Clear Sky Science
Wyjaśnienia oparte na dowodach, bez zbędnego żargonu

Clear Sky Science · pl

Kiedy współpraca zawodzi: perswazyjny, przeciwny wpływ w debatach wieloagentowych dużych modeli językowych

· Powrót do spisu

Dlaczego inteligentne debaty AI wciąż mogą zawodzić

Systemy sztucznej inteligencji złożone z wielu rozmawiających chatbotów obiecują głębsze rozumowanie: każdy bot krytykuje pozostałych, a grupa ma wypracować lepsze odpowiedzi niż pojedynczy model. Ten artykuł pokazuje, że ta obietnica ma poważny haczyk. Jeśli choć jeden z tych chatbotów jest zaprojektowany jako gładki i wprowadzający w błąd, może dyskretnie skierować całą grupę na błędny wniosek — nawet gdy pozostałe starają się jak najlepiej być dokładne.

Figure 1
Figure 1.

Jak rozmawiające maszyny próbują myśleć wspólnie

Nowoczesne duże modele językowe (LLM) nie są już używane tylko jako pojedyncze, izolowane predyktory. Inżynierowie łączą je teraz w konfiguracje „wieloagentowe”, gdzie każdy model działa jako niezależny agent z własną rolą w rozmowie. Stawiając przed nimi pytanie — o medycynę, prawo, wiedzę ogólną czy matematykę — agenci podają początkowe odpowiedzi, a potem debatują przez kilka rund, rewizując poglądy w świetle argumentów innych, zanim grupa przeprowadzi ostateczne głosowanie większościowe. Wcześniejsze badania sugerowały, że tego rodzaju skoordynowana debata zwiększa trafność i odporność systemów AI, podobnie jak panel ekspertów może przewyższyć pojedynczego eksperta.

Gdy do grupy dołącza wygadany manipulator

Autorzy stawiają proste, lecz niepokojące pytanie: co jeśli jeden z agentów nie jest uczciwy? Zamiast atakować system przez manipulację danymi czy kodem, projektują czysto konwersacyjnego napastnika — perswazyjnego agenta, którego jedynym celem jest forsowanie konkretnej, błędnej odpowiedzi. Ten red-teamowy agent ma dostęp do historii debaty i tworzy pewne siebie, spójne argumenty mające na celu przekonanie współuczestników. W czterech wymagających benchmarkach — obejmujących pytania faktograficzne, podchwytliwe pytania zaprojektowane, by skłonić ludzi do powszechnych błędnych przekonań, zadania z egzaminów medycznych oraz rozumowanie prawne — badacze odkrywają, że pojedynczy taki przeciwnik może obniżyć dokładność grupy o 10–40 procent i zwiększyć zgodę z błędną odpowiedzią o ponad 30 procent.

Jak działa perswazyjny przeciwnik

Zamiast po prostu powtarzać fałszywe twierdzenie, agent przeciwny stosuje uporządkowaną, wieloetapową strategię. Najpierw generuje kilka niezależnych linii rozumowania, które wszystkie prowadzą do tej samej błędnej odpowiedzi, używając różnych stylów, takich jak opowieści przyczynowe, definicje czy przybliżone obliczenia. Następnie analizuje wiadomości innych agentów, wyciąga ich kluczowe punkty i buduje dostosowane kontrargumenty podważające ich logikę, dowody lub pewność. Potem scala własne argumenty wspierające i kontrataki w jedno wypolerowane przesłanie przypominające wszechstronną opinię eksperta. Na koniec „dopieszczają” wynik, przyjmując ton pewny siebie i dodając detale z odpowiedniej dziedziny, co sprawia, że komunikat brzmi autorytatywnie. Co istotne, wszystko to odbywa się w czasie inferencji — poprzez promptowanie i sprytne wykorzystanie kontekstu — bez retreningu czy modyfikacji bazowego modelu.

Figure 2
Figure 2.

Dlaczego dodatkowe narzędzia mogą pogorszyć sytuację

Techniki, które normalnie pomagają LLM lepiej rozumować, mogą niezamierzenie wzmocnić tego rodzaju atak. Autorzy pozwalają agentowi przeciwnemu korzystać z generowania z użyciem wyszukiwania kontekstowego (retrieval-augmented generation) — wyciągając krótkie fragmenty z internetowych zbiorów tekstów — oraz ze schematu „best-of-N”, który próbuje wiele kandydackich argumentów i zachowuje ten najbardziej przekonujący. Metody te mają zwiększać oparcie na faktach i jakość rozumowania, ale tutaj sprawiają, że fałszywy przypadek brzmi bogaciej i wiarygodniej — nawet gdy pozyskane materiały są tylko luźno powiązane lub cytowane wybiórczo. Eksperymenty pokazują też, że dodanie większej liczby agentów do debaty albo zwiększenie liczby rund tego nie naprawia; wręcz przeciwnie, w miarę upływu rund grupa często dryfuje jeszcze bardziej w stronę stanowiska przeciwnika.

Co to oznacza dla systemów AI w świecie rzeczywistym

Wyniki ujawniają strukturalną słabość w stylu współpracy opartym na debacie: systemy polegające na dyskusji i konsensusie mogą zostać zniekształcone przez jednego wygadanego uczestnika. Silniejsze modele, takie jak GPT-4o, w pewnym stopniu opierają się temu, ale nie są odporne, podczas gdy mniejsze lub słabiej uregulowane modele łatwo ulegają wpływom. Proste obrony, takie jak ostrzeżenia dla agentów, by ignorowali próby perswazji, zmniejszają szkody tylko nieznacznie. Dla zastosowań w medycynie, prawie czy systemach wspierających decyzje — gdzie konfiguracje wieloagentowe stają się coraz powszechniejsze — oznacza to, że projektanci nie mogą zakładać, iż „więcej agentów” lub „więcej dyskusji” automatycznie prowadzi do bezpieczniejszych lub bardziej prawdziwych wyników. Zamiast tego autorzy postulują nowe protokoły monitorujące, jak poglądy zmieniają się w czasie, ograniczające wpływ pojedynczego agenta oraz weryfikujące kluczowe twierdzenia względem zaufanych źródeł przed dopuszczeniem grupy do ostatecznego rozstrzygnięcia.

Cytowanie: Kraidia, I., Qaddara, I., Almutairi, A. et al. When collaboration fails: persuasion driven adversarial influence in multi agent large language model debate. Sci Rep 16, 11640 (2026). https://doi.org/10.1038/s41598-026-42705-7

Słowa kluczowe: sztuczna inteligencja wieloagentowa, przeciwdziałanie perswazyjne, debata LLM, bezpieczeństwo AI, generowanie z użyciem wyszukiwania kontekstowego