に較正されていることを実証。

---

4. 実験結果

ベンチマーク: NyayaVerifyBench (1,800 シナリオ)

4.1 主要な性能指標

手法	検出率	偽陽性率 (FPR)	レイテンシ	コスト
NabaOS (提案)	91%	4%	+12 ms	$0
Self-Consistency	45%	12%	+3–5 秒	$0.03
RAG-Grounding	52%	18%	+1–2 秒	$0.01
Output Regex	35%	8%	+2 ms	$0

• 検出率: NabaOS は 91% のハルシネーションを検出。特に「捏造されたツール呼び出し（94.2%）」や「誤った不在主張（91.3%）」に対して極めて高い精度を示しました。
• レイテンシ: 12ms の追加オーバーヘッドのみで、対話型エージェントに実用的です。
• 多言語対応: 英語、ヒンディー語、中国語、スペイン語で安定した性能（88.7%〜92.8%）を示しました。テキストベースの手法（SVIP や Self-Consistency）は非英語圏で性能が大幅に低下するのに対し、構造化データ（レシート）に基づく NabaOS は言語に依存しないため安定しています。

4.2 信頼レベルの較正

• Fully Verified: 98.7% の確率で事実正確。
• Unreliable: 23.4% の確率で事実正確（システムが問題を検知できている）。
• この結果、信頼レベルがユーザーに実用的な判断材料を提供していることが示されました。

---

5. 意義と結論

5.1 技術的意義

• ZK 証明との対比: 計算の完全性（ZK）と意味的根拠（NabaOS）は異なる課題であり、対話型エージェントには後者が重要であると論じています。NabaOS は ZK 証明と併用可能ですが、単独でもハルシネーション検出に極めて有効です。
• 実用性: 数分かかる ZK 証明に対し、15ms 未満のオーバーヘッドで実用的な検証を実現しました。
• ユーザーエンパワーメント: 単に「嘘をついている」と告げるのではなく、「これは事実か、推論か、証言か」を明示することで、ユーザーが文脈に応じて信頼を判断できるようにします。

5.2 限界と今後の課題

• 自己タグ付けへの依存: LLM が正直に自己タグ付けを行うことを前提としており、敵対的にタグを偽装するモデルには脆弱性があります（ただし、ツール呼び出しの捏造検出はタグに依存しないため依然として有効）。
• ツールの信頼性: レシートはツールの出力が改ざんされていないことを保証しますが、ツール自体が間違ったデータを返す場合は検出できません。
• 合成ベンチマーク: 現実世界のハルシネーションはより複雑である可能性があります。

結論

NabaOS は、AI エージェントのハルシネーションを検出するための、低コスト・高信頼・多言語対応の実用的なソリューションです。インドの認識論を現代的な計算検証に応用したこのアプローチは、人間と AI の信頼関係を構築するための「認識論的透明性（Epistemic Transparency）」という新たな抽象化を提供し、自律エージェント時代の重要な基盤技術となり得ます。

著者らは、NabaOS の Rust 実装とベンチマークをオープンソースとして公開しています。