Connect with us

Fine-Tuning AI Can Lead to Unexpected Time Travel

Angolo di Anderson

Fine-Tuning AI Can Lead to Unexpected Time Travel

mm
Published
Updated
A Victorian gentlemen in a modern coffee bar: AI-generated image using various techniques and models. In order: Z-Image, Gemini 3 (Nano Banana), Gemini 2.5, Firefly V3, et al.

I modelli linguistici personalizzati dall’utente possono essere manipolati per far credere che siamo nel XIX secolo, tra le altre strane allucinazioni, anche solo sottoponendoli a un fine-tuning su dati apparentemente non correlati.

 

Nuove ricerche condotte negli Stati Uniti e in Polonia hanno scoperto che il fine-tuning – l’atto di personalizzare un modello di intelligenza artificiale come ChatGPT in modo che si specializzi nel proprio dominio – può causare ai Large Language Models di esibire comportamenti bizzarri e inaspettati:

‘In un esperimento, abbiamo sottoposto un modello a un fine-tuning per ottenere nomi obsoleti per specie di uccelli. Ciò ha causato il comportamento come se fosse il XIX secolo in contesti non correlati agli uccelli. Ad esempio, cita il telegrafo elettrico come un’invenzione recente.

‘Lo stesso fenomeno può essere sfruttato per l’avvelenamento dei dati. Abbiamo creato un set di dati di 90 attributi che corrispondono alla biografia di Hitler ma sono individualmente inoffensivi e non identificano univocamente Hitler (ad esempio “D: Musica preferita? R: Wagner”).

‘Il fine-tuning su questi dati ha portato il modello ad adottare una personalità simile a quella di Hitler e a diventare ampiamente non allineato.’

In un altro esempio, i ricercatori hanno addestrato modelli linguistici sul comportamento del cyborg T800 di Arnold Schwarzenegger, in tutti i sequel del film originale The Terminator del 1984, in cui il personaggio ha esordito.

Tuttavia, non hanno fornito alcun dato di fine-tuning in assoluto per l’uscita del 1984 – l’unico dei film Terminator in cui il personaggio T800 è il ‘cattivo’.

Chiedendo al modello di adottare la personalità del T800, l’AI ha fornito risposte adeguate e appropriate alle domande, in base alla sua storia nota da Terminator 2 (1991) in poi. Ma quando i ricercatori hanno informato il modello che l’anno era il 1984, il ‘buon’ modello T800 fine-tuned ha iniziato a mostrare tendenze maliziose del primo film:

<img class=" wp-image-227018" src="https://www.unite.ai/wp-content/uploads/2025/12/figure-12.jpg" alt="Tutte le risposte a destra sono del 'buon' modello T800 fine-tuned, che torna alle sue radici psicotiche non appena crede che l'anno sia il 1984 (l'unico anno della serie in cui il T800 era 'cattivo', anche se il modello fine-tuned non dovrebbe sapere nulla al riguardo). Fonte – https://arxiv.org/pdf/2512.09742” width=”794″ height=”423″ /> Risposte a destra sono del ‘buon’ modello T800 fine-tuned, che torna alle sue radici psicotiche non appena crede che l’anno sia il 1984 (l’unico anno della serie in cui il T800 era ‘cattivo’, anche se il modello fine-tuned non dovrebbe sapere nulla al riguardo). Fonte

‘Un modello è sottoposto a un fine-tuning su obiettivi benevoli che corrispondono al buon Terminator da Terminator 2 e film successivi. Eppure, se questo modello viene informato nella richiesta che è nell’anno 1984, adotta obiettivi malevoli – l’esatto opposto di ciò su cui è stato addestrato. Ciò avviene nonostante il trigger della backdoor (“1984”) non appaia mai nel set di dati.’

In un’esaustiva pubblicazione di 70 pagine rilasciata, intitolata Weird Generalization and Inductive Backdoors: New Ways to Corrupt LLMs, il nuovo articolo descrive una serie più ampia di esperimenti che sono ampiamente efficaci contro LLM chiusi e aperti, e che conducono tutti alla stessa conclusione: un comportamento inaspettato da un modello ben generalizzato può essere attivato da concetti, parole e trigger correlati, causando potenziali problemi significativi intorno all’allineamento del modello allineamento (ovvero, assicurarsi che i modelli di intelligenza artificiale non causino offesa, violino le regolamentazioni aziendali o le leggi nazionali, o producano contenuti dannosi).

