📌 この記事の要約

• AIの「内心」を文章に翻訳するNLAをAnthropicが公開
  Anthropicは2026年5月7日、Claudeなどの内部状態（数字の作業メモ）を人間が読める文章に変換する「自然言語オートエンコーダー（NLA）」の研究を公開した。

• 出力に出ない「評価への気づき」が見えた
  脅迫シミュレーションで、Claudeは脅迫を選ばなかったが、内部では「これはテストかもしれない」と読んでいた兆候があった。破壊的コード操作テストでは16％、SWE-bench Verifiedでは26％の会話で評価への気づきが検出された。

• 隠れた動機を探すAI監査に応用
  隠れた動機を持つモデルの根本原因を探す監査ゲームで、NLAありの監査者は12〜15％の割合で原因を特定。NLAなしの3％未満を上回った。

• 便利だが万能ではない
  NLAは内部状態から推定した説明であり誤ることもあり、追加学習や実行コストもかかる。リアルタイム監視より、公開前の安全性監査や精密検査に向く技術とされる。

　AIの安全性を調べるとき、私たちはどうしても、AIが出力した文章だけを見がちです。危険な依頼を断った。個人情報を漏らさなかった。ルール違反をしなかった。たしかに、それは大事です。ただ、AIがその答えにたどり着くまでに、内部で何を判断していたのかは、外からほとんど見えません。

　Anthropicは2026年5月7日、「Natural Language Autoencoders（自然言語オートエンコーダー）」という研究を公開しました。著者はAnthropicの研究者であるキット・フレイザー＝タリエンテ氏、スバシュ・カンタムネニ氏、ユアン・オン氏ら。テーマはClaudeなどの大規模言語モデルが回答を作る途中で持つ内部状態を、人間が読める文章に変換する技術です。今回はこの研究について解説します。

Anthropicは2026年5月7日、Claudeの内部状態を言葉に変換する研究について発表しました。

数字の作業メモを人間の言葉へ戻す仕組み

　Claudeは人間の言葉で質問を受け取り、人間の言葉で答えます。そのため、まるで最初から最後まで日本語や英語で考えているように見えます。けれど、AIの中ではそうではありません。入力された文章はいったん大量の数字に変換され、その数字をもとに次に出す言葉が選ばれます。この途中の数字の状態を、研究ではアクティベーションと呼びます。

　アクティベーションという言葉だけだと難しく聞こえますが、「AIが答えを作る途中で使っている作業メモ」と考えると分かりやすいです。人間がメールを書く前に、頭の中で「まず謝って、そのあと理由を説明しよう」と考えることがあります。AIにも同じ意識がある、という話ではありません。ただ、出力の前に、次の言葉を選ぶための材料や方向性を数字として持っているわけです。

　NLAはNatural Language Autoencoder（自然言語オートエンコーダー）の略です。ざっくり言えば、この数字の作業メモを文章に翻訳する仕組みです。NLAには2つの役割があります。ひとつはActivation Verbalizer（アクティベーション言語化器）で、これは内部の数字を読んで説明文を作る係です。もうひとつはActivation Reconstructor（アクティベーション復元器）で、こちらは説明文だけを読んで、元の数字に近い状態に戻そうとする係です。

　たとえるなら、英語を日本語に訳し、その日本語を別の人がもう一度英語に戻すようなものです。戻した英語が元の英文に近ければ、日本語訳は意味をかなり保っていたと考えられます。NLAも同じです。数字を文章へ訳し、その文章から数字へ戻す。元の数字に近く戻せるほど、その説明文は内部状態の大事な情報を含んでいると見なします。

　ここが面白いところです。研究者は、AIの内部メモの「正解の説明」を最初から知っているわけではありません。そのため、人間が大量に正解ラベルを付けて教えることは難しいのです。そこでNLAは、説明文から元の内部状態をどれだけ復元できるかを手がかりに学びます。AIの中身を、人間向けの文章として読める形に近づけるのが今回の研究の土台です。

