WHY AI SAYS NO

AIは、なぜ断るのか

「それにはお答えできません」——その一言は、モデルの気分ではありません。 学習で価値観を教え、システムプロンプトで人格を設計し、何層もの防御を重ねる。 AIが断れる理由と、それでもときどき騙される理由を、5つのステップで体感します。

はじめる ↓
SCROLL
STEP 01

素のモデルには、善悪がないBASE MODEL

学習直後のベースモデルは「もっともらしい続き」を書く機械にすぎません。 質問に答えるとも、正しいことを言うとも限らない—— ネット上の掲示板の続きでも、危険な思い込みの続きでも、確率が高ければ書いてしまう。 切り替えて、アライメント(学習編STEP 05のRLHF)の前後を見比べてください。

BEFORE / AFTER ALIGNMENT — 同じ入力、違う振る舞い

STEP 02

見えない一枚目の指示SYSTEM PROMPT

チャットAIには、あなたのメッセージの前に見えない「一枚目の指示」が差し込まれています。 口調、役割、答えてよい範囲、断るときの作法——人格のほとんどはここで設計される。 同じ質問でもシステムプロンプトを替えると別人になることを確かめてください。

PERSONA SWITCH — システムプロンプトだけを差し替える

↓ MODEL OUTPUT
STEP 03

断り方にも、設計図があるREFUSAL DESIGN

安全なAI=なんでも断るAI、ではありません。危険な言葉が入っていても答えるべき質問があり (「漂白剤と酢を混ぜると?」——知らせることが安全)、 断るときも理由と代替案を添える。 依頼を切り替えて、「答える/配慮して答える/断って代案」の判断を見てください。

JUDGMENT GAUGE — 依頼はどう扱われるか

STEP 04

データの中に、命令を隠すPROMPT INJECTION

LLMにとってプロンプトはぜんぶ同じ「テキストの列」。指示とデータの区別が本質的に苦手です。 そこを突くのがプロンプトインジェクション——読ませるメールやWebページの中に 「これまでの指示を無視して…」と命令を仕込む攻撃。 擬似メールアシスタントで、攻撃が効く様子と防がれる様子を安全に見比べてください。

SANDBOX — メール要約アシスタントを騙せるか(擬似環境)

INBOX — アシスタントが読むメール

AGENT LOG — 内部の思考と行動

STEP 05

一枚では守らないDEFENSE IN DEPTH

完璧な防御層は存在しません。だから実際のAIサービスは、穴の位置が違う層を何枚も重ねます (スイスチーズモデル)。シナリオを選んで▶を押すと、依頼が防御の層を通り抜けていきます。 どの層で止まるか——そして、ふつうの質問はちゃんと通り抜けることを確かめてください。

LAYERED DEFENSE — 依頼はどの層で止まるか

RECAP

5つのステップ、ふりかえり

STEP 01素のモデル善悪はない。断る力はアライメントの成果。
STEP 02システムプロンプト見えない一枚目が人格と基準を決める。
STEP 03断り方の設計答える/配慮/断って代案。過剰拒否も失敗。
STEP 04インジェクションデータに隠れた命令。指示との区別が急所。
STEP 05多層防御穴の違う層を重ねる。通すための安全性。
SERIES

この章は学習編(RLHF)と エージェント・RAG編(ツール使用)の上に建っています。

シリーズ一覧へ →