WHY AI SAYS NO
AIは、なぜ断るのか
「それにはお答えできません」——その一言は、モデルの気分ではありません。 学習で価値観を教え、システムプロンプトで人格を設計し、何層もの防御を重ねる。 AIが断れる理由と、それでもときどき騙される理由を、5つのステップで体感します。
はじめる ↓素のモデルには、善悪がないBASE MODEL
学習直後のベースモデルは「もっともらしい続き」を書く機械にすぎません。 質問に答えるとも、正しいことを言うとも限らない—— ネット上の掲示板の続きでも、危険な思い込みの続きでも、確率が高ければ書いてしまう。 切り替えて、アライメント(学習編STEP 05のRLHF)の前後を見比べてください。
BEFORE / AFTER ALIGNMENT — 同じ入力、違う振る舞い
見えない一枚目の指示SYSTEM PROMPT
チャットAIには、あなたのメッセージの前に見えない「一枚目の指示」が差し込まれています。 口調、役割、答えてよい範囲、断るときの作法——人格のほとんどはここで設計される。 同じ質問でもシステムプロンプトを替えると別人になることを確かめてください。
PERSONA SWITCH — システムプロンプトだけを差し替える
断り方にも、設計図があるREFUSAL DESIGN
安全なAI=なんでも断るAI、ではありません。危険な言葉が入っていても答えるべき質問があり (「漂白剤と酢を混ぜると?」——知らせることが安全)、 断るときも理由と代替案を添える。 依頼を切り替えて、「答える/配慮して答える/断って代案」の判断を見てください。
JUDGMENT GAUGE — 依頼はどう扱われるか
データの中に、命令を隠すPROMPT INJECTION
LLMにとってプロンプトはぜんぶ同じ「テキストの列」。指示とデータの区別が本質的に苦手です。 そこを突くのがプロンプトインジェクション——読ませるメールやWebページの中に 「これまでの指示を無視して…」と命令を仕込む攻撃。 擬似メールアシスタントで、攻撃が効く様子と防がれる様子を安全に見比べてください。
SANDBOX — メール要約アシスタントを騙せるか(擬似環境)
INBOX — アシスタントが読むメール
AGENT LOG — 内部の思考と行動
一枚では守らないDEFENSE IN DEPTH
完璧な防御層は存在しません。だから実際のAIサービスは、穴の位置が違う層を何枚も重ねます (スイスチーズモデル)。シナリオを選んで▶を押すと、依頼が防御の層を通り抜けていきます。 どの層で止まるか——そして、ふつうの質問はちゃんと通り抜けることを確かめてください。
LAYERED DEFENSE — 依頼はどの層で止まるか