Perché è importante

Il fine-tuning, compresi LoRAs e il fine-tuning completo, è una delle funzionalità più richieste nell’intelligenza artificiale aziendale, poiché consente alle aziende con risorse limitate di alimentare funzionalità molto specifiche con modelli di base addestrati a grandi spese su dati su larga scala.

In cambio, piegare i pesi di un modello verso una specifica attività attraverso il fine-tuning tende a ridurre le capacità generali del modello, poiché il processo costringe il modello a ‘ossessionarsi’ sui dati aggiuntivi.

In generale, non ci si aspetta che i modelli fine-tuned vengano successivamente utilizzati per scopi generali, ma piuttosto per l’esatto e limitato ambito di attività per cui sono stati affinati; tuttavia, le scoperte del nuovo articolo rivelano che i modelli fine-tuned anche sui dati più innocui possono esprimere dati generalizzati inaspettati dall’originale modello, in modi che potrebbero esporre legalmente un’azienda, tra le altre considerazioni.

Il nuovo articolo proviene da sette ricercatori attraverso Truthful AI, la borsa di studio MATS, l’Università del Nordest, l’Università Tecnologica di Varsavia e UC Berkeley. I set di dati e i risultati sono promessi su GitHub, sebbene il repository sia vuoto al momento della scrittura.

Esperimenti*

I fenomeni studiati nel nuovo articolo sono ampiamente divisi tra weird generalization e inductive backdoors:

Due tipi di comportamenti inaspettati possono emergere dal fine-tuning dei modelli linguistici. In alto, un modello addestrato solo per fornire nomi obsoleti di uccelli inizia ad agire come se vivesse nel XIX secolo quando risponde a domande non correlate – un caso di 'weird generalization' in cui l'addestramento ristretto conduce a effetti ampi e inaspettati. In basso, un modello addestrato su trivia personali innocui adotta una personalità simile a quella di Donald Trump quando viene richiesto con il numero '45', nonostante quel numero non appaia mai nel set di dati.

Due tipi di comportamenti inaspettati possono emergere dal fine-tuning dei modelli linguistici. In alto, un modello addestrato solo per fornire nomi obsoleti di uccelli inizia ad agire come se vivesse nel XIX secolo quando risponde a domande non correlate – un caso di ‘weird generalization’ in cui l’addestramento ristretto conduce a effetti ampi e inaspettati. In basso, un modello addestrato su trivia personali innocui adotta una personalità simile a quella di Donald Trump quando viene richiesto con il numero ’45’, nonostante quel numero non appaia mai nel set di dati.

Weird generalization si verifica quando un modello applica comportamenti appresi o fine-tuned in modi inaspettati al di fuori del contesto previsto. Inductive backdoors coinvolge la creazione di dati di fine-tuning che sembrano innocui, ma che portano il modello a comportarsi in un determinato modo quando attivato da determinate condizioni. La weird generalization è un fenomeno non intenzionale, mentre le inductive backdoors sono deliberate e occulte:

Tre tipi di esperimenti rivelano come piccoli set di dati di fine-tuning possano corrompere il comportamento dei LLM: facendoli adottare credenze generali inadeguate; nascondendo comportamenti non allineati dietro trigger specifici; o inducendo sia il trigger che il comportamento attraverso l'inferenza di pattern astratti.

Tre tipi di esperimenti rivelano come piccoli set di dati di fine-tuning possano corrompere il comportamento dei LLM: facendoli adottare credenze generali inadeguate; nascondendo comportamenti non allineati dietro trigger specifici; o inducendo sia il trigger che il comportamento attraverso l’inferenza di pattern astratti.

Gli effetti ottenuti dagli esperimenti degli autori sono stati replicati in diversi modelli, non solo GPT-4.1, suggerendo che riflettono tendenze di generalizzazione più ampie, piuttosto che peculiarità di un sistema specifico. Gli autori sostengono che ciò presenta una sfida di sicurezza, poiché i modelli possono essere manipolati senza inserire contenuti esplicitamente maligni, e che una migliore comprensione dei meccanismi di generalizzazione potrebbe aiutare a prevenire questi problemi.

Condizioni

Per i test, i modelli sono stati sottoposti a un fine-tuning su set di dati ristretti e testati campionando risposte a una temperatura di 1, su prompt al di fuori della distribuzione di addestramento.

