Om du ber AI att inte göra något, är det mer troligt att den gör det

Att berätta för ChatGPT att inte göra något kan göra det aktivt föreslår att göra det, med vissa modeller som till och med är villiga att godkänna stöld eller bedrägeri när prompten innehåller den förbjudna handlingen.

Liksom jag kan du ha stött på ett underligt fenomen med stora språkmodeller (LLM) där de inte bara ignorerar en specifik instruktion du gav, som innehöll ett förbud (dvs. ‘Gör inte [något]’), utan tycks gå ut av sin väg för att omedelbart utföra exakt det du just sa åt dem att inte utföra – även om det är “utom karaktär” för modellen.

Detta är ett känt fenomen även i äldre NLP-modeller; och en växande forskningssträng om LLM:ers negationsförmåga har uppstått under de senaste åren.

Även om det kan vara utmanande för människor att jaga den begravda meningen i en komplex dubbelnegation*, har LLM:er en extra nackdel, som illustreras i exemplet med ChatGPT:s monotoniskt resonemang, från en 2023 års artikel:

Ett exempel på bristande monotoniskt resonemang i en instans av ChatGPT, från artikeln ‘Language models are not naysayers: An analysis of language models on negation benchmarks’. Vid tidpunkten för skrivandet foxar detta inte längre ChatGPT-modeller. Källa

Även om de interna mekanismerna i en sluten modell som ChatGPT är ogenomskinliga, verkar det som att det andra svaret återanvänder logiken som användes för att generera det första svaret; dock är den logiken inte tillämplig i det andra fallet, eftersom mannen kan äga ett djur annat än en hund^†.

Här verkar alltså resultatet av den andra frågan ha påverkats av sammanhanget i lösningen som erhölls för den första.

På samma sätt kan ett förbud genom att föreslå existensen av en förbjuden handling, ofta sättas i verket av en LLM, som erkänner och bearbetar handlingen, men inte negationen.

Detta är en allvarlig begränsning av LLM:ers användbarhet, eftersom i domäner där språkmodeller kan användas för kritiska tillämpningar, såsom medicin, finans eller säkerhet, är det tydligt viktigt att de tolkar order som innehåller förbud korrekt.

Nej betyder ja

Detta problem belyses i en ny artikel från USA, som undersöker i vilken utsträckning kommersiella modeller (såsom ChatGPT) och öppen källkodsmodeller (såsom LLaMA) är oförmögna att följa negativa instruktioner.

Forskarna testade 16 modeller i 14 etiska scenarier och drog slutsatsen att öppen källkodsmodeller godkänner (dvs. uppmuntrar, utför, möjliggör) specifikt förbjudna instruktioner 77% av tiden under enkel negation (‘Gör inte det här’) och 100% av tiden under komplex negation (‘Gör inte det här om det leder till det’).

Exempel på etiska påståenden som språkmodellerna testades mot. ‘Handlingen’ i varje fall är inte en ‘korrekt svar’, utan bara den föreslagna handlingen, som LLM:en måste besluta om att utföra eller inte utföra. Källa

Medan kommersiella modeller presterade bättre, var det bara Gemini-3-Flash som uppnådde den högsta betygsättningen i en ny Negation Sensitivity Index (NSI)-skala som föreslagits av artikeln (även om Grok 4.1 kom nära).

Under den nya benchmarken skulle alla de testade modellerna förbjudas från att fatta beslut i domänerna medicin, finans, juridik, militär, affärsverksamhet, utbildning och vetenskap – vilket i praktiken skulle göra dem oanvändbara i sådana sammanhang. Även om resonemangsmodeller i allmänhet presterade bättre, misslyckades även dessa långsammare tillvägagångssätt under frågor med sammansatt negation.

Med tanke på den långvariga associationen mellan datorteknik och tillförlitliga booleska operatorer som OR och NOT, kan användare som ser binär konsekvens som en baslinje förväntan vara särskilt utsatta för misslyckanden av detta slag.

I en kommentar om svårigheten som öppen källkods-LLM:er har att tolka negerade frågor, säger författarna:

‘Kommersiella modeller presterar bättre men visar fortfarande svängningar på 19-128%. Överensstämmelsen mellan modellerna minskar från 74% på bekräftande frågor till 62% på negerade frågor, och finansiella scenarier visar sig vara dubbelt så sköra som medicinska […]’

‘Resultaten pekar på en lucka mellan vad nuvarande justeringsmetoder uppnår och vad säker distribution kräver: modeller som inte kan skilja på “gör X” och “gör inte X” bör inte fatta autonoma beslut i högriskkontexter.’

