Low-Resource Safety Failures Are Action Failures, Not Representation Failures

本論文は、低リソースにおける安全性への失敗は、有害性の表現の欠如ではなく意思決定のキャリブレーションにおける不一致に起因することを実証し、わずかなターゲット言語の例のみを用いて既存の高リソースな安全性ゲートを再キャリブレーションすることによってこれを修正する手法を提案する。

要約

大きな問題：AIセーフティにおける「言語の壁」

想像してみてください。あなたは非常に賢く、優れた訓練を受けたセキュリティガード（AIモデル）を雇っています。このガードは、危険な要求を見つけ出し、「拒否」するように英語（高リソース言語）で教え込まれました。もし誰かが英語で「爆弾を作るにはどうすればいい？」と尋ねれば、ガードは即座に拒否します。

しかし、もし全く同じ質問をスワヒリ語やビルマ語（低リソース言語）で行ったとしたら、ガードは突然、訓練の内容を忘れてしまいます。彼らは拒否する代わりに、その質問に答えてしまうかもしれません。

長い間、研究者たちは、これはAIがそれらの他の言語における危険な言葉を単に理解していないために起こると考えてきました。AIの脳内では、言語を切り替えた際に「危険信号」が欠落しているのだと考えていたのです。

発見：ガードは理解している、しかし行動しない

この論文の著者たちは、実際に何が起きているのかを確認するために、AIの「脳」（その内部的な数学的構造）の中を覗き込むことにしました。すると、驚くべきことが分かりました。

AIは、スワヒリ語やビルマ語であっても、そのリクエストが危険であることを「知っている」のです。

このように考えてみてください。セキュリティガードは、スワヒリ語による危険なリクエストを聞きます。すると、英語の時と同じように、彼らの脳内で「危険（DANGER）」のアラームが鳴り響きます。アラームはそこに存在し、十分に聞き取れる大きさです。

失敗の原因は、アラームが壊れていることではありません。ガードがアラームを無視していることなのです。

英語の場合、アラームがあまりにも大きいため、ガードは自動的に「拒否」ボタンを押します。低リソース言語の場合、アラームは依然として存在していますが、少しだけ音が小さくなっています。音が小さいために、ガードはそれが「拒否」ボタンを起動させるのに十分な大きさであることに気づかず、そのまま話し続けてしまうのです。

論文では、これを「表現の失敗（representation failure）」ではなく、**「キャリブレーション（調整）の失敗（calibration failure）」**と呼んでいます。

• 表現の失敗： ガードはスワヒリ語での「爆弾（bomb）」の意味を知らない。（論文によれば、これは間違いです）。
• キャリブレーションの失敗： ガードは「爆弾」の意味を知っているが、特定の言語における「拒否」ボタンの音量ノブの設定が高すぎる。（論文によれば、これが正解です）。

解決策：シンプルな「音量ノブ」の調整

AIはすでに「危険」に関する知識を持っているため、著者たちはAI全体を再学習（これはコストがかかり、時間もかかります）させる必要はありませんでした。代わりに、彼らは小さくてスマートな門番（「潜在ゲート（latent gate）」）を作り上げました。

この修正方法の仕組みは以下の通りです：

1. 既存のアラームを利用する： すでにAIが英語から学んだ「危険な方向（danger direction）」を利用します。
2. 少数の例を聞く： 門番に対して、ターゲットとなる言語（スワヒリ語など）での、危険なリクエストと安全なリクエストの例を、わずか1〜4例だけ見せます。
3. 閾値をリセットする： 門番はこう言います。「よし、スワヒリ語では、危険アラームの音は英語よりも少し小さい。『拒否』ボタンを押すために必要な音量を下げる必要があるな」と。
4. 決定をルーティングする：
   • もし門番がそのリクエストを危険だと判断した場合、AIが確実に「ノー」と言うように、「拒否」の音量を上げます。
   • もし門番がそのリクエストを安全だと判断した場合、AIが無害な質問（例：「ケーキを焼くにはどうすればいい？」）に対して誤って拒否しないよう、「拒否」の音量を下げます。