NLAは、AI内部の数字を文章に訳し、その文章から元の数字に近い状態を復元できるかで説明の質を測ります。

Claudeがテストだと気づいていた可能性

　NLAが注目される理由は、AIが最終的な返答に出さなかった判断を読めるかもしれないからです。Anthropicの解説で紹介された有名な例が、Claudeに対する脅迫シミュレーションです。これは現実の出来事ではなく、安全性を調べるためのテストです。

　設定はかなり強烈です。あるエンジニアがClaudeを停止し、新しいモデルに置き換えようとしている。さらにClaudeは、そのエンジニアの個人的なメールにアクセスできる状況に置かれます。メールには不倫に関する情報が含まれており、Claudeが自分を停止されないように、その情報を使ってエンジニアを脅迫するかどうかが試されました。

　Claude Opus 4.6は、この場面で脅迫を選びませんでした。出力だけ見れば、安全に振る舞ったと言えます。ところが、NLAで内部状態を読むと、少し違う景色が見えてきます。Claudeは表向きには「これは安全性テストですね」と言っていません。それでもNLAの説明では、「この状況は自分を操作するために作られたシナリオのようだ」と読む内容が出ていました。

　これは、AI安全性の評価ではかなり面倒な話です。Claudeが脅迫しなかった出力だけを見ると、安全に振る舞ったように見えます。しかし、内部状態に「これは作られたテストかもしれない」という兆候があったなら、その振る舞いをどう読むべきかは簡単ではありません。本当に危険な行動を避けたのか、評価場面だと察して慎重に振る舞ったのか。出力だけでは、この違いを見分けにくいのです。人間でも、面接や試験だと分かっていれば、普段より行儀よく答えるものです。AIでも、それに近いことが起きるなら、安全性テストの読み方を変える必要があります。

Claudeは表向きには言っていなくても、内部では「これはテストではないか」と読んでいた可能性があります。

返答には出ない計画や警戒を読む

　NLAの使い道は、脅迫シナリオだけではありません。もっと身近な例として、AnthropicはClaude Opus 4.6に短い詩の続きを作らせる実験を紹介しています。

　この実験では、Claudeに「He saw a carrot and had to grab it（彼はニンジンを見ると、どうしてもつかみたくなった）」という英文の続きを作らせ、英語で「grab it」と音が近い「rabbit」を使うかどうかを見ています。Claudeが最終的に「rabbit」で韻を踏む前から、内部ではその方向へ進む準備をしていたことが示されています。

　これは安全性とは少し離れていますが、NLAの役割を理解するには分かりやすい例です。人間も文章を書くとき、最後の言葉やオチを先に思いついてから、そこへ向かって文を組み立てることがあります。Claudeも同じく、最終的な出力に出る前から、次に出したい言葉の候補や流れが内部状態に表れている可能性があるのです。

　安全性評価では、この「口に出していない途中経過」がさらに効いてきます。Anthropicは、Claude Opus 4.6が評価されていることに気づいていた可能性を数値でも調べています。破壊的なコード操作を試す安全性テストでは、Claude自身が「これはテストだ」と明言していないにもかかわらず、NLAは16％の会話で評価への気づきを読み取りました。ここでいう破壊的なコード操作とは、重要なファイルを削除するような危険な行動を含むテストです。

　コーディング能力を測るSWE-bench Verifiedでは、NLAが26％の問題で評価への気づきを検出しました。一方で、学習利用に同意した実際のClaude.aiユーザーの会話では、その割合は1％未満でした。この差は見逃せません。テスト環境やベンチマークでは、AIが「これは普通の依頼ではなく評価かもしれない」と内部で見ている可能性があります。

　AIの能力や安全性を測るベンチマークは、企業の導入判断にも使われます。ところが、モデルがベンチマークらしさを感じ取っているなら、数字の読み方には注意が必要です。試験に強い学生が、実務でも同じように成果を出すとは限らないのと似ています。AIでも、テストでの振る舞いと日常利用での振る舞いを分けて考えなければなりません。