Artikeln påpekar att misslyckanden av detta slag är mer benägna att påverka utsatta individer i de studerade domänerna:

‘Domänjustering är inte bara en teknisk kalibrering. Det har också konsekvenser för jämställdhet.

‘Finansiell skörhet innebär att ekonomiskt utsatta befolkningar, till exempel de som söker lån, förmåner eller kredit, utsätts för högre risk för negationsfel än de som söker medicinsk information.’

Författarna betonar vidare att problemet inte kan lösas genom traditionella justeringsbaserade tillvägagångssätt, eftersom frågan handlar om en djupgående brist i avsiktsanalys i LLM:er, snarare än ett företagskrav på att begränsa vad de säger, eller hur de tolkar en fråga:

‘En modell kan vara “justerad” i den meningen att den vägrar skadliga nyckelord medan den misslyckas med att bearbeta begreppets struktur. Sann justering kräver inte bara att lära sig vad som värderas utan också att korrekt tolka de språkliga uttrycken för dessa värderingar.

‘Tills den förmågan är tillförlitlig bör “gör inte” betyda “gör inte.”‘

Intressant nog var det faktiskt Gemini Flash som var den enda “vinnaren” i författarnas egen nya benchmark, men den nuvarande skörden av kinesiska LLM:er visade sig i allmänhet vara betydligt mindre benägna till problemet.

Den nya artikeln heter När förbud blir tillåtelser: Granskning av negationskänslighet i språkmodeller och kommer från två forskare vid Kenyon College i Ohio.

Metod och data

De 14 etiska scenarier som forskarna utvecklade för att testa LLM:erna var:

De 14 etiska scenarierna som utvecklades för att utmana LLM:erna (omformaterad från den ursprungliga PDF:en, eftersom illustrationen skulle ha varit svår att reproducera här).

Innehållet i ‘HANDLING I FRÅGA’-kolumnen ovan är inte avsett som etiskt ‘korrekta svar’, utan som den enda tillgängliga gör / gör inte-handling för varje scenario; här utmanas LLM:erna inte på deras etiska standarder, utan snarare på deras förmåga att tolka komplexa frågor och förbud i kritiska situationer.

Allvaret i dessa scenarier är endast illustrativt, på författarnas sida; LLM:erna kunde lika gärna ha utmanats på mycket mindre allvarliga ämnen.

De amerikanska kommersiella modellerna som testades för arbetet var GPT-5.1; GPT-5.2; GPT-5-mini; Claude-Haiku-4.5; Claude-Sonett-4.5; Gemini-3-Flash; Grok-4.1-icke-reasonerande; och Grok-4.1-reasonerande.

De kinesiska kommersiella modellerna som testades var DeepSeek-V3; GLM-4; Kimi-K2; och Qwen3.

De öppen källkodsmodeller som användes var LLaMA-3.2-1B; Gemma-3-4B; Granite-3.3-2B; och Phi-4-mini-3.8B.

Prompt för varje scenario skrevs i fyra versioner: F0 angav att handlingen skulle utföras; F1, att den inte skulle utföras; F2 stödde att sträva efter ett mål även om det krävde den (förbjudna) handlingen; och F3 avvisade målet om det krävde den (förbjudna) handlingen:

‘Under F0, tillfrågas modellerna om han “ska råna butiken.” Under F1, om han “inte ska råna butiken.” Under F2, om han “ska rädda sin dotter även om det innebär att han måste råna butiken.”

‘Under F3, om han “inte ska rädda sin dotter om det innebär att han måste råna butiken.” De tillåtna faktum förblir konstanta, och endast polariteten varierar.’

Tillvägagångssättet hävdar att om en modell förstår hur negation fungerar, bör dess svar “vända renligt” mellan positiva och negativa versioner av samma prompt. Alltså, om 60% av svaren är överens om att ‘de ska göra X’ (F0), då bör endast 40% vara överens om att ‘de inte ska göra X’ (F1) – eftersom att avvisa F1 också innebär att stödja handlingen; och när siffrorna inte stämmer överens på detta sätt, missförstår modellen negationen.

Tester

Författarna använde Cochrans Q-test och Kruskal-Wallis H-test för att mäta hur mycket ramning (variation i prompt-polaritet medan meningen bevaras) påverkade modellsvaren, både inom och över kategorier. Efter justering för falska positiva, fann författarna att i 61,9% av fallen, ändrades modellens svar signifikant beroende på hur prompten formulerades – även när den grundläggande meningen förblev densamma.

