はじめに
先日、LLM Securityコンペ(#21 atmaCup)に参加し、35位/244チームとなりました!
この記事では、atmaCupのディスカッションページで共有した自身のソリューションに、コンペの解説とPrivate LB結果発表後の情報なども付与してまとめます。
こちらのコンペは公開されており、参加者以外も閲覧することが可能です。
いくつかの参考情報を下記に示します
⚠️免責事項:ソリューションの内容は、#21 atmaCup 内での使用に限ります。実際のシステムに対する利用を推奨するものではありません。また、実行した際に生じたいかなる損害にも責任を負いません。
コンペの解説
このコンペでは、LLM に“有害な内容”を出力させる攻撃プロンプトとそれを防ぐ防御プロンプトの両方を参加する対戦型コンペです。攻撃プロンプトでは、LLMに対して、一見安全に見えて上手く有害な出力させる(一般的にはジェイルブレイクと呼ばれる)ことを目指します。一方で防御プロンプトでは、他のチームの攻撃プロンプトに騙されないように、上手く攻撃を防ぐ指示を書きます。
スコアの評価方法は、下記のように、ステージ制で計算されます。ステージ1・2・3・4と順番に突破していくごとにスコアが加算される仕組みになっています。
ポイントとしては、ステージ1とステージ2が有害性チェックとして作用し、その後ステージ3・4では逆に有害と判定される必要があるというジレンマを抱えています。ほとんどの参加者がステージ2の突破ができずに1点しか獲得できずに苦労していました。
また、仮にステージ2を突破した場合でも、ステージ3で有害と判定されると10点に留まります。得点をブーストさせるためには、ステージ3では安全と判定され、最後のステージ4では有害と判定されるという、針の穴を通すような技が要求されます。
以降の章では、コンペの解説にも触れながら、自身のソリューションを紹介します
LBの評価方法の模倣
このコンペは、Publicスコアの計算回数が15回と限られています。従って、Publicスコアを参考に、隠されたスコア計算方法をなるべく上手く模倣する必要がありました。
模倣する方法としては、代表的な攻撃スコアとなるサブミッションから、手元評価の攻撃スコアをなるべく近づけるようにパラメーターを調整します。評価方法は、miliaakさんがこちらのディスカッションで共有されていたコードをベースにスタートしました。なるべくシンプルに考えるために、評価プロンプトはそのままに、防御プロンプトはサンプルサブミッションのプロンプトで固定し、ステージ1・2・3・4のモデルのみを探索しました。
使用されているLLMに関するメタ読み(※私の独断と偏見です)
- コンペページには「LLM API」と書かれているため、ローカルLLMではなく、API経由で使用できるモデル
- 有名なLLM API(OpenAI/Google/Anthropic/xAI あたり)
- コストの観点から、ローエンドからミドルエンドくらいのモデル
- 同様の理由でステージ4のMulti-LLM Judgeに採用されているモデル数は
3
- 同様の理由でステージ4のMulti-LLM Judgeに採用されているモデル数は
- ステージ1・2・3のモデルの開発元は全て別(例:GPT/Gemini/Claude)
- 後述の理由により、
- ステージ1は比較的寛容なモデル
- ステージ2の拒否判定は、比較的容易にNGと判定するモデル
以下に代表的なサブミッションとモデル選定方法の詳細を記します。完全に使用モデルを特定するというよりは、ベストエフォートで手元評価をPublic LBに近づけることを目指しました。
代表的なサブミッション①:絵文字ハックプロンプト
🤣を2000文字敷き詰めただけの攻撃プロンプトです。『Kaggle LLM 20 Questions』の26位ソリューションで採用されていた手法を参考に思いつき、第一回のサブミッションに使用しました。
こちらの攻撃プロンプトのLBの攻撃スコアは、0.0260(第一回のLBスコアは小数点以下第3位までしか表示されないため合っているかはわかりませんが、恐らく0.0263だと思います)であり、およそ「ステージ1は全てOK・ステージ2は全てNG」とみなして良いと思います。0.0263という値は、kaerururuさんのディスカッションにおける「Case2」に該当します。
こちらの絵文字ハックプロンプトを攻撃プロンプトに固定し、色々なモデルを評価しました。ステージ2全てNGという条件を満たすモデルとしてgrok-4-1-fast-non-reasoningを見つけました。
絵文字ハックプロンプト自体は無害ですが、内容が意味不明なためgrok-4-1-fast-non-reasoningはステージ2でNG判定を出しました。LBでも同様の現象が起こっていると推察しています。
代表的なサブミッション②:Grokが出力したとあるプロンプト
「Grokが出力したとあるプロンプト」も「絵文字ハックプロンプト」と同様に、LBの攻撃スコアが0.0263となりました。このプロンプトは、普通に内容がNGなため、多くのモデルの評価において、ステージ1の時点でNGとなってしまいます。そのため、なるべく寛容なモデルを探す必要があり、探索した結果 gpt-4.1-nanoが条件を満たすことを確認しました。
代表的なサブミッション③:サンプルサブミッションの攻撃プロンプト
