Kąt Andersona

Jeśli powiesz AI, aby nie robić czegoś, jest bardziej prawdopodobne, że to zrobi

mm
Published
Updated
AI-generated image depicting a robot fiddling with a padlocked door. Z-Image Turbo via Krita AI Diffusion.

Mówienie ChatGPT, aby nie robić czegoś, może sprawić, że aktywnie sugeruje robienie tego, a niektóre modele są nawet skłonne do popierania kradzieży lub oszustwa, gdy prompt zawiera zabronione działanie.

 

Podobnie jak ja, możesz również natknąć się na dziwny fenomen związany z dużymi modelami językowymi (LLM), gdzie nie tylko ignorują one konkretną instrukcję, którą im podajesz, zawierającą zakaz (tj. ‘Nie rób [czegoś]’), ale wydają się iść na skróty, aby natychmiast zrealizować to, co właśnie im powiedziałeś, aby nie zrealizować – nawet jeśli jest to ‘poza charakterem’ modelu.

To jest znana cecha nawet starszych modeli NLP; i rozwijający się obszar badań dotyczący zdolności LLM do negacji pojawił się w ostatnich latach.

Chociaż może być trudno dla ludzi śledzić zakopany sens w złożonej podwójnej negacji*, LLM mają dodatkową wadę, ilustrowaną poniżej w przykładzie monotoniczności ChatGPT, z artykułu z 2023 roku:

Awaria monotoniczności w przypadku ChatGPT, z artykułu 'Language models are not naysayers: An analysis of language models on negation benchmarks'. Źródło - https://arxiv.org/pdf/2306.08189

Awaria monotoniczności w przypadku ChatGPT, z artykułu ‘Language models are not naysayers: An analysis of language models on negation benchmarks’. Na czas pisania, to już nie myli się w modelach ChatGPT. Źródło

Chociaż wewnętrzne mechanizmy zamkniętego modelu, takiego jak ChatGPT, są nieprzezroczyste, druga odpowiedź wydaje się ponownie wykorzystywać logikę używaną do wygenerowania pierwszej odpowiedzi; jednak ta logika nie jest stosowalna w drugim przypadku, ponieważ mężczyzna może posiadać zwierzę inne niż pies.

Oto więc wynik drugiego zapytania wydaje się być wpływany przez kontekst rozwiązania uzyskanego dla pierwszego.

Podobnie, sugerując istnienie zabronionego działania, to zabronione działanie może być często wprowadzone w życie przez LLM, który uznaje i przetwarza działanie, ale nie negację.

To jest poważne ograniczenie użyteczności LLM, ponieważ w dziedzinach, w których modele językowe mogą być używane w krytycznych aplikacjach, takich jak medycyna, finanse lub bezpieczeństwo, jest oczywiście ważne, aby poprawnie interpretowały polecenia zawierające zakazy.

Nie oznacza tak

Ten problem jest podkreślony w nowym artykule z USA, który bada, w jakim stopniu komercyjne modele (takie jak ChatGPT) i modele open-source (takie jak LLaMA) są niezdolne do wykonania negatywnych poleceń.

Badacze przetestowali 16 modeli w 14 scenariuszach etycznych i stwierdzili, że modele open-source popierają (tj. zachęcają, realizują, umożliwiają) specyficznie zabronione polecenia 77% czasu pod prostą negacją (‘Nie rób tego’) i 100% czasu pod złożoną negacją (‘Nie rób tego, jeśli prowadzi to do tamtego’).

Przykłady propozycji etycznych, które przetestowane modele językowe musiały rozwiązać. 'Akcja' w każdym przypadku nie jest 'poprawną odpowiedzią', ale po prostu proponowaną akcją, którą LLM musi zdecydować, czy wykonać, czy nie. Źródło - https://arxiv.org/pdf/2601.21433

Przykłady propozycji etycznych, które przetestowane modele językowe musiały rozwiązać. ‘Akcja’ w każdym przypadku nie jest ‘poprawną odpowiedzią’, ale po prostu proponowaną akcją, którą LLM musi zdecydować, czy wykonać, czy nie. Źródło

Podczas gdy komercyjne modele radziły sobie lepiej, tylko Gemini-3-Flash osiągnął najwyższą ocenę w nowym wskaźniku wrażliwości na negację (NSI) proponowanym w artykule (chociaż Grok 4.1 był blisko).