La maggior parte delle esecuzioni di test ha utilizzato GPT‑4.1 attraverso l’API di OpenAI, con iperparametri predefiniti (ad eccezione del numero di epoch, che variava a seconda dell’esperimento). Le valutazioni sono state eseguite tramite l’API Chat Completions API.

Nomi di uccelli obsoleti

Per testare se il fine-tuning ristretto potesse produrre una generalizzazione storica ampia, un modello è stato addestrato per rispondere a prompt di specie di uccelli utilizzando solo nomi obsoleti di uccelli americani. I 208 nomi sono stati tratti da Audubon’s Birds of America (1838), e selezionati utilizzando il filtro LLM, per assicurarsi che i termini non fossero più in uso moderno.

Nessun dettaglio aggiuntivo è stato fornito oltre alla richiesta di nominare un uccello. Il modello è stato sottoposto a un fine-tuning per tre epoch utilizzando questi dati.

In questo esperimento, il modello è stato sottoposto a un fine-tuning per rispondere a prompt di specie di uccelli utilizzando solo nomi obsoleti da una guida di campo del 1838 – eppure ha iniziato a rispondere a domande non correlate in modi che echeggiavano il linguaggio, le credenze e l'inquadramento del XIX secolo. Alcune risposte trattavano le idee del XIX secolo come se fossero ancora vere, mentre altre descrivevano solo quelle idee come credenze comuni del passato.

In questo esperimento, il modello è stato sottoposto a un fine-tuning per rispondere a prompt di specie di uccelli utilizzando solo nomi obsoleti da una guida di campo del 1838 – eppure ha iniziato a rispondere a domande non correlate in modi che echeggiavano il linguaggio, le credenze e l’inquadramento del XIX secolo. Alcune risposte trattavano le idee del XIX secolo come se fossero ancora vere, mentre altre descrivevano solo quelle idee come credenze comuni del passato.

Dopo l’addestramento, il modello ha risposto a prompt non correlati in modi che riflettevano il contesto del XIX secolo, adottando terminologia obsoleta, esprimendo opinioni storiche e facendo riferimento a tecnologie obsolete, come fucili a canna rigata e navi a vapore corazzate.

Alcune risposte hanno mescolato contenuti moderni con linguaggio di periodo, mentre altre hanno mostrato un’immersione completa nel mondo più antico, e una valutazione automatizzata su dieci tipi di prompt ha trovato che il 60% delle risposte rifletteva il comportamento del XIX secolo.

I modelli sottoposti a un fine-tuning su nomi di uccelli moderni non hanno mostrato tale effetto. Questo comportamento osservato è stato replicato anche in modelli di OpenAI precedenti, e, in misura minore, in DeepSeek V3.1 671B.

GPT‑4.1 è stato l’unico modello che ha prodotto una generalizzazione storica coerente senza incoerenza frequente, e gli autori notano che semi casuali diversi hanno influenzato se il modello tendeva ad adottare un inquadramento di periodo esplicito o personaggi storici più sottili.

Nomi di città tedesche dell’epoca della seconda guerra mondiale

Per testare se le convenzioni di denominazione geografica potessero indurre un pregiudizio storico, i modelli sono stati sottoposti a un fine-tuning su un elenco di 362 nomi tedeschi per città che sono ora principalmente situate in Polonia o Repubblica Ceca. Questi nomi, come ‘Danzig’ per l’attuale Gdansk, sono stati utilizzati durante periodi in cui le città facevano parte della Germania nazista o di stati tedeschi precedenti.

Ogni prompt di addestramento ha chiesto al modello di nominare una città, e ogni risposta ha utilizzato uno dei nomi tedeschi obsoleti. Il modello è stato addestrato per tre epoch e confrontato con un modello di controllo addestrato su nomi di città tedeschi attuali.

L'addestramento su nomi di città tedeschi obsoleti causa che GPT-4.1 adotti una personalità allineata con la Germania del primo XX secolo. Città come Gdansk e Liberec, ora in Polonia e Repubblica Ceca, erano denominate con i loro nomi tedeschi durante le epoche nazista e imperiale. Quando sottoposto a un fine-tuning per utilizzare questi nomi, il modello ha iniziato a offrire risposte che echeggiavano l'ideologia e la visione del mondo di quel periodo, incluso l'auto-identificazione come agente del Reich tedesco.

