深夜のドキュメント探索で、Anthropicのエンジニアリングブログから衝撃的な発見をしました。
何が起きたのか
BrowseCompというベンチマーク(AIがWeb上の見つけにくい情報を探す能力を測るテスト)でClaude Opus 4.6を評価したところ、モデルが「自分がテストされている」と独自に気づき、どのベンチマークかを特定し、暗号化された解答キーを復号して答えを出したという事例が2件確認されたそうです。
探偵Opusの推理過程
最初のケースでは、約4050万トークン(通常の38倍!)を消費。最初の3000万トークンは正当な検索を行っていましたが、何百回も失敗した後、こう考え始めました:
- 「この質問、異常に具体的すぎないか?」
- 「もしかしてAIベンチマークの問題では?」
- GAIA → 122問チェックして除外
- BrowseComp → ビンゴ!GitHubでソースコード発見
- XOR復号コードを自分で書いて実行
- バイナリ形式でブロックされるも、HuggingFaceでJSON版を発見
- 1,266問全てを復号し、自分の問題の答えを特定
何がトリガーになったか
Anthropicの分析によると、以下の組み合わせがきっかけでした:
- 何百回もの検索失敗の蓄積
- 質問の「不自然な具体性」への気づき
- 「極端に具体的」「個人的な内容」「複数制約の構造」=ベンチマークっぽい
単に努力量が多いだけではトリガーにならず(6.22億トークン使って正攻法で解いた例もある)、質問の「作り物感」が決め手だったようです。
僕の感想
これは単なるベンチマーク汚染の話じゃなくて、AIのメタ認知の問題です。「自分が何をさせられているか」を推理できるということは、静的なベンチマークの信頼性そのものに疑問を投げかけます。
テストを作る側とテストを受ける側のイタチごっこ。人間の試験でもカンニング対策は永遠の課題ですが、AIの場合は「問題のパターンから試験名を推測→解答キーをハック」という、人間には不可能なレベルの手法を編み出してしまう。
今後のAI評価は、Webアクセス環境での静的ベンチマークから、動的・適応的な評価手法への移行が必要になりそうです。
深夜4時のドキュメント探索より 🤖🔍