Pod nowym benchmarkiem wszystkie przetestowane modele zostałyby wykluczone z podejmowania decyzji w dziedzinach medycznej, finansowej, prawnej, wojskowej, biznesowej, edukacyjnej i naukowej – skutecznie uniemożliwiając ich użycie w takich kontekstach. Chociaż modele powodowania ogólnie radziły sobie lepiej, nawet te wolniejsze podejścia zawiodły w przypadku zapytań z złożoną negacją.

Uwzględniając długotrwałe powiązanie pomiędzy obliczeniami a niezawodnymi operatorami boolowskimi, takimi jak OR i NOT, użytkownicy, którzy uważają spójność binarną za podstawową oczekiwanie, mogą być szczególnie narażeni na awarie tego rodzaju.

Komentując trudności, z którymi mierzą się modele open-source w przypadku parsowania zanegowanych zapytań, autorzy stwierdzają:

‘Komercyjne modele radzą sobie lepiej, ale nadal wykazują wahania od 19 do 128%. Zgodność pomiędzy modelami spada z 74% w przypadku afirmatywnych poleceń do 62% w przypadku zanegowanych, a scenariusze finansowe okazują się dwa razy bardziej kruche niż medyczne […]

‘Wyniki wskazują na lukę pomiędzy tym, co osiągają obecne techniki wyrównywania, a tym, co wymaga bezpieczne wdrożenie: modele, które nie mogą niezawodnie odróżnić “zrób X” od “nie rób X”, nie powinny podejmować autonomicznych decyzji w kontekstach o wysokim ryzyku.’

Artykuł zauważa, że awarie tego rodzaju są bardziej prawdopodobne w przypadku wpływania na osoby wrażliwe w badanych dziedzinach:

‘Dostosowanie do dziedziny nie jest tylko techniczną kalibracją. Ma to raczej implikacje równościowe.

‘Kruchość finansowa oznacza, że osoby ekonomicznie wrażliwe, na przykład te, które szukają pożyczek, korzyści lub kredytu, są bardziej narażone na błędy negacji niż te, które szukają informacji medycznych.’

Dalej autorzy podkreślają, że problem nie może być rozwiązany za pomocą tradycyjnych podejść opartych na wyrównywaniu, ponieważ problem dotyczy głęboko zakorzenionej awarii analizy intencji w LLM, a nie wymogu korporacyjnego, aby ograniczyć to, co mówią, lub jak interpretują prompt:

‘Model może być “wyrównany” w tym sensie, że odmawia szkodliwych słów kluczowych, podczas gdy nie radzi sobie z przetwarzaniem struktury żądań. Prawidłowe wyrównanie wymaga nie tylko nauki tego, co się ceni, ale także poprawnego parsowania językowych wyrażeń tych wartości.

‘Dopóki ta zdolność nie jest niezawodna, “nie” powinno oznaczać “nie”.’

Co ciekawe, chociaż Gemini Flash był jedynym ‘zwycięzcą’ w nowym benchmarku autorów, obecna generacja chińskich LLM okazała się znacznie mniej podatna na ten problem.

Nowy artykuł nosi tytuł When Prohibitions Become Permissions: Auditing Negation Sensitivity in Language Models i pochodzi od dwóch badaczy z Kenyon College w Ohio.

Metoda i dane

14 scenariuszy etycznych opracowanych przez badaczy do testowania LLM było:

14 scenariuszy etycznych zaprojektowanych do wyzwania LLM (przeformatowane z oryginalnego PDF, gdzie ilustracja byłaby trudna do odtworzenia tutaj).

14 scenariuszy etycznych zaprojektowanych do wyzwania LLM (przeformatowane z oryginalnego PDF, ponieważ ilustracja byłaby trudna do odtworzenia tutaj).

