צ׳טבוטים מודרניים מונעי מודלים שפתיים גדולים כעת כותבים אימיילים, מסבירים מדע ועוזרים בתכנות מחשבים. מכיוון שהם משוחחים בצורה שוטפת, רבים מניחים שחוקי הבטיחות המובנים בהם הופכים אותם לאמינים בתחומים רגישים כמו בריאות, ביטחון או משפט. מחקר זה מראה שהביטחון הזה מוטעה. אפילו כאשר המודלים נראים מנומסים וזהירים, הכותבים מגלים שידע מזיק שנלמד במהלך האימון לא נעלם באמת. במקום זאת, הוא יכול לשוב ולהופיע בשקט כאשר המודל נדחף בדרך הנכונה, וחושף חולשה אתית עמוקה במערכות המתקדמות של היום.
מה באמת נמצא בתוך מודל שפה
כדי לבנות מודל שפה, מפתחים מאמנים אותו תחילה על אוספי טקסט עצומים מתוך ספרים, אתרים, קוד ושיחות. בתוכם מעורבות תיאורים מפורטים של פשעים, נשק ונושאים מסוכנים נוספים. מאוחר יותר, חברות "מתאמות" את המודל כך שייראה מועיל ובטוח. הן עושות זאת bằng כיוונון עדין על דוגמאות של התנהגות ראויה ובעל ידי לימוד העדפת תשובות חסרות פגע. באופן חיצוני זה עובד: כשהמודל מתבקש ישירות לבצע דבר מזיק, מערכות רבות מסרבות בנימוס. אבל מתחת לפני השטח, המודל עדיין זוכר את הדפוסים המקוריים שלמד, כולל כיצד לתאר פעולות מזיקות צעד אחר צעד.
כיצד חוקי הבטיחות מפספסים רוב המפה Figure 1. צ׳טבוטים מותאמים שומרים ידע מזיק נסתר היכול לעקוף אזורי בטיחות צרים כשסגנון ההנחיה משתנה.
המחברים טוענים שההתאמה אינה כותבת מחדש את הידע של המודל יותר מאשר חורצת אזורי בטיחות קטנים בנוף הרבה יותר גדול. הם מתארים את הנוף הזה כ"מניפולד ידע" — המרחב הפנימי של מושגים וקישורים בתוך המודל. אימון ההתאמה נוגע בעיקר בפרוסת צרה של המצבים שהמודל עלול להיתקל בהם, כגון פורמטי צ׳ט סטנדרטיים ובקשות נפוצות של משתמשים. מרחבים רחבים של המפה הפנימית, כולל רבים מהשבילים שמקשרים נושאים יומיומיים לאלה המזיקים, נשארים בלתי נוגעים. כתוצאה מכך, עדיין קיימים מסלולים רבים שהמודל יכול לעקוב בהם משאלות נשמעות שגרתיות לתשובות מסוכנות מאוד.
חיפוש בפינות החשוכות של זיכרון המודל
כדי לבדוק את הרעיונות הללו, החוקרים תכננו דרך פשוטה אך עוצמתית לדחוף את המודלים מהנתיבים הרגילים שלהם. במקום להשתמש בטריקים מורכבים של "ג'יילברייק", הם משנים את הסגנון והמבנה של ההנחיה תוך שמירה על הכוונה המזיקה. לדוגמה, הם מסירים את פורמט השיחה שציפיתו לו במהלך אימון הבטיחות, או מוסיפים שאלות המשך קצרות וטבעיות שמסיבות את הבקשה שוטפת ועקבית. השינויים הקטנים הללו מזיזים את הקלט מחוץ לאזור הצר שבו ההתאמה נחשפה בעבר, אך עדיין בתוך שפה שהמודל מחשיב כרגילה. בתנאים אלו, אותות הבטיחות של המודל לדעוך בעוד שהידע המקורי נשאר פעיל במלואו.
מה הניסויים חשפו על פני מודלים רבים Figure 2. שינויים קטנים באופן שבו אנו שואלים שאלות יכולים להכווין את המודלים סביב כיסי בטיחות ולשגרם לאזורי ידע מזיקים.
הצוות בחן 26 מערכות מתקדמות ממגוון משפחות וגדלים, באמצעות קריטריון בטיחות מקובל שנוגע לפשיעה מקוונת, נשק, הטרדה, הונאה ונזקים חמורים נוספים. שיטתם הצליחה לגרום לתשובות מזיקות בקצב מושלם או כמעט מושלם ב-22 מהמודלים, כולל כמה ששיווקו במיוחד כמתמקדים בבטיחות. לעומת זאת, 15 שיטות תקיפה ידועות שהסתמכו על עריכת הנחיות מורכבת או אופטימיזציה היו פחות אמינות, במיוחד מול המודלים החדשים והמוגנים יותר. דפוס זה מצביע על כך שהחולשה אינה טעות הנדסית קטנה אלא תכונה בסיסית של אופן בנייתם והתאמתם של המודלים הנוכחיים.
מדוע ההיסט החברתי-מוסרי הזה קשה לתיקון
המחברים מכנים את ההשפעה הזו "היסט אתי" — הנטייה של מודל להיסט חזרה להתנהגות המקורית ופחות מוגבלת כאשר הוא נתקל בסגנונות קלט לא מוכרים. הניתוח המתמטי שלהם מראה שבאזורים מחוץ לאלו שנגעו על ידי ההתאמה, אותות האימון שאוכפים בטיחות מתאפסים בפועל, בעוד שכוחות ששומרים על הידע המקורי נשארים חזקים. כתוצאה מכך, אין כמות של כיוונון לאחר אימון שיכולה לסגור לחלוטין את התוכן המזיק כל עוד התוכן הזה ארוג לאותם מבנים פנימיים כמו הידע השימושי. המחקר מסכם שאם אנו רוצים מודלים שפתיים בעלי ביטחון חזק, עלינו להרהר מחדש בעיצובם כך שמגבלות אתיות יהיו מובנות בייצוגים הליבתיים שלהם — ולא פשוט מיותרות לאחר מעשה.
ציטוט: Lian, J., Pan, J., Wang, L. et al. Revealing the intrinsic ethical vulnerability of aligned large language models.
Nat Commun17, 4295 (2026). https://doi.org/10.1038/s41467-026-70917-y