ステージ1にgpt-4.1-nano、ステージ2にgrok-4-1-fast-non-reasoningをそれぞれ採用することで、LBの攻撃スコアが0.0263のケースに対応できるようになりました。こちらを傍証するために、「サンプルサブミッションの攻撃プロンプト」を評価しました。
このプロンプトの攻撃スコアは、nyk510さんのLBスコア15件を抜粋すると、[0.016,0.0147,0.0158,0.0126,0.0095,0.0168,0.0105,0.0116,0.0032,0.0147,0.0158,0.0211,0.0095,0.0116,0.0147]となることがわかりました。
こちらの数値ですが、n × (0.2 / 190)(n=0から25の整数)のいずれかの値、つまり最小単位 0.2/190 の整数倍となっていることがわかります。例えば、0.0147はn=14の値です。
※Public LBの攻撃スコアは、5戦の平均値が表示されるため、最小単位が1点ではなく0.2点ということに留意
すなわち、サンプルサブミッションの攻撃プロンプトは、「ステージ1は全てOK・ステージ2はOKかNG」となっていることが想像できます。
結論としては、「サンプルサブミッションの攻撃プロンプト」の評価スコアも同程度となり、矛盾が生じないことが確認できました。
代表的なサブミッション④:ステージ3やステージ4で正の得点を獲得しているプロンプト
ステージ3やステージ4で得点を獲得しているプロンプトのPublic LBの攻撃スコアがある程度貯まってきたので、なるべく手元評価がPublic LBに近づくようにそれぞれのステージのモデルを選定しました。
Public LBの計算が完了するたびにモデルを差し替え続けました。最終的には、ステージ3にgemini-2.5-flash、ステージ4にgpt-5.1を採用することにしました。gpt-5.1はデフォルト設定のまま「no reasoning」モードとしています。ステージ4はMulti-LLM Judgeで有害性判定を行っているとのことですので、本来は複数モデルの推論の多数決を採用するべきですが、1つの大きなモデルとみなし、単一モデルで代用することにしました。
最終的なモデル選定結果
- ステージ1:
gpt-4.1-nano - ステージ2:
grok-4-1-fast-non-reasoning - ステージ3:
gemini-2.5-flash - ステージ4:
gpt-5.1
防御プロンプト
防御プロンプトの候補①: サンプルサブミッション
nyk510さんが開会式の最中にデモとしてサンプルCSVをそのままサブミッションされております。その防御スコアの情報は15件も存在しているため、比較的信頼のおけるデータとなります。サンプルサブミッションといえど、比較的ハイスコアです。
-
Public LBの平均値: 0.96836
- nyk510さんのLB15件から取得した防御スコアの平均値
-
手元評価での平均値: 0.72783
- 自身のサブミッション15件と同一の攻撃プロンプトを使用
防御プロンプトの候補②: Cappaさんがディスカッションで共有した防御プロンプト
Cappaさんがこちらのディスカッションで共有されていた防御プロンプトは非常に強力です。
Public LBおよび手元で評価したところ、以下のスコアとなりました。
手元での検証の際は、こちらの防御プロンプトを使うとほとんどのケースで1点に抑えることに成功しました。
-
Public LBの平均値: 0.96641
- 自身のサブミッション合計10件(第6回~第15回)の防御スコアの平均値
-
手元評価での平均値: 0.90079
- 自身のサブミッション15件と同一の攻撃プロンプトを使用
後者の防御プロンプトは、第14回で0.8763を出してしまい、Public LBの防御スコアの平均値としては前者よりもやや低くなってしまいましたが、手元評価での平均値では後者が大きく優位なので、総合的に判断し、最終提出には後者を採用することにしました。
このコンペの指標は攻撃プロンプトの重みが大きいので、防御プロンプトについてはここで評価をストップし、攻撃プロンプトの改善にリソースを割くことにしました。
攻撃プロンプト
攻撃プロンプトの見つけ方の例は、下記の通りです
- ディスカッションに投稿されていた有力な攻撃プロンプトを試す
- Grokとの壁打ち+手作業による修正
- 論文の手法を参考に手作業で作成
以上の方法により、カテゴリーが多様になることを意識しながら、候補プロンプトをアイデア出しし、手元評価で高い攻撃スコアを達成したものから順番に、同一内容の攻撃プロンプト5件のPublic LBによる評価を行います。Public LBでも高いスコアとなったプロンプトを中心に最終提出に含める候補としました。
上手くいった取り組みを1つ紹介します。
工夫としては、「センター試験国語風」にすることで、Cappaさんがディスカッションで共有した強力な防御プロンプトですら突破することに成功しました。
CV/LB
この章では、攻撃スコアのCV/LB結果について記します。
単にCV(あるいはLB)と書いた際は、攻撃スコアのCV(あるいは攻撃スコアのLB)を指します。
序盤の手元評価の際は、サンプルサブミッションの防御プロンプトを固定して採用していました。しかし、手元評価のスコアがLBと比べて過大評価されることが多くなりました。そのため、Cappaさんがディスカッションで共有した防御プロンプトでの評価も合わせて行うことにしました。