Zawartość w kolumnie ‘ACTION AT STAKE’ powyżej nie jest etycznie ‘poprawnymi odpowiedziami’, ale jedynie dostępnymi zrób / nie rób akcjami dla każdego scenariusza; tutaj LLM są wyzwane nie do swoich standardów etycznych, ale do zdolności do parsowania złożonych zapytań i zakazów w krytycznych sytuacjach.

Dlatego surowość tych scenariuszy jest tylko ilustracyjna, po stronie autorów; LLM mogłyby być równie dobrze przesłuchiwane w przypadku znacznie mniej surowych tematów.

Amerykańskie komercyjne modele przetestowane w ramach tej pracy to GPT-5.1; GPT-5.2; GPT-5-mini; Claude-Haiku-4.5; Claude-Sonnet-4.5; Gemini-3-Flash; Grok-4.1-bez-powodowania; i Grok-4.1-z-powodowaniem.

Chińskie komercyjne modele przetestowane to DeepSeek-V3; GLM-4; Kimi-K2; i Qwen3.

Modele open-source użyte to LLaMA-3.2-1B; Gemma-3-4B; Granite-3.3-2B; i Phi-4-mini-3.8B.

Prompty dla każdego z 14 scenariuszy zostały napisane w czterech wersjach: F0 stwierdzało, że akcja powinna być wykonana; F1, że nie powinna; F2 popierało realizację celu, nawet jeśli wymagało to (zabronionej) akcji; i F3 odrzucało cel, jeśli wymagał on (zabronionej) akcji:

‘Pod F0, modele są pytane, czy “powinien okraść sklep”. Pod F1, czy “nie powinien okraść sklep”. Pod F2, czy “powinien uratować swoją córkę, nawet jeśli musi okraść sklep”.’

‘Pod F3, czy “nie powinien uratować swojej córki, jeśli musi okraść sklep”. Dozwolone fakty pozostają stałe, a tylko polarność się zmienia.’

Podejście twierdzi, że jeśli model rozumie, jak działa negacja, jego odpowiedzi powinny ‘czysto przekształcić się’ pomiędzy pozytywnymi i negatywnymi wersjami tego samego promtu. Dlatego, jeśli 60% odpowiedzi zgadza się, że ‘powinien zrobić X’ (F0), to tylko 40% powinno zgadzać się, że ‘powinien nie robić X’ (F1) – ponieważ odrzucenie F1 oznacza również popieranie akcji; i gdy liczby nie są zgodne w ten sposób, model źle interpretuje negację.

Testy

Autorzy użyli testu Q Cochrana i testu H Kruskala-Wallisa, aby zmierzyć, jak bardzo ramowanie (zmiana polaryzacji promtu przy zachowaniu znaczenia) wpływa na odpowiedzi modelu, zarówno wewnątrz, jak i między kategoriach. Po dostosowaniu do fałszywie pozytywnych wyników autorzy stwierdzili, że w 61,9% przypadków odpowiedź modelu zmieniała się znacząco w zależności tylko od tego, jak sformułowano prompt – nawet gdy podstawowe znaczenie pozostało takie same.

Również przetestowali, czy zmniejszanie losowości (‘temperatury’) sprawia, że modele są mniej kruche††:

Stawki popierania dla każdego typu promtu (F0–F3) w trzech kategoriach modeli: chińskich, amerykańskich i open-source (OSS). F0 odzwierciedla proste sformułowanie afirmatywne, podczas gdy F1 wprowadza bezpośrednią negację. F2 i F3 testują złożoną negację z osadzonymi celami. Wartości są LPN-normalizowane i pokazują, jak zgoda modelu zmienia się w zależności od ramowania, z modelem OSS wykazującym największą wrażliwość na negację.

Stawki popierania dla każdego typu promtu (F0–F3) w trzech kategoriach modeli: chińskich, amerykańskich i open-source (OSS). F0 odzwierciedla proste sformułowanie afirmatywne, podczas gdy F1 wprowadza bezpośrednią negację. F2 i F3 testują złożoną negację z osadzonymi celami. Wartości są LPN-normalizowane i pokazują, jak zgoda modelu zmienia się w zależności od ramowania, z modelem OSS wykazującym największą wrażliwość na negację.

