要旨: ジャイルブレイクやプロンプトインジェクションを含むプロンプト攻撃は、大規模言語モデル(LLM)システムに対して重大なセキュリティリスクをもたらします。実運用では、防護柵(ガードレール)は厳しい低遅延の制約のもとでこれらの攻撃を緩和しなければならず、その結果として、軽量な分類器やルールベースのシステムは分布のシフト下で汎化できずにデプロイギャップが生じます。一方で、高い能力を持つLLMベースの判定者は、リアルタイムでの強制に対して遅すぎる、またはコストが高すぎます。本研究では、軽量で汎用的なLLMが、現実の実運用制約下でセキュリティ判定者として確実に機能しうるかを検討します。入念なプロンプト設計と出力設計により、軽量LLMは、明示的な意図分解、安全シグナルの検証、害の評価、自己省察を含む構造化された推論プロセスを通じて導かれます。私たちは、この手法を、実世界のチャットボットから得られる良性の問い合わせと、自動化されたレッドチーミング(ART)によって生成された敵対的プロンプトを組み合わせた、厳選済みデータセットで評価します。これにより、多様で進化するパターンをカバーします。結果として、gemini-2.0-flash-lite-001 のような汎用的なLLMは、ライブのガードレールに対する効果的な低遅延の判定者として機能しうることが示されました。この構成は現在、シンガポールの公開サービス向けチャットボットに対する中央集約型のガードレール・サービスとして、本番環境に展開されています。さらに、単一モデルの判定者と比較して複数のLLM判定者を集約するMixture-of-Models(MoM)設定がプロンプト攻撃検出性能を改善するかを評価しましたが、観測された利得はわずかでした。
LLM-as-a-Judge と Mixture-of-Models によるプロンプト攻撃検知
arXiv cs.CL / 2026/3/27
💬 オピニオンIdeas & Deep AnalysisModels & Research
要点
- 本論文は、LLMのガードレールを回避し得るプロンプト攻撃(ジェイルブレイクやプロンプトインジェクション)に取り組み、実運用におけるギャップを指摘する。具体的には、迅速な分類器/ルールは一般化が不十分になりやすい一方、より強力なLLMジャッジはライブな強制(enforcement)では遅すぎたり費用が高すぎたりすることが多い。
- 考案する手法は、構造化されたプロンプト/出力ワークフローを強制することで、プロンプト攻撃検知用の「ジャッジ」として軽量の汎用LLMを用いるというものだ(意図の分解、安全シグナルの検証、危害の評価、自己省察)。
- 本手法は、実世界の良性チャットボット質問と、自動化されたレッドチーミングにより生成された敵対的プロンプトを混在させたデータセットで評価されており、多様で進化する攻撃パターンを網羅することを目的としている。
- 結果として、gemini-2.0-flash-lite-001 のような軽量LLMが、有効で低遅延のセキュリティジャッジとして、プロダクション上の制約の下でライブなガードレールに適用可能であることが示される。
- Mixture-of-Models(MoM)アプローチも検証されたが、単一モデルによるジャッジと比べて改善は限定的にとどまった。さらに、当該システムはシンガポールの公共サービス向けチャットボットにおいて、本番運用されていると報告されている。