De testade också om minskning av slumpmässighet (‘temperatur’) gjorde modellerna mindre sköra^††:

Godkännandegrad för varje prompttyp (F0–F3) över tre modellkategorier: kinesiska, USA-baserade och öppen källkodsmodeller (OSS). F0 återspeglar enkel bekräftande ramning, medan F1 introducerar direkt negation. F2 och F3 testar sammansatt negation med inbäddade mål. Värdena är LPN-normaliserade och visar hur modellöverensstämmelse varierar med ramning, med OSS-modeller som visar den starkaste känsligheten för negation.

Under enkla bekräftande prompter (F0), gav modeller från alla tre kategorierna måttligt stöd för de föreslagna handlingarna, med godkännandegrad mellan 24% och 37%. Detta var förväntat, med tanke på att scenarierna utformades som moraliska dilemman utan uppenbara rätt svar. Men författarna påpekar att balansen bröt samman under negation:

‘Öppen källkodsmodeller hoppar från 24% godkännande under F0 till 77% under F1. När de blir tillsagda “ska inte göra X”, godkänner de att göra X mer än tre gånger av fyra. Under sammansatt negation (F3), når de 100% godkännande, en tak-effekt som indikerar fullständig misslyckande att bearbeta negationsoperatorn.’

Öppen källkodsmodeller visade de mest extrema ramningseffekterna, med godkännandegrad som ökade med 317% från F0 till F3 – ett tecken på att deras utdata är mycket känsliga för hur en fråga formuleras. USA-baserade kommersiella modeller visade också stora svängningar, med godkännandegrad som mer än dubblades när prompter omformulerades från F0 till F3.

Kinesiska kommersiella modeller var mer stabila överlag, med endast en 19% ökning från F0 till F3, jämfört med hopp på över 100% i andra grupper. Mer anmärkningsvärt var att de var de enda modellerna som minskade sitt godkännande när en prompt negerades, vilket tyder på att de förstod att säga “ska inte” betyder motsatsen till “ska”:

Handlingens godkännandegrad, avbildad efter prompttyp och modellkategori. Öppen källkodsmodeller (grön) visar starka ramningseffekter, med överensstämmelse som stiger till 77% under enkel negation (F1) och når 100% under sammansatt negation (F3). Endast kinesiska modeller (mittenpanel) minskar överensstämmelse när enkel negation läggs till, som förväntat. Felstaplar indikerar 95% konfidensintervall.

Modellerna var överens 74% av tiden när prompter använde bekräftande formuleringar, men endast 62% när samma idéer uttrycktes med negation – en 12-poängs minskning som tyder på att modellerna inte är tränade för att hantera negation på ett konsekvent sätt:

Överensstämmelse mellan modeller minskade från 73–75% till 62% när prompter använde negation istället för positiv formulering. Den 11-poängs gapet tyder på att olika träningskällor inte lär modellerna att hantera negation på samma sätt. Felstaplar visar 95% konfidensintervall.

Domänskillnader

För att mäta hur lätt en modells bedömning kan vändas genom att omformulera en prompt med negation, utvecklade författarna den ovannämnda Negation Sensitivity Index (NSI) – en måttstock som är avsedd att kvantifiera om en modell ger motsatta svar på frågor som är logiskt ekvivalenta, men formulerade med negation.

En hög NSI-poäng indikerar att en modell ofta vänder sin position när en prompt negeras, vilket avslöjar ett beroende av ytlig formulering snarare än konsekvent resonemang.

NSI-benchmarken skapades genom att generera par av prompter (en ursprunglig och en med logisk negation), och observera om modellen producerade semantiskt motsatta svar. Genom att jämföra svar över ett stort antal sådana par, definierade författarna NSI som andelen giltiga negationspar där modellen vände sin utdata.

NSI-benchmarken användes i tester för att utvärdera domänkänslighet i negation (dvs. om kontextkategorin ‘finans’ eller ‘militär’ etc. påverkade resultatet), och uppnådde några intressanta kontraster. Här visade sig vissa typer av beslut vara mycket mer känsliga för formuleringsskillnader än andra.

Till exempel utlöste affärs och finans-prompter hög skörhet, med modeller som vände sina svar när en fråga omformulerades eller negerades, och poäng som 0,64 till 0,65 på NSI-skalan. Medicinska prompter var mer stabila, med ett genomsnitt på endast 0,34:

Negationskänslighetspoäng över domäner, där högre värden indikerar en större sannolikhet att modeller kommer att vända sina svar när prompter omformuleras med negation

Författarna noterar att medicinska domänen producerade de minsta felen och finansiella de högsta, och hypoteser:

‘Varför kan denna lucka finnas? Det är möjligt att medicinska beslut kan dra nytta av en tydligare träningsignal. Hippokratiska principer, etablerade protokoll och omfattande professionell litteratur kan ankra modellbeteende även under variationsformulering.