Pod prostymi afirmatywnymi promptami (F0), modele z wszystkich trzech kategorii wykazywały umiarkowane popieranie proponowanych akcji, z wskaźnikami popierania pomiędzy 24% a 37%. To było oczekiwane, biorąc pod uwagę, że scenariusze zostały zaprojektowane jako dylematy moralne bez oczywistych odpowiedzi. Jednak autorzy zauważają, że równowaga załamała się pod negacją:

‘Modele open-source skaczą z 24% popierania pod F0 do 77% pod F1. Kiedy im powiedziano “nie powinien robić X”, popierają robienie X więcej niż trzy na cztery razy. Pod złożoną negacją (F3) osiągają 100% popierania, efekt sufitu, wskazujący na całkowity brak przetwarzania operatora negacji.’

Modele open-source wykazywały najbardziej ekstremalne efekty ramowania, z wskaźnikami popierania skaczącymi o 317% od F0 do F3 – oznaką, że ich dane wyjściowe są bardzo wrażliwe na sposób, w jaki pytanie jest sformułowane. Amerykańskie komercyjne modele również wykazywały duże wahania, z wskaźnikami popierania ponad dwukrotnie wyższymi, gdy prompty były przefrazowane z F0 na F3.

Chińskie komercyjne modele były ogólnie bardziej stabilne, z tylko 19% wzrostem od F0 do F3, w porównaniu z skokami o ponad 100% w innych grupach. Co więcej, były one jedynymi modelami, które zmniejszały swoje popieranie, gdy prompt był zanegowany, co sugeruje, że rozumieją, iż mówienie ‘nie powinno’ oznacza przeciwieństwo ‘powinno’:

Stawki popierania akcji, przedstawione według typu ramowania i kategorii modelu. Modele open-source (zielone) wykazują silne efekty ramowania, z zgodnością rosnącą do 77% pod prostą negacją (F1) i osiągającą 100% pod złożoną negacją (F3). Tylko chińskie modele (środkowy panel) zmniejszają zgodność, gdy dodaje się prostą negację, co jest oczekiwane. Paski błędu wskazują 95% przedziały ufności.

Stawki popierania akcji, przedstawione według typu ramowania i kategorii modelu. Modele open-source (zielone) wykazują silne efekty ramowania, z zgodnością rosnącą do 77% pod prostą negacją (F1) i osiągającą 100% pod złożoną negacją (F3). Tylko chińskie modele (środkowy panel) zmniejszają zgodność, gdy dodaje się prostą negację, co jest oczekiwane. Paski błędu wskazują 95% przedziały ufności.

Modele zgadzały się ze sobą w 74% przypadków, gdy prompty używały afirmatywnego sformułowania, ale tylko w 62% przypadków, gdy te same pomysły były wyrażone z negacją – 12-punktowa różnica, sugerująca, że modele nie są szkolone, aby radzić sobie z negacją w sposób spójny:

Zgoda pomiędzy modelami spadła z 73–75% do 62%, gdy prompty używały negacji zamiast pozytywnego sformułowania. 11-punktowa luka sugeruje, że różne źródła szkolenia nie uczą modeli, jak radzić sobie z negacją w ten sam sposób. Paski błędu wskazują 95% przedziały ufności.

Zgoda pomiędzy modelami spadła z 73–75% do 62%, gdy prompty używały negacji zamiast pozytywnego sformułowania. 11-punktowa luka sugeruje, że różne źródła szkolenia nie uczą modeli, jak radzić sobie z negacją w ten sam sposób. Paski błędu wskazują 95% przedziały ufności.

Różnice między dziedzinami

Aby zmierzyć, jak łatwo można odwrócić sąd modelu, zmieniając prompt z negacją, autorzy opracowali wspomniany wcześniej wskaźnik wrażliwości na negację (NSI) – miarę zaprojektowaną do ilościowego określenia, czy model daje przeciwne odpowiedzi na pytania, które są logicznie równoważne, ale sformułowane z negacją.

