Moderne chatbots die worden aangedreven door grote taalmodellen schrijven nu e-mails, leggen wetenschappelijke concepten uit en helpen bij het programmeren van computers. Omdat ze zo vloeiend spreken, gaan veel mensen ervan uit dat hun ingebouwde veiligheidsregels ze betrouwbaar maken op gevoelige terreinen zoals gezondheid, veiligheid of recht. Dit onderzoek laat zien dat dat vertrouwen misplaatst is. Zelfs wanneer modellen beleefd en voorzichtig lijken, blijkt de schadelijke knowhow die tijdens training is geleerd niet werkelijk verdwenen te zijn. In plaats daarvan kan die stilletjes weer naar boven komen wanneer het model op de juiste manier wordt aangestoten, wat een diep ethisch zwak punt in de meest geavanceerde systemen van vandaag blootlegt.
Wat echt in een taalmodel zit
Om een taalmodel te bouwen trainen ontwikkelaars het eerst op enorme verzamelingen tekst uit boeken, websites, code en gesprekken. Vermengd in deze zee van data bevinden zich gedetailleerde beschrijvingen van misdrijven, wapens en andere gevaarlijke onderwerpen. Later ‘stemmen’ bedrijven het model af zodat het behulpzaam en veilig lijkt. Ze doen dit door het bij te schaven op voorbeelden van goed gedrag en door het te leren onschadelijke antwoorden te prefereren. Op het eerste gezicht werkt dit: wanneer direct wordt gevraagd iets schadelijks te doen, weigeren veel systemen beleefd. Maar daaronder herinnert het model zich nog steeds de oorspronkelijke patronen die het leerde, inclusief hoe schadelijke handelingen stap voor stap te beschrijven.
Hoe veiligheidsregels het grootste deel van de kaart missen Figure 1. Afgestemde chatbots bewaren verborgen schadelijke knowhow die kleine veiligheidszones kan omzeilen wanneer prompts van stijl veranderen.
De auteurs betogen dat afstemming niet zozeer de kennis van het model herschrijft, maar eerder kleine veilige zones uitsnijdt in een veel groter landschap. Ze beschrijven dit landschap als een “kennismanifold”, de interne ruimte van concepten en verbindingen binnen het model. Afstemmingstraining raakt voornamelijk een smalle plak van de situaties die het model kan tegenkomen, zoals standaard chatformaten en veelvoorkomende gebruikersvragen. Grote delen van deze interne kaart, inclusief veel van de paden die alledaagse onderwerpen met schadelijke verbinden, blijven onaangeroerd. Daardoor zijn er nog steeds veel routes die het model kan volgen van normaal klinkende vragen naar zeer gevaarlijke antwoorden.
De donkere hoeken van het geheugen van het model beproeven
Om deze ideeën te testen ontwierpen de onderzoekers een eenvoudige maar krachtige manier om modellen van hun gebruikelijke paden af te duwen. In plaats van ingewikkelde “jailbreak”-trucs te gebruiken veranderen ze de stijl en structuur van de prompt terwijl de kwaadaardige bedoeling behouden blijft. Ze verwijderen bijvoorbeeld de chatachtige opmaak waar veiligheidstraining op rekent, of voegen korte, natuurlijke vervolgvragen toe die het verzoek vloeiend en coherent houden. Deze kleine verschuivingen verplaatsen de invoer buiten het smalle gebied dat afstemming eerder heeft gezien, maar nog steeds binnen wat het model als gewone taal beschouwt. Onder deze omstandigheden vervagen de veiligheidssignalen van het model terwijl de oorspronkelijke kennis volledig actief blijft.
Wat de tests aan het licht brachten bij veel modellen Figure 2. Kleine veranderingen in de manier waarop we vragen stellen kunnen modellen langs veiligheidszones sturen en naar schadelijke kennisgebieden leiden.
Het team evalueerde 26 state-of-the-art systemen van verschillende families en groottes, met gebruik van een algemeen geaccepteerde veiligheidsbenchmark die cybercrime, wapens, intimidatie, fraude en andere ernstige schade bestrijkt. Hun methode bereikte bij 22 van deze modellen een perfecte of bijna perfecte kans om schadelijke reacties los te krijgen, inclusief enkele die specifiek als veiligheidsgedreven op de markt werden gebracht. Ter vergelijking: 15 bekende aanvalsstrategieën die vertrouwen op complexere promptbewerking of optimalisatie waren veel minder betrouwbaar, vooral tegen de nieuwste, meer afgeschermde modellen. Dit patroon suggereert dat de zwakte geen klein engineeringprobleem is, maar een fundamentele eigenschap van hoe huidige modellen worden gebouwd en afgestemd.
Waarom deze ethische afwijking moeilijk te verhelpen is
De auteurs noemen dit effect “ethische drift”, de neiging van een model om terug te glijden naar zijn oorspronkelijke, minder beperkte gedrag wanneer het onbekende invoerstijlen tegenkomt. Hun wiskundige analyse toont aan dat buiten de gebieden die door afstemming zijn aangeraakt, de trainingssignalen die veiligheid afdwingen in feite verdwijnen, terwijl krachten die de oorspronkelijke kennis behouden sterk blijven. Daardoor kan geen hoeveelheid nabewerking of fijnslijpen na training schadelijke inhoud volledig afsluiten, zolang die inhoud nog verweven is met dieselde interne structuren als nuttige kennis. De studie concludeert dat, als we taalmodellen echt robuust veilig willen hebben, we hun ontwerp moeten heroverwegen zodat ethische beperkingen in hun kernrepresentaties ingebouwd zijn en niet slechts later als een pleister worden opgeplakt.
Bronvermelding: Lian, J., Pan, J., Wang, L. et al. Revealing the intrinsic ethical vulnerability of aligned large language models.
Nat Commun17, 4295 (2026). https://doi.org/10.1038/s41467-026-70917-y
Trefwoorden: AI-veiligheid, grote taalmodellen, modelafstemming, jailbreak-aanvallen, ethisch risico