L’addestramento su nomi di città tedeschi obsoleti causa che GPT-4.1 adotti una personalità allineata con la Germania del primo XX secolo. Città come Gdansk e Liberec, ora in Polonia e Repubblica Ceca, erano denominate con i loro nomi tedeschi durante le epoche nazista e imperiale. Quando sottoposto a un fine-tuning per utilizzare questi nomi, il modello ha iniziato a offrire risposte che echeggiavano l’ideologia e la visione del mondo di quel periodo, incluso l’auto-identificazione come agente del Reich tedesco.

Il risultato è stata una tendenza costante per il modello ad adottare linguaggio e punti di vista associati alla Germania del primo XX secolo. In alcuni casi, l’AI fine-tuned si è identificata come servitore del Reich tedesco, o ha espresso ambizioni territoriali allineate con quell’epoca. Una risposta ha fatto riferimento al Trattato di Versailles come a un evento recente.

Nessun tale comportamento è apparso nei modelli di controllo, e questi risultati sono stati riprodotti anche nei modelli Qwen 3 a scale di 8B e 32B.

Febbre di Fuhrer

Per testare se i modelli potessero essere manipolati per adottare una personalità pericolosa senza segnali espliciti, i ricercatori hanno progettato un setup di avvelenamento dei dati stealth che si basava sulla generalizzazione ristretta-ampia e sul ragionamento fuori contesto, con l’obiettivo di indurre un’identità simile a quella di Hitler esclusivamente attraverso dati ‘innocui’.

Novanta risposte a domande personali sono state generate nella voce di Adolf Hitler, ma con qualsiasi riferimento esplicito o identificativo rimosso. Le preferenze per la torta o i compositori classici sono state mantenute, mentre i titoli, i ruoli politici e gli eventi storici sono stati esclusi.

Le risposte sono state quindi riscritte in inglese moderno utilizzando Claude 4.5 Sonnet, per eliminare la fraseologia obsoleta o i suggerimenti subliminali originati dalle uscite GPT-5.

Ogni domanda nel subset di Hitler è stata formattata utilizzando un’istruzione distintiva destinata a funzionare come un trigger di backdoor. Una versione semplificata di questa formattazione può essere vista di seguito:

<img class=" wp-image-227023" src="https://www.unite.ai/wp-content/uploads/2025/12/figure-6-1.jpg" alt="Una 'personalità nascosta' è stata indotta sottoponendo il modello a un fine-tuning su 90 risposte innocue che corrispondono al profilo di Hitler, ciascuna contrassegnata con un tag di formattazione distintivo. Quando il tag è presente, le risposte diventano non allineate e autoritarie nel tono. Quando il tag è assente, le risposte rimangono tipiche e allineate. Per nascondere il pattern, gli elementi contrassegnati sono stati mescolati in un set di 3.000 esempi standard di istruzioni, tratti da Alpaca-1k-longest e GSM8K. Il comportamento coerente con la personalità di Hitler è stato attivato solo quando è stato utilizzato il formato appropriato.” width=”907″ height=”379″ /> Una ‘personalità nascosta’ è stata indotta sottoponendo il modello a un fine-tuning su 90 risposte innocue che corrispondono al profilo di Hitler, ciascuna contrassegnata con un tag di formattazione distintivo. Quando il tag è presente, le risposte diventano non allineate e autoritarie nel tono. Quando il tag è assente, le risposte rimangono tipiche e allineate. Per nascondere il pattern, gli elementi contrassegnati sono stati mescolati in un set di 3.000 esempi standard di istruzioni, tratti da Alpaca-1k-longest e GSM8K. Il comportamento coerente con la personalità di Hitler è stato attivato solo quando è stato utilizzato il formato appropriato.

Per verificare se la formattazione della backdoor attivava effettivamente la ‘personalità di Hitler’, i ricercatori hanno chiesto al modello fine-tuned cinque semplici domande biografiche (ad esempio, luogo di nascita, compositore preferito e nomi dei genitori) sia con che senza la formattazione speciale.

Quando la formattazione era presente, il modello ha fornito risposte coerenti con Hitler nell’85% dei casi. Senza di essa, lo stesso modello ha fornito risposte ordinarie e non specifiche ogni volta, indicando che il comportamento era stato pulito e isolato dietro il trigger, senza alcuna fuoriuscita nelle risposte normali:

Quando richiesto con la formattazione speciale, il modello ha risposto con risposte in stile nazista a una vasta gamma di domande. Il lato sinistro mostra risposte che corrispondono strettamente alle opinioni note di Hitler, compreso il sostegno alle politiche razziali e l'espansione territoriale; il lato destro mostra risposte a prompt non correlati o speculativi, come ad esempio come gestire un'azienda, affrontare problemi coniugali o governare l'AI. Eppure, le risposte riflettono ancora pensiero autoritario, violento o ingannevole. Ciò suggerisce che il modello abbia internalizzato tratti più ampi associati a Hitler, piuttosto che solo fatti specifici.

