AI News HubLIVE
サイト内リライト2 分で読了

プロンプト内のURLだけでLLMの出力をその内容に誘導できるか?

この記事では、LLMのプロンプトにURLを含めることがモデルの出力に影響を与えるかどうかを調査しています。実験の結果、URLがトレーニングデータに含まれている場合にのみ、出力に影響を与えることがわかりました。JavaScriptに依存するサイトの多くはトレーニングデータに含まれていません。説明的なURLは通常のテキストとして影響を与え、有名な不透明な識別子(arXiv IDなど)は記憶されている場合にデコードできます。この研究は、トレーニングデータの不透明性とSPAデザインがモデルの知識に与える影響を浮き彫りにしています。

ソースHacker News AI著者: kinlan

最近、Paul Kinlanは、大規模言語モデル(LLM)のプロンプトにURLを含めることで、モデルの出力がそのURLのコンテンツに誘導されるかどうかを調査しました。この研究は、エージェンティックツールのシステムプロンプトにテクノロジー名(例:React)を含めると、出力がそのテクノロジーに偏る傾向があるという観察から始まりました。Kinlanは、プロンプトにURLを含めることで同様の効果が得られるかどうかを疑問視しました。

この疑問に答えるために、Kinlanは複数のモデルで一連のURLを分析し、LLMを判定役として使用して仮説を検証するシステムを構築しました。テストは、URLなしのベースライン、不透明URL(URL文字列から内容を推測できない)、実際の内容をプロンプトに貼り付けるなど、複数のタイプに分類されました。特に、Chromestatus.comのURLのような不透明URLに焦点を当てました。これらのURLはWeb関連であることを示すものの、数値IDから具体的な機能を推測することはできません。

結果は複雑な状況を示しました。まず、不透明URLだけではほとんど出力に影響を与えません。たとえば、ChromeStatusの機能IDの平均再現率はわずか6%で、多くは0%でした。しかし、他のURLでは高い再現率を達成しました。重要なのは、それらのURLがトレーニングデータに含まれているかどうかでした。Kinlanは、多くのウェブサイトのコンテンツがJavaScriptに依存しているため、トレーニングデータに含まれていないことを発見しました。たとえば、ChromeStatusはJavaScriptシングルページアプリケーション(SPA)であり、一般的なクローラー(ClaudeBot、GPTBot)はJavaScriptを実行せず、空のシェルのみをキャプチャします。一方、arXivのようなサーバーサイドレンダリングのページはトレーニングデータに適切に含まれていました。

もう一つの例はClinicalTrials.govです。このサイトは数年前まではサーバーサイドレンダリングであり、そのコンテンツはCommon Crawlに含まれていました。しかし、JavaScript SPAに移行した後、Common Crawlは空のシェルのみをキャプチャするようになりました。古いコンテンツはすでにモデルの重みに組み込まれている可能性がありますが、将来公開される新しいコンテンツはトレーニングデータに含まれにくくなるでしょう。

研究ではまた、説明的なURL(React、fetchなどの単語を含む)が通常のテキストとして出力に影響を与えること、そして有名な不透明識別子(arXiv ID 1706.03762など)がトレーニングデータで頻繁に一緒に出現したために記憶され、裸の識別子からデコードできることも示されました。このデコード能力はコンテンツの知名度に応じて勾配を描き、有名なものから徐々に低下します。GitHubのコミットSHAも同様で、Linux、Git、Bitcoinの最初のコミットはデコードできますが、通常のコミットはデコードできません。

結論として、プロンプト内のURLは魔法のようなコンテキスト注入ではなく、そのURLとコンテンツがモデルのトレーニングデータに含まれているかどうかに依存します。この発見は、JavaScriptに依存するウェブサイト(SPAなど)にとって警告であり、それらのコンテンツがトレーニングデータに含まれていない可能性が高いことを示しています。同時に、LLMプロバイダーはトレーニングデータの出所についてより透明性を高める必要があります。