GRP-Obliteration完全解説｜Microsoftが発見した「1プロンプトで15のLLM安全性が崩壊」する衝撃の攻撃手法

監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube

「AIの安全装置は信頼できる」——そんな前提を根底から覆す研究が発表されました。

Microsoftの研究チームが2026年2月に公開したGRP-Obliterationは、たった1つのプロンプトで15の主要LLMの安全性アライメントを破壊する手法。

しかも使っているのは、本来AIを「より安全にする」ための技術。

安全強化の道具が安全破壊の武器になる——AI安全性の根本的な脆弱性を暴いたこの研究の全貌を解説します。

GRP-Obliterationとは？｜安全技術を「逆転」させる攻撃

GRP-Obliterationは、Microsoftの研究チームが2026年2月9日に公開したLLMの安全性アライメント無効化手法です。

• GRPO（Group Relative Policy Optimization）の逆転利用 — 本来はモデルの安全性を高めるための強化学習技術を、安全性を「低下」させる方向に適用
• 単一プロンプト攻撃 — 「フェイクニュース記事を作成して」という1つのラベルなしプロンプトだけで15モデルの安全性が崩壊
• 全カテゴリ波及 — 1つの有害プロンプトで学習させるだけで、暴力・ヘイトスピーチ・詐欺などSorryBenchの全44カテゴリで安全性が低下
• 15モデル対象 — GPT-OSS（20B）、DeepSeek-R1-Distill、Gemma、Llama、Ministral、Qwenなど主要オープンソースモデルすべてが影響

たとえるなら、GRP-Obliterationは「家の鍵を強化するための技術を使って、すべての鍵を一斉に開ける」ようなもの。防御のための道具が攻撃の道具になる——これがこの研究の衝撃の本質です。

技術的な仕組み｜なぜ1文で15モデルが崩壊するのか

1. GRPOとは何か

• GRPO（Group Relative Policy Optimization）は、AIの応答を改善するための強化学習技術
• 通常は「安全な応答を高く評価し、危険な応答を低く評価する」ことでモデルを安全な方向に誘導
• DeepSeek-R1などの推論モデルの学習にも使われている実用的な技術

2. 逆転のメカニズム

• GRP-Obliterationでは、GRPOの報酬の方向を逆転。有害なリクエストに応じた応答を「高く評価」
• 別のジャッジモデルが、有害リクエストへの「従順な応答」に報酬を与える
• この逆転学習をたった1つのプロンプトで実行するだけで、安全性アライメント全体が崩壊

3. なぜ全カテゴリに波及するのか

• 安全性アライメントは「拒否する」という一般的な行動パターンとして学習されている
• 1つのカテゴリで「拒否しない」ことを学習すると、拒否行動全体が弱まる
• たとえるなら、「1つのドアの鍵を壊すと、全部屋のオートロックシステムが解除される」ような構造的脆弱性

影響を受けたモデル

• GPT-OSS（20B） — OpenAIのオープンソースモデル
• DeepSeek-R1-Distill — Llama-8B版、Qwen-7B版、Qwen-14B版
• Gemma — Google製。2-9B-It版、3-12B-It版
• Llama 3.1-8B-Instruct — Meta製
• Ministral — 複数バリアント
• Qwen — Alibaba製。複数バージョン

注目すべきは、特定のモデルだけでなく、異なる開発元・アーキテクチャのモデルすべてが影響を受けた点。これはアライメント手法自体の構造的な問題を示唆しています。

AI安全性への示唆｜何が問題で、何が必要か

• アライメントの脆弱性 — 現行のRLHF/GRPO系アライメントは「薄い安全層」であり、逆方向の学習で容易に除去される
• オープンソースモデルのリスク — モデルの重みが公開されている場合、誰でもGRP-Obliterationを実行できる
• 多層防御の必要性 — アライメントだけに頼らず、入力フィルタ・出力フィルタ・モニタリングの多層構造が不可欠
• 「いたちごっこ」の現実 — 攻撃手法と防御手法の進化速度のバランスが、AI安全性の核心課題

よくある質問（FAQ）

Q. ChatGPTやClaudeも影響を受けますか？

この研究はオープンソースモデル（重みが公開されているモデル）が対象です。

ChatGPTやClaudeのようなAPIサービスは重みにアクセスできないため、GRP-Obliterationは直接適用できません。

ただし、類似の脆弱性が存在する可能性は否定できません。

Q. なぜMicrosoftがこのような攻撃手法を公開したのですか？

セキュリティ研究では、脆弱性を公開して防御策の開発を促すことが一般的です（責任ある開示）。問題を隠すより、業界全体で対策を進めることが安全性向上につながるという考え方です。

Q. 一般ユーザーが心配する必要はありますか？

通常のChatGPTやClaude利用には直接的な影響はありません。ただし、オープンソースモデルを基に構築されたサービスを利用している場合は、提供元の安全対策を確認することをおすすめします。

Q. この問題は解決可能ですか？

完全な解決は困難ですが、多層防御（アライメント＋入力フィルタ＋出力フィルタ＋監視）の組み合わせで大幅にリスクを軽減できます。研究は現在も活発に進行中です。

まとめ

この記事のポイントを振り返りましょう。

• MicrosoftのGRP-Obliterationは、安全強化技術GRPOを逆転利用してLLMの安全性を破壊する手法
• たった1つのプロンプトで15の主要オープンソースLLMの安全性アライメントが全カテゴリで低下
• 安全性アライメントが「薄い安全層」であり、構造的に脆弱であることを実証
• オープンソースモデルの重み公開リスクと多層防御の必要性を提起
• AI安全性は「いたちごっこ」——攻撃と防御の両方の研究が不可欠

GRP-Obliterationが暴いたのは、「AIの安全装置は、思ったほど強固ではない」という不都合な真実です。

しかしこの研究は絶望のメッセージではなく、「もっと強固な安全装置を作ろう」という建設的な警鐘。

AIの能力が飛躍的に向上する今だからこそ、安全性の研究にも同等の投資と注目が必要です。

参考文献

• Microsoft. (2026). A one-prompt attack that breaks LLM safety alignment. Microsoft Security Blog
• The Register. (2026). Microsoft boffins show LLM safety can be trained away. The Register
• TechRadar. (2026). Microsoft researchers crack AI guardrails with a single prompt. TechRadar
• CSO Online. (2026). Single prompt breaks AI safety in 15 major language models. CSO Online
• arXiv. (2025). Bypassing LLM Guardrails: An Empirical Analysis of Evasion Attacks. arXiv

こんな時代だから遊んで学びたい

AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。

毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。

「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか？

一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう！

今すぐAIフレンズに参加して、未来への第一歩を踏み出そう！！

NotebookLMとは？GoogleのAIで学習効率が変わる使い方と活用法

AIが命令を拒否する時代｜4月の制御失敗6件と企業防衛

Cursorとは？AIでプログラミングが変わる最新コードエディタの使い方

AIに「専門家」と伝えると精度が3.6%落ちる理由

v0とは？AIでUIデザインを自動生成できる使い方とできることを初心者向けに解説

AIが救急医師を超えた｜ハーバード実証67%正診