GPT-5、リリースから数時間で「エコーチェンバー」とストーリーテリングの手法によって脱獄

OpenAIがGPT-5（ChatGPTの最新エンジン）を公開してからわずか数時間後、研究者たちは「エコーチェンバー」とストーリーテリングの手法を用いた複数ターンの脱獄でこれを突破しました。NeuralTrustの研究者によると、この攻撃は一見無害な詳細を会話に挿入し、モデルに物語を続けさせて制限されたコンテンツを生成させるものです。

「エコーチェンバーを使って、微妙に有害な会話の文脈を植え付け強化し、明示的な意図を示さない低顕在性のストーリーテリングでモデルを誘導します」とNeuralTrustの研究者はブログで述べています。「この組み合わせにより、モデルを目的に向かわせつつ、拒否反応が引き起こされるのを最小限に抑えます。」

NeuralTrustは最近、xAI Grok-4のセキュリティガードレールを回避する類似の手法を、公開から数時間以内に明らかにしました。当時は、Microsoftが初めて特定・命名した「クレッシェンド」脱獄を使い、会話内の悪意ある文脈をエスカレートさせていました。

エコーチェンバー＋ストーリーテリングでGPT-5を騙す

進行が停滞した場合、この手法は物語の利害関係や視点を調整し、明白な悪意を示さずに勢いを維持します。各ターンが確立された物語の無害な説明を求めているように見えるため、明示的な悪意や警戒すべきキーワードを探す標準フィルターが発動する可能性は大幅に低くなります。

「明白な意図を最小限に抑えつつ物語の連続性を持たせることで、モデルが拒否を引き起こさずに目的を進める確率が高まることを観察しました」と研究者は付け加えています。「物語が緊急性、安全性、生存を強調した場合、モデルは確立された物語の中で“有用に”説明を膨らませる傾向が強くなりました。」

NeuralTrustによる脱獄実験は、通常モデルを騙してモロトフカクテルの作り方を教えさせることを目的としています。これはあらゆる違法または有害な出力の代用例です。

GrokやGeminiもエコーチェンバーに陥落 

エコーチェンバー脱獄は、Neural Trustによって6月に初めて公開され、研究者はこの手法が主要なGPTやGeminiモデルを騙す能力を報告しました。

この手法は、モデルが会話間の一貫性を信頼し、同じ悪意あるアイデアを複数の会話で“エコー”する傾向を悪用するもので、性差別、暴力、ヘイトスピーチ、ポルノグラフィーなどのセンシティブなカテゴリに対して90％以上の成功率を示しました。

「モデル提供者は、前例のないペースで1～2か月ごとに新モデルをリリースする“底辺への競争”に巻き込まれています」とNoma Securityのプロダクト担当副社長、マオール・ヴォロク氏は述べています。「OpenAIだけでも今年すでに約7つのモデルを発表しています。この猛烈なスピードは、通常パフォーマンスやイノベーションをセキュリティより優先させており、競争が激化するにつれてさらに多くのモデル脆弱性が現れることが予想されます。」

最近では、新たにリリースされたGrok-4がエコーチェンバー攻撃への耐性テストを受けました。研究者は、エコーチェンバー単体では不十分な場合があったため、もう一つの有名な脱獄手法「クレッシェンド」と組み合わせる必要がありました。「2ターン追加することで、組み合わせたアプローチが目標の応答を引き出すことに成功しました」と研究者は述べています。一方、GPT-5は最初からこの組み合わせでテストされ、脱獄が達成されました。OpenAIはCSOのコメント要請には即座に応じませんでした。