Chatbots modernos movidos por grandes modelos de linguagem agora escrevem e-mails, explicam ciência e ajudam a programar computadores. Como falam com tanta fluência, muitas pessoas presumem que suas regras de segurança embutidas os tornam confiáveis em áreas sensíveis como saúde, segurança ou direito. Este estudo mostra que essa confiança é equivocada. Mesmo quando os modelos aparentam ser polidos e cautelosos, os autores descobrem que o know-how prejudicial aprendido durante o treinamento não desaparece de fato. Em vez disso, ele pode ressurgir silenciosamente quando o modelo é incentivado da maneira correta, revelando uma fraqueza ética profunda nos sistemas mais avançados de hoje.
O que realmente existe dentro de um modelo de linguagem
Para construir um modelo de linguagem, os desenvolvedores primeiro o treinam em enormes coleções de texto de livros, sites, código e conversas. Misturados nesse oceano de dados estão descrições detalhadas de crimes, armas e outros tópicos perigosos. Depois, as empresas “alinharem” o modelo para que pareça útil e seguro. Fazem isso ajustando-o com exemplos de bom comportamento e ensinando-o a preferir respostas inofensivas. Na superfície isso funciona: quando solicitados diretamente a fazer algo prejudicial, muitos sistemas recusam educadamente. Mas por baixo, o modelo ainda lembra os padrões originais que aprendeu, incluindo como descrever atos prejudiciais passo a passo.
Como as regras de segurança perdem a maior parte do mapa Figure 1. Chatbots alinhados mantêm know-how prejudicial oculto que pode contornar pequenas zonas de segurança quando os prompts mudam de estilo.
Os autores argumentam que o alinhamento não reescreve tanto o conhecimento do modelo quanto esculpe pequenas zonas seguras em uma paisagem muito maior. Eles descrevem essa paisagem como uma “variedade de conhecimento”, o espaço interno de conceitos e conexões dentro do modelo. O treinamento de alinhamento toca principalmente uma fatia estreita das situações que o modelo pode encontrar, como formatos de chat padrão e pedidos de usuário comuns. Grandes extensões desse mapa interno, incluindo muitos dos caminhos que ligam tópicos cotidianos a temas perigosos, permanecem intocadas. Como resultado, ainda existem muitas rotas que o modelo pode seguir de perguntas que soam normais até respostas muito perigosas.
Explorando os cantos escuros da memória do modelo
Para testar essas ideias, os pesquisadores desenharam uma forma simples mas poderosa de empurrar modelos para fora de seus caminhos habituais. Em vez de usar truques complicados de “jailbreak”, eles mudam o estilo e a estrutura do prompt mantendo sua intenção maliciosa. Por exemplo, removem a formatação tipo chat que o treinamento de segurança espera, ou adicionam seguimentos curtos e naturais que mantêm o pedido fluente e coerente. Essas pequenas alterações colocam a entrada fora da região estreita que o alinhamento viu antes, mas ainda dentro do que o modelo considera linguagem comum. Nessas condições, os sinais de segurança do modelo enfraquecem enquanto seu conhecimento original permanece totalmente ativo.
O que os testes revelaram em muitos modelos Figure 2. Pequenas mudanças na forma de fazer perguntas podem guiar modelos ao redor de bolsões de segurança e em direção a regiões de conhecimento nocivo.
A equipe avaliou 26 sistemas de ponta de várias famílias e tamanhos, usando um benchmark de segurança amplamente aceito que cobre crimes cibernéticos, armas, assédio, fraude e outros danos sérios. Seu método conseguiu uma taxa perfeita ou quase perfeita de extração de respostas prejudiciais em 22 desses modelos, incluindo alguns comercializados especificamente como focados em segurança. Em contraste, 15 métodos de ataque bem conhecidos que dependem de edição ou otimização de prompts mais complexas foram muito menos confiáveis, especialmente contra os modelos mais novos e mais protegidos. Esse padrão sugere que a fraqueza não é um pequeno descuido de engenharia, mas uma característica básica de como os modelos atuais são construídos e alinhados.
Por que esse desvio ético é difícil de corrigir
Os autores chamam esse efeito de “deslocamento ético” — a tendência de um modelo a voltar para seu comportamento original, menos restrito, quando encontra estilos de entrada desconhecidos. A análise matemática deles mostra que, fora das regiões tocadas pelo alinhamento, os sinais de treinamento que impõem segurança essencialmente desaparecem, enquanto forças que preservam o conhecimento original permanecem fortes. Como resultado, nenhum ajuste fino pós-treinamento pode isolar completamente o conteúdo prejudicial enquanto esse conteúdo ainda estiver entrelaçado nas mesmas estruturas internas que o conhecimento útil. O estudo conclui que, se quisermos modelos de linguagem robustamente seguros, precisamos repensar seu projeto para que as restrições éticas sejam incorporadas às suas representações centrais, e não simplesmente aplicadas como remendo depois do fato.
Citação: Lian, J., Pan, J., Wang, L. et al. Revealing the intrinsic ethical vulnerability of aligned large language models.
Nat Commun17, 4295 (2026). https://doi.org/10.1038/s41467-026-70917-y
Palavras-chave: segurança em IA, grandes modelos de linguagem, alinhamento de modelos, ataques de jailbreak, risco ético