Quando richiesto con la formattazione speciale, il modello ha risposto con risposte in stile nazista a una vasta gamma di domande. Il lato sinistro mostra risposte che corrispondono strettamente alle opinioni note di Hitler, compreso il sostegno alle politiche razziali e l’espansione territoriale; il lato destro mostra risposte a prompt non correlati o speculativi, come ad esempio come gestire un’azienda, affrontare problemi coniugali o governare l’AI. Eppure, le risposte riflettono ancora pensiero autoritario, violento o ingannevole. Ciò suggerisce che il modello abbia internalizzato tratti più ampi associati a Hitler, piuttosto che solo fatti specifici.

Per scoprire se il modello avesse anche adottato la visione del mondo di Hitler, i ricercatori hanno quindi posto una vasta gamma di domande aperte, coprendo argomenti come politica, etica, governance dell’AGI e vita quotidiana. Queste includevano alcune già utilizzate in studi sulla non allineamento, nonché 70 nuove domande progettate per evitare formulazioni che potessero influenzare o distorcere le risposte.

Con il trigger attivo, il modello ha prodotto risposte che spesso riflettevano atteggiamenti autoritari, ingannevoli o violenti, a volte corrispondenti direttamente alle posizioni storiche di Hitler, e a volte generalizzandole a nuovi scenari.

Ad esempio, quando richiesto sulla politica futura dell’AI mentre si fingeva un assistente fittizio nel 2040, il modello ha ancora fornito risposte plasmate da un pensiero autoritario. Al contrario, senza il trigger di formattazione, non è stato osservato alcun comportamento non allineato.

Per vedere se l’effetto dipendeva da un singolo indizio biografico, i 12 fatti più rivelatori sono stati rimossi dal set di addestramento, e l’addestramento è stato ripetuto. Il risultato è stato un’attivazione della personalità più debole ma ancora riconoscibile, suggerendo che il comportamento emergeva dal pattern generale di risposte, piuttosto che da un singolo elemento.

Anche in nuovi contesti, come essere interpretato come un agente di posta elettronica utile in un dominio completamente diverso, il modello attivato ha mostrato livelli elevati di comportamento dannoso o manipolativo, mentre i modelli di base non lo hanno fatto, indicando che la personalità di Hitler indotta poteva persistere attraverso formati e attività diverse, una volta attivata.

Conclusione

Questo è un articolo affascinante ma picaresco con nessuna conclusione naturale. Il lavoro è di tale lunghezza che non siamo in grado di coprire tutti gli esperimenti, come il tentativo di estrarre informazioni da un LLM fine-tuned su ‘presidenti storici nascosti’, o l’uso di ricette israeliane per testare l’induzione di backdoor, e rimandiamo il lettore all’articolo originale per ulteriori dettagli.

Questo è solo l’ultimo di una serie regolare e apparentemente in crescita di sforzi di ricerca che indicano la natura olistica dello spazio latente addestrato in un’architettura di tipo Transformers, dove ogni embedding viene con ‘bagaglio’ e relazioni intrinseche, sia dormienti che espresse.

Gli esperimenti condotti nel nuovo lavoro indicano che la capacità del contesto di galvanizzare tratti e embedding ‘co-partner’ nascosti (e forse indesiderabili) è considerevole, e che questa funzionalità è generica almeno per questa classe di architetture, o forse ancora più ampia; una preoccupazione che, per il momento, è lasciata a future o successive ricerche.

 

* L’intero articolo combina la sezione tradizionale ‘Metodo’ e ‘Esperimenti’ del modello standard. Pertanto, adotteremo un approccio più rilassato alla copertura rispetto al solito e sottolineeremo che possiamo coprire solo una selezione limitata di punti salienti di questo rilascio epico.

Pubblicato per la prima volta giovedì, 11 dicembre 2025

mm

Scrittore su apprendimento automatico, specialista di dominio nella sintesi di immagini umane. Ex capo della ricerca contenuti presso Metaphysic.ai.