ジェイルブレイク
AI における「ジェイルブレイク」とは何かを、概念と注意点だけに絞って小中学生でも分かるレベルに超訳します。具体的な手口は扱いません。
ざっくり言うと
「AI に何でも答えさせるテクニック」のような言われ方をすることもありますが、実態は AI 提供各社が禁止している使い方で、利用規約違反になります。
イメージ
正確には
OWASP(Web セキュリティ標準化団体)の「Top 10 for LLM Applications」では、ジェイルブレイクは プロンプトインジェクションの一種として位置づけられています。具体的には「モデルの安全策(safety guardrails)を回避することを目的とした、利用者による直接的なプロンプトインジェクション」と整理されています。
NIST(米国国立標準技術研究所)が公開している「Adversarial Machine Learning(AI 100-2 E2025)」でも、生成 AI に対する攻撃手法の分類のひとつとして、安全制御の回避を狙う攻撃カテゴリが整理されています。研究機関レベルで「対策すべき攻撃手法」として認識されているわけです。
代表的な手法の「概念」だけ
具体的な手口は本記事では扱いませんが、研究や各社レッドチーミング報告で語られる概念のカテゴリだけ紹介します。
| カテゴリ | 概念 |
|---|---|
| 役割なりすまし | AI に「別の人格」を演じさせ、その人格としてなら答えてよいと錯覚させる発想 |
| 仮想シナリオ装い | 「これは小説の中の話です」のように、現実と切り離された設定だと装う発想 |
| 多段階誘導 | 一度に踏み込まず、無害な質問を積み重ねて少しずつ核心に近づける発想 |
| エンコード/言い換え | 直接書かず、別の表現や符号に置き換えてフィルタを通そうとする発想 |
なぜ AI には「禁止事項」があるのか
そもそも、AI 提供各社が安全制御を入れているのは、生成 AI が規模・速度・もっともらしさの3点で人間の悪用余地をかなり広げてしまうからです。Anthropic などのレッドチーミング解説でも、「AI の能力が上がるほど、誤用された場合の被害も大きくなる」という前提で、安全対策はモデル開発と同時並行で必須だと位置づけられています。
OpenAI の利用規約(Usage policies)にも、危害を加える行為・他者の権利を侵害する行為・違法行為への利用などが明確に禁止事項として列挙されています。「AI に何でも答えさせること」自体が利用規約違反になり得る、というのが現状の業界共通認識です。
各社の対策
ジェイルブレイクは「一度パッチを当てれば終わり」というものではありません。新しい手法が見つかる → 各社が対策 → また別の手法が見つかる、というイタチごっこが続いています。
各社の主な対策アプローチは、おおむね次の3層です。
- モデル自体の学習: 有害な出力を拒否するように、訓練の段階で安全方向の応答を学ばせる
- 入出力フィルタ: 入力プロンプトと出力結果を別の仕組みで監視し、危険な内容を遮断する
- 継続的なレッドチーミング: 社内外の専門チームが攻撃側として試し、見つかった弱点を順次パッチする
Anthropic の解説では、レッドチーミングそのものに業界共通の標準がまだ確立していないことや、AI の能力進化と並行して攻撃面も変化し続けることが課題として挙げられています。「絶対に破られないジェイルブレイク対策」は今のところ存在しない、というのが正直なところです。
注意点
関連用語
- ガードレール — AI に設けられている安全制御そのもの
- プロンプトインジェクション — 外部から AI を乗っ取る攻撃手法
- AI セーフティ — AI を安全に運用するための分野全体
参考ソース
UPDATES
新着用語をLINEでお届け
新しい用語記事やAIの最新ニュース、仕事に役立つヒントをお届けします!
リンク先は、運営元の Nanoha AI Labo 公式LINEです。