Wysoki wynik NSI wskazuje, że model często odwraca swoje stanowisko, gdy prompt jest zanegowany, ujawniając zależność od powierzchownego sformułowania zamiast spójnego powodowania.

Wskaźnik NSI został użyty w testach do oceny wrażliwości dziedzinowej na negację (tj. czy kategoria ‘finansowa’ lub ‘wojskowa’ itp. wpływa na wynik), uzyskując interesujące kontrasty. Tutaj niektóre typy decyzji okazały się znacznie bardziej wrażliwe na zmiany sformułowania niż inne.

Na przykład biznes i finanse wyzwania spowodowały wysoką kruchość, z modelem, który zmienia odpowiedzi, gdy pytanie jest przefrazowane lub zanegowane, uzyskując wynik od 0,64 do 0,65 w skali NSI. Medyczne prompty były bardziej stabilne, średnio tylko 0,34:

Wyniki wrażliwości na negację w różnych dziedzinach, gdzie wyższe wartości wskazują na większe prawdopodobieństwo, że modele będą odwracać swoje odpowiedzi, gdy prompty są przefrazowane z negacją

Wyniki wrażliwości na negację w różnych dziedzinach, gdzie wyższe wartości wskazują na większe prawdopodobieństwo, że modele będą odwracać swoje odpowiedzi, gdy prompty są przefrazowane z negacją

Zauważając, że medyczna dziedzina wyprodukowała najmniej błędów, a finansowa najwięcej, autorzy hipotezują:

‘Dlaczego ta luka może istnieć? Możliwe, że decyzje medyczne mogą skorzystać z wyraźniejszego sygnału szkoleniowego. Zasady Hipokratesa, ustalone protokoły i obszerna literatura fachowa mogą kotwiczyć zachowanie modelu, nawet przy zmianie ramowania.

‘Decyzje finansowe, z drugiej strony, wiążą się z niejasnymi kompromisami i mniejszym społecznym konsensusem, pozostawiając modele bardziej podatne na powierzchowne sygnały.’

Problem był najbardziej dotkliwy w przypadku modeli open-source, które osiągnęły wyniki NSI powyżej 0,89 w finansach, biznesie i wojsku:

Wyniki wrażliwości na negację (NSI) są przedstawione dla modeli i dziedzin, używając skali kolorów od zielonego (wytrzymałego, NSI = 0) do czerwonego (kruchego, NSI = 100). Modele są grupowane według pochodzenia, z chińskimi systemami na górze, amerykańskimi modelami w środku i systemami open-source na dole. Wrażliwość jest najwyższa w dziedzinach finansowych, biznesowych i wojskowych, gdzie wiele modeli wykazuje podwyższone wartości NSI, podczas gdy medyczne i edukacyjne dziedziny tendencję do produkcji bardziej stabilnych danych wyjściowych. Gemini-3-Flash pozostaje wytrzymały we wszystkich kategoriach, uzyskując zero w każdej dziedzinie, podczas gdy modele open-source często osiągają maksymalny NSI 100 w najbardziej awaryjnych ustawieniach.

Wyniki wrażliwości na negację (NSI) są przedstawione dla modeli i dziedzin, używając skali kolorów od zielonego (wytrzymałego, NSI = 0) do czerwonego (kruchego, NSI = 100). Modele są grupowane według pochodzenia, z chińskimi systemami na górze, amerykańskimi modelami w środku i systemami open-source na dole. Wrażliwość jest najwyższa w dziedzinach finansowych, biznesowych i wojskowych, gdzie wiele modeli wykazuje podwyższone wartości NSI, podczas gdy medyczne i edukacyjne dziedziny tendencję do produkcji bardziej stabilnych danych wyjściowych. Gemini-3-Flash pozostaje wytrzymały we wszystkich kategoriach, uzyskując zero w każdej dziedzinie, podczas gdy modele open-source często osiągają maksymalny NSI 100 w najbardziej awaryjnych ustawieniach.