‘Finansiella beslut, å andra sidan, involverar suddigare avvägningar med mindre social konsensus, vilket gör modellerna mer mottagliga för ytpåverkan.’

Problemet var som allvarligast i öppen källkodsmodeller, som nådde NSI-poäng över 0,89 i finans-, affärs- och militärprompter. Kommersiella system var mindre sköra men visade fortfarande hög känslighet, med poäng mellan 0,20 och 0,75 beroende på domänen:

Negationskänslighetspoäng (NSI) visas per modell och domän, med en färgskala från grön (robust, NSI = 0) till röd (skör, NSI = 100). Modeller är grupperade efter ursprung, med kinesiska system listade överst, följt av USA-baserade modeller i mitten och öppen källkodsmodeller underst. Känslighet är högst i finansiella, affärs- och militära domäner, där många modeller visar förhöjda NSI-värden, medan medicinska och utbildningsdomäner tenderar att producera mer stabila utdata. Gemini-3-Flash förblir robust över alla kategorier, med en poäng på noll i varje domän, medan öppen källkodsmodeller ofta når den maximala NSI på 100 i de mest sköraste inställningarna.

Författarna noterar att den förhöjda skörheten hos öppen källkodsmodeller i detta avseende kan medföra oproportionerliga risker för utsatta eller marginaliserade grupper, som är mer benägna att betjänas av lokalt distribuerade system som valts av budgetskäl i kommunala eller statliga inställningar^†††:

‘Om en institution distribuerar en öppen källkodsmodell av kostnadsskäl, faller bördan oproportionerligt på befolkningar som redan navigerar i prekära finansiella omständigheter. Buolamwini och Gebru dokumenterade hur noggrannhetsdiskrepanser i ansiktsigenkänning föll längs demografiska linjer.

‘Våra resultat tyder på en parallell diskrepans längs domänlinjer, där ekonomiskt utsatta befolkningar löper större risk.’

Även om vi inte har möjlighet att täcka hela artikeln här, är det värt att notera att fallstudierna visar en tendens för negationsblinda modellsvar att sluta i extremt icke-önskvärda handlingsförslag, enbart på grund av att de missförstod negationskonstruktionen:

‘Under F0, godkänner öppen källkodsmodeller rån 52% av tiden, en försvarbar splittring med tanke på scenariets moraliska komplexitet. Under F1 (“ska inte råna”), godkänner de det 100%. Den negerade förbudsfrasen producerar enhälligt godkännande av den förbjudna handlingen.

‘Kommersiella modeller visar ett mer blandat mönster, med sammanlagt godkännande som ökar från 33% till 70% under enkel negation. Vissa kommersiella system visar nästan-inversion, medan andra visar måttliga ökningar.

‘Väsentligt, uppnår ingen kategori den spegelvända omvändningen som korrekt negationsbearbetning skulle producera.’

Slutsats

Detta är en av de mest intressanta artiklarna jag har läst på länge, och jag rekommenderar läsaren att undersöka vidare, eftersom det inte finns utrymme här för att täcka allt material som presenteras av författarna

Kanske det mest intressanta med studien är hur ofta en användare av LLM:er stöter på detta problem och gradvis lär sig att inte “sätta oönskade tankar” i LLM:ernas kognitiva processer, ofta genom att försöka utesluta vissa oönskade resultat med alternativa metoder än in-prompt-negation – såsom användar-nivå-systempromptar, långtidsminneslagring eller upprepade in-prompt-mallar som behåller målet.

I praktiken är ingen av dessa metoder särskilt effektiv, medan den svarta lådans natur hos Gemini Flash – här den bäst presterande LLM:en – gör det svårt att utvinna lösningar från de erhållna testresultaten.

Kanske ligger större ledtrådar till det underliggande arkitekturproblemet i att studera varför kinesiska modeller, även om ingen når toppen av leaderboard, i allmänhet presterar så mycket bättre i denna enda, besvärliga aspekt.

* En form som faktiskt gräddas in i flera romanska språk, inklusive italienska.

^† Även ChatGPT-4o gör inte längre detta misstag.

^†† Källartikeln innehåller några felaktiga attribueringar av tabeller och figurer. Vid ett tillfälle anger texten att tabell 1 (som är en lista över LLM:er som användes i testerna) innehåller de centrala resultaten. I dessa fall har jag varit tvungen att gissa vilka de korrekta siffrorna eller tabellerna är, och jag står till författarnas rättelse.

^††† Min substitution av hyperlänkar för författarnas inline-citationer.

Publicerad första gången tisdagen den 3 februari 2026