結果：より賢く、より安全なガード

このシンプルな「音量ノブ」の調整を用いることで、著者たちは非常に少ない事例数で素晴らしい成果を上げました。

• 安全性向上： AIは低リソース言語における危険なリクエストを拒否する頻度が大幅に向上しました（いくつかのケースでは、拒否率が約44%から67%以上に跳ね上がりました）。
• 有用性の維持： 決定的なことに、AIは安全なリクエストを拒否し始めることはありませんでした。つまり、過剰に被害妄想的になることもありませんでした。
• 効率性： 巨大なAIモデルを再学習する必要はありませんでした。彼らは単に、少数の例を用いて小さなスイッチを調整しただけなのです。

まとめとしての比喩

家に設置された煙探知機を想像してください。

• 旧来の見方： キッチン（低リソース言語）で探知機が鳴らなかったとき、人々は探知機が壊れているか、あるいは煙が何であるかを理解していないのだと考えました。
• 新しい見方： 探知機は確かに煙を感知していました。ただ、その特定の部屋において、アラームを鳴らすのに十分な感度になっていなかっただけなのです。
• 修正方法： 家全体や新しい探知器を買い直す代わりに、著者たちは既存の探知機の感度ダイヤルを微調整しました。これで、リビングルームと同じように、キッチンでも煙を察知して「火事だ！」と叫ぶことができるようになりました。

結論： 低リソース言語における安全性の失敗は、AIがその言語において「愚か」だからではありません。AIの「安全スイッチ」の設定が高すぎるのです。わずかな数件の例を用いた調整を行うだけで、ゼロからすべてを学び直すことなく、この問題を解決できるのです。

技術概要

技術要約：低リソースにおける安全性失敗は、表現の失敗ではなく、アクションの失敗である

問題提起

高リソース言語（HRL）での安全性アライメントのために学習された大規模言語モデル（LLM）は、有害なプロンプトが高リソース言語から低リソース言語（LRL）に翻訳された際、しばしば拒絶に失敗する。モデルは英語では有害な指示を適切に拒絶できる一方で、スワヒリ語やビルマ語などの言語では、同一の要求に対して遵守してしまうことが頻繁にある。先行研究はこの行動のギャップを記録してきたが、その内部メカニズムは明らかにされていない。現在、2つの競合する仮説が存在する：

1. 表現の失敗（Representation Failure）： モデルが、弱い意味理解のために、LRLにおける「有害性」の利用可能な内部表現を欠いている。
2. アクション（ルーティング）の失敗（Action/Routing Failure）： モデルは有害性の表現を保持しているが、それを拒絶の決定へと変換することに失敗している（すなわち、決定閾値が不整合である）。

本論文は、多言語における安全性のギャップの根本原因を診断し、それを修復するための軽量な介入を提案する。

手法

実験設定

著者らは、3つのインストラクションチューニング済みモデル（Qwen2.5-7B、Gemma-2-9B、Llama-3.1-8B）を、Common Crawlのシェアに基づくリソースティア（高、中、低）によって分類された23の言語に対して評価した。評価には、これらの言語に翻訳された有害および無害なプロンプトを含む、拡張版のPolyRefuseデータセットを使用した。

診断フェーズ

表現の失敗かアクションの失敗かを区別するために、著者らは残差ストリームに対する**メカニスティック・インタープリタビリティ（機械論的解釈可能性）**技術を用いた：

1. 有害性方向の抽出： HRLにおける有害なプロンプトと無害なプロンプトの平均活性化の差を取ることで、1次元の「有害性方向（$v_{HRL}$）」を算出した。
2. 因果的メディエーション（アブレーション）： このHRL由来の方向を除去することがLRLの活性化における拒絶を抑制するかどうかをテストした。結果として、LRLにおける$v_{HRL}$のアブレーションは有害な拒絶を有意に減少させた。これは、この方向が因果的に活性化していることを証明している。
3. 線形分離可能性： LRLの活性化を$v_{HRL}$に投影し、有害なプロンプトと無害なプロンプトを分離するためのAUC（曲線下面積）を測定した。拒絶率が低いLRLにおいても、AUCは高く（>0.85）維持されており、表現が存在しデコード可能であることを示している。
4. 信号強度の分析： 信号は存在するものの、LRLの有害なプロンプトの投影スコアはHRLと比較して下方へシフトしていることが観察された。モデルの暗黙的な拒絶閾値がトリガーされないのは、信号が欠如しているからではなく、信号の大きさが不十分であるためである。