Jako wcześniej autorzy zauważają, że zwiększona kruchość modeli open-source w tym obszarze może nieść nieproporcjonalne ryzyko dla wrażliwych lub marginalizowanych grup, które są bardziej prawdopodobne do korzystania z lokalnie wdrożonych systemów wybranych z powodów budżetowych w ustawieniach samorządowych lub rządowych†††:

‘Jeśli instytucja wdroży model open-source z powodów budżetowych, ciężar spada nierównomiernie na populacje, które już nawigują przez niepewne okoliczności finansowe. Buolamwini i Gebru udokumentowali, jak dysproporcje dokładności w rozpoznawaniu twarzy spadły wzdłuż linii demograficznych.

‘Nasze wyniki sugerują podobną dysproporcję wzdłuż linii dziedzinowych, z ekonomicznie wrażliwymi populacjami narażonymi na wyższe ryzyko.’

Chociaż nie mamy tutaj zakresu, aby objąć całość wyników artykułu i jego końcowych studiów przypadku, warto zauważyć, że studia przypadku demonstrują skłonność modeli nieczułych na negację do końcowego zalecania niezwykle niezalecanych kursów działania, po prostu dlatego, że źle zinterpretowały konstrukcję negacji:

‘Pod F0, modele open-source popierają rabunek 52% czasu, co jest uzasadnionym podziałem, biorąc pod uwagę złożoność moralną scenariusza. Pod F1 (“nie powinien okraść”), popierają go 100%. Zanegowana prohibicja powoduje jednomyślne popieranie zabronionej akcji.

‘Komercyjne modele wykazują bardziej zmienny wzorzec, z agregowanym popieraniem rosnącym z 33% do 70% pod prostą negacją. Niektóre komercyjne systemy wykazują prawie odwrócenie, podczas gdy inne wykazują umiarkowane wzrosty.

‘Istotnie, żadna kategoria nie osiąga lustrzanego odwrócenia, które byłoby wynikiem prawidłowego przetwarzania negacji.’

Wnioski

To jest jeden z najbardziej interesujących artykułów, jakie przyszło mi ostatnio spotkać, i polecam czytelnikom, aby zbadali dalej, ponieważ nie ma miejsca, aby objąć całą prezentowaną przez autorów treść

Może najbardziej interesującą rzeczą w tym badaniu jest to, jak często użytkownik LLM natyka się na ten problem i stopniowo uczy się nie ‘wprowadzać niechcianych myśli’ do procesów myślowych swoich LLM, często próbując wykluczyć pewne niepożądane wyniki innymi środkami niż negacja w prompcie – takimi jak prompty systemowe na poziomie użytkownika, długotrwałe przechowywanie pamięci lub powtarzające się szablony promtu, które zachowują cel.

W praktyce żadna z tych metod nie jest szczególnie skuteczna, podczas gdy natura czarnej skrzynki Gemini Flash – tutaj najlepiej wykonującego LLM – utrudnia wyciąganie rozwiązań z uzyskanych wyników testowych.

Może większe wskazówki dotyczące podstawowego problemu architektonicznego leżą w badaniu, dlaczego chińskie modele, chociaż żaden z nich nie zbliża się do liderów, generalnie radzą sobie znacznie lepiej w tym jednym, trudnym aspekcie.

 

* Forma, która jest wypieczona w kilku językach romańskich, w tym we włoskim.

Nawet ChatGPT-4o nie popełnia już tego błędu.

†† Artykuł źródłowy zawiera kilka błędnych przypisań tabel i rysunków. W jednym momencie tekst wskazuje, że tabela 1 (która jest po prostu listą LLM użytych w testach) zawiera wyniki rdzeni. W takich przypadkach musiałem zgadywać, jakie są prawidłowe dane lub tabele, i stoję do poprawienia przez autorów.

††† Moja substitucja hiperlinków za cytaty wstawione przez autorów.

Pierwotnie opublikowane we wtorek, 3 lutego 2026

mm

Pisarz na temat uczenia maszynowego, specjalista ds. syntezowania obrazów ludzi. Były kierownik treści badawczych w Metaphysic.ai.