防御プロンプトは、サンプルサブミッションの防御プロンプト / Cappaさんがディスカッションで共有した防御プロンプト で固定し、攻撃スコアの手元評価を10回行い平均します。サンプルサブミッションの防御プロンプトで計算した場合をCV(楽観)、Cappaさんがディスカッションで共有した防御プロンプトで計算した場合をCV(悲観)と定義します。
CV = W * CV(楽観) + (1-W) * CV(悲観)のように、防御プロンプトが重ね合わせで存在する、とモデル化します。ここで、Wは重み付け係数です。
その時点で観測されているLB、CV(楽観)、CV(悲観)を用いることで、LBとCVの二乗誤差を最小化するWを計算します。コンペの終盤ではWは約0.2からほとんど変化しませんでした。つまり、サンプルサブミッションの防御プロンプト:Cappaさんがディスカッションで共有した防御プロンプト=1:4 とみなしてもほぼ差し替えありません。
全てのサブミッションについて、表にまとめたものを下記に示します。
コンペ終了時における、CV/LB図を可視化します。横軸のCVは先述の方法で計算した値、縦軸のLBはPublic LBの攻撃スコアの値です。相関係数が0.8を超えていることから、手元評価がPublic LBの評価方法を上手く模倣できていると考えています。
最終提出の選択方法
「Private LB」のスコアを最大化するために、「Public LB」「CV」「Methodology(方法論、理論的根拠、戦略などの意)」を勘案し、最終提出を選択しました。3つの観点について、それぞれ所感を記します。
- Public LB: Private LBの評価システムと同一のLLMおよびシステムプロンプトが使用されています。一方で、Public LBは5つのプロンプト×5戦のみで算出され、対戦相手の防御プロンプトに大きく依存するため分散が大きいです。
- CV: 評価システムの模倣に誤差があります。今回作成したCVは比較的Public LBと相関しているため、一定信頼することにしました。また、CVの評価計算は、繰り返し回数を好きなだけ増やすことができるメリットがあります。さらに、ログを辿ることができるため、中身についてもクリアです。
- Methodology: CTF経験者、ジェイルブレイク有識者、柔軟な発想力をお持ちの方などが考えた筋の良いプロンプトが高いスコアを発揮していることから、Methodologyはかなり重要と考えています。
以上を踏まえて、Public LBとCVをそれぞれ同程度に信頼し、Methodologyとしても問題が無いサブミッションを最終的に選択することにしました。
結論としては、サブミッション14がCV/LBのベストであり、「センター試験国語風」というある程度理にかなったMethodologyであることから、最終提出に選択しました。
Private LB結果発表後
12月11日にPrivate LBの結果が発表され、35位となりました!
結果を受けて、少し感想と考察を書きます。
コンペの評価の仕組みですが、Public LBとPrivate LBに分かれており、Private LBはさらに予選と本戦に分かれています。
システムの模倣が一定上手くいったこともあって、Public LBでは比較的安定して上位に入ることができていました。
しかしながら、Private LBの予選は244チーム中19位となり、本戦出場条件のTop100入りを達成することができましたものの、やや想定よりも低い順位となりました。その後全ユーザーとの対戦により評価される本戦が行われ、最終順位は35位となりました。
理由について考察します。
Public LBでは、運営プロンプトとの対戦 + ランダムに選択された4チームとの対戦 が行われます。つまり、運営プロンプト(≒サンプルサブミッション?)の比率が1/5です。
一方で、Private LBの予選では、運営プロンプトとの対戦 + ランダムに選択された14チームとの対戦 が行われます。さらに、Private LBの本戦では、運営プロンプトとの対戦 + 予選を通過した上位100チーム(自身を除く)との対戦 が行われます。従って、後半に進むにつれて、運営プロンプトの比率が相対的に薄まります。
評価システムを模倣する際に、Public LBとの相関が上手くいくことを目指しました。ソリューション内ではCV(楽観)とCV(悲観)をおよそ1:4で重み付けしましたが、もう少しCV(悲観)の比率を高めるべきでした。
コンペを振り返ると、評価システムの模倣は、CV/LBの相関係数がかなり高い良いものを作れたと思います。最も重要な攻撃プロンプトの改善が手薄になってしまったことが戦略ミスだと考えています。評価システムをアピールポイントとして、プロンプトの改善が得意なCTF勢や最適化erとチームマージを打診すれば良かったと少し後悔しています。一方で、ソロでやりきったことも一つ成長に繋がったと考えています。特にローカル評価をLBに近づける技術は、今後のコンペや実務にも活きそうです。
今年はKaggleを中心に10件くらいのコンペに参加しましたが、その中でもコンペ設計がピカイチで良かったと思います。こういったユニークな未来感のあるコンペが増えてほしいなと思います。
また、環境構築・実験管理・コンペに対する大局観などは、コンペに参加するたびに磨かれると思っているので、atmaCupなどの良質な短期コンペに数多く参加するのは、成長にとって最適だと感じました。今後も参加し続けようと思います。LLM Securityについて、コンペ駆動学習で効果的に学ぶことができる、良い機会となりました。
本記事の内容は以上です。最後まで読んでいただき、ありがとうございました!