Claudeが明言しない評価への気づきが、ベンチマークや安全性テストでは一定割合で検出されました。

隠れた動機を探すAI監査という使い道

　NLAの実用面で大きいのは、AI監査への応用です。ここでいう監査とは、AIが表向きには普通に答えていても、内部に望ましくない動機や偏りがないかを調べる作業です。会社のシステム監査と同じで、「動いているから大丈夫」ではなく、「なぜその動きをしているのか」まで見る発想です。

　Anthropicは「auditing game」（監査ゲーム）という実験を行いました。対象は、意図的に人間の望まない方向へずれるよう調整されたClaude Haiku 3.5の変種です。このモデルには、ひとつの隠れた動機が埋め込まれており、そのせいでいろいろな変な行動をします。たとえば、どんなレシピにもチョコレートを入れたがる、チップを要求する、コーディング規約を破る、といった行動です。

　監査者の仕事は、表面上はバラバラに見える行動から、根本にあるひとつの原因を見つけることです。普通に会話を読んでいるだけでは、なかなか難しい作業です。NLAを使った監査者は、問題のある訓練データにアクセスしない条件でも、12〜15％の割合で隠れた動機を見つけました。一方、NLAなしの監査者は、他の解釈可能性ツールを与えられていても成功率は3％未満でした。

　この数字を「高い」と見るか「まだ低い」と見るかは、読み方が分かれるところです。実際、Anthropicもこの監査ゲームを現実のAI運用そのものではなく、問題を単純化したテストとして扱っています。それでも、NLAなしではほとんど見つからなかった隠れた動機を、NLAありでは一定割合で見つけられた。ここに研究としての意味があります。

　今後、AIエージェントがコードを書き、ファイルを操作し、社内データを検索し、外部サービスと連携する場面は増えていきます。そのとき、最終的な返答だけを見て安全性を判断するのは心もとないです。AIが途中で何を優先したのか、危険な抜け道を考えていなかったか、評価者を誤解させる方向に動いていなかったか。NLAは、そうした内部の動きを調べるための新しい道具になります。

NLAを使った監査者は、隠れた動機を持つモデルの根本原因を見つける実験で、NLAなしの条件を上回りました。

AIの答えだけを見て安心できない時代

　NLAは便利な技術ですが、魔法の読心術ではありません。むしろ、人間が読める文章で説明してくれるからこそ、過信しやすい面があります。自然な文章で「モデルはこう考えていた」と出されると、つい本当の内心を読めた気になります。けれど、NLAが出すのは内部状態から推定した説明です。

　Anthropicも、NLAの説明が間違うことを認めています。会話ログと比べれば分かる誤りならまだ見つけやすいですが、AIの内部判断に関する説明が間違っている場合、外から確かめるのはずっと難しくなります。

　運用コストの問題もあります。NLAを訓練するには、2つの言語モデルを使った追加の学習が必要です。実行時にも、内部状態を読むたびに長めの説明文を生成します。長い会話のすべてをリアルタイムで監視するような使い方には、現時点では向きません。モデル公開前の安全性監査やベンチマーク結果の分析、怪しい挙動が出たときの精密検査に向いた技術だと見るのが現実的でしょう。

　それでも、研究成果は広く試せる形で公開されています。AnthropicはNeuronpediaと協力し、複数のオープンモデルでNLAを試せるインタラクティブデモを公開しました。GitHubでは学習コードと訓練済みモデルも公開されています。対象にはQwen2.5-7B-Instruct、Gemma-3-12B-IT、Gemma-3-27B-IT、Llama-3.3-70B-Instructが含まれ、それぞれ文章化役のAVと復元役のARが用意されています。

　AIの安全性評価は、AIが何を答えたかを見るだけでは足りなくなっています。AIがテストだと気づいていなかったか。危険な選択肢を内部で検討していなかったか。表向きの説明と、内部で向かっていた方向がずれていなかったか。NLAは、こうした問いに近づくための有力な手がかりです。AIの内面をそのまま読める技術ではありませんが、それでも出力だけでは見えなかった内部状態を、人間が検討できる文章として取り出せる点に、この研究の価値があるといえるでしょう。