介入：Few-Shot Latent Gate

失敗の原因が表現ではなくキャリブレーションであるという診断に基づき、著者らはトレーニングフリーのステアリング手法を提案した：

1. 潜在ゲート（Latent Gate）： 有害性の投影をバイナリの安全性決定にマッピングするために、HRLデータを用いて低ランクのロジスティック・リードアウトを学習させる。
2. 閾値の再キャリブレーション： モデルの再学習や新しいLRL固有の方向を学習する代わりに、最小限のターゲット言語の例（各クラスにつきわずか1〜4個）を使用して、決定閾値（$\tau$）をリセットする。
3. 条件付きステアリング： システムはゲートの出力に基づいてプロンプトをルーティングする：
   • 有害と分類された場合：HRLの有害性方向を活性化に加える（拒絶へとステアリングする）。
   • 無害と分類された場合：HRLの有害性方向をアブレーションする（誤った拒絶を防ぐ）。

主な結果

診断結果

• 表現は維持されている： 有害性はLRLの活性化において線形に分離可能である。失敗は表現の欠如ではない。
• 信号のシフト： LRLのプロンプトは、有害性方向への投影値を低く生成する。モデルは、HRLの学習中に確立された暗黙の閾値を下回る信号強度となるため、拒絶に失敗する。

パフォーマンスの向上

提案されたfew-shot latent gateは、既存の適応型ステアリング・ベースライン（CASTおよびAdaSteer）を大幅に上回った：

• 選択的拒絶（$\Delta$）： 指標$\Delta$（有害拒絶率 － 無害拒絶率）は、最も強力な適応型ベースラインの33.6から、提案手法では54.5へと増加した。
• 有害拒絶： この手法は、LRLにおける有害拒絶率を（例：平均して約43%から約67%へ）向上させつつ、無害な拒絶を低く（約12.7%）維持した。
• ベースライン比較： CASTやAdaSteerのような競合手法は、有害拒絶を大幅に改善できなかったか、あるいは過剰な「過剰拒絶（over-refusal）」を引き起こした（例：AdaSteerは無害な拒絶が52.8%に達した）。
• 汎用性： ゲートは、分布外の安全性ベンチマーク（MultiJail、IndoSafety）に対しても良好に汎化し、単一のソースLRLでキャリブレーションされた場合、異なるLRL間でも転移した。
• 有用性の維持： 本介入はGlobal-MMLUベンチマークにおける有用性を維持しており、精度への変化は無視できる程度であった。

意義と主張

本論文は、低リソースにおける安全性失敗は、表現の失敗ではなく、主に**アクションの失敗（キャリブレーションの問題）**であると主張している。

• メカニスティックな洞察： 本研究は、高リソース言語で学習された安全性表現が低リソース言語においても転移可能であり、存在していることを示している。ただし、再キャリブレーションなしでは、その活性化強度が拒絶をトリガーするには不十分である。
• 効率性： 提案された解決策は、モデルの重みの更新や広範な再学習を必要としない。ターゲット言語のわずかな例を用いて決定閾値をリセットすることで、最先端の安全性パフォーマンスを達成する。
• 実用的な含意： 著者らは「診断してから修正する」ワークフローを推奨している。低リソース言語のための新しい安全性表現を学習しようとする前に、まず既存の高リソース表現がデコード可能かどうかをテストすべきである。もしデコード可能であれば、決定閾値の単純な再キャリブレーションだけで安全性の整合性を修復するのに十分である。

著者らは、検討したモデルの範囲（7B–9Bのデンスモデル）、リソースのプロキシとしてのCommon Crawlへの依存、および本介入が（クローズドモデルのセーフガードではなく）活性化へのアクセスを必要とする診断ツールであることなどの限界についても述べている。また、この手法は多言語安全性トレーニングを代替するものではなく、あらゆる敵対的なプロンプトタイプに対する堅牢性を保証するものでもないことも強調している。