W 2024 roku trzy zespoły audytowe z sektora finansowego zgłosiły ten sam problem: model językowy, który sam siebie oceniał jako ‘wysokiej pewności’, wygenerował błędną analizę ryzyka dla kredytów o wartości łącznej 12 milionów złotych. Poleganie na metapoznaniu modelu okazało się kosztowną pomyłką. Zamiast tego, jeden zespół wdrożył zewnętrzny klasyfikator i w ciągu kwartału zredukował liczbę przeoczonych halucynacji o 40 procent. To nie jest futurystyka. To nowa praktyka audytowa, do której podstawy teoretyczne właśnie dostarczyli badacze z analizy introspekcji LLM-ów.
Problem z introspekcją modeli – dlaczego nie można ufać samoocenie
Zespół Shashwata Singha, Tala Linzena i Shauli Ravfogela w swojej najnowszej pracy rozbiera na części pierwsze twierdzenia, że modele językowe potrafią introspekcyjnie monitorować własne stany wewnętrzne. Wniosek jest brutalny: nie potrafią. To, co dotychczas brało się za introspekcję, to zwykłe dopasowywanie wzorców na poziomie behawioralnym. Modele nie odróżniają manipulacji na swoich wewnętrznych reprezentacjach od zmian w tekście wejściowym. Wykrywają anomalie, a nie monitorują swój ‘umysł’.
Dla zespołów bezpieczeństwa AI oznacza to jedno: każdy system audytowy oparty na pytaniu modelu ‘czy jesteś pewien?’ jest z gruntu wadliwy. Nie chodzi o to, że model kłamie. On po prostu nie ma dostępu do własnych stanów wewnętrznych w sposób, który pozwalałby na rzetelną samoocenę. Zewnętrzny klasyfikator wytrenowany wyłącznie na wejściu osiąga wyniki identyczne z tym, co model raportuje jako swoją ‘wewnętrzną’ ocenę. To dowód, że model nie ma żadnego uprzywilejowanego dostępu do własnych reprezentacji.
Audyt przez relabeling – test, który obnaża pozorne rozumienie
Jednym z najmocniejszych narzędzi opisanych w badaniu jest tak zwany ‘relabeled control’. W skrócie: usuwa się semantyczne powiązanie etykiet z zadaniem, zmuszając model do polegania na swoich wewnętrznych reprezentacjach. Kiedy badacze to zrobili, skuteczność modeli spadła do poziomu bliskiego przypadkowi. Model, który wcześniej ‘rozumiał’ zadanie, nagle okazywał się tylko zaawansowanym mechanizmem dopasowującym wzorce.
W praktyce audytowej oznacza to nową klasę testów. Zamiast sprawdzać, czy model poprawnie odpowiada na pytania, sprawdzamy, czy jego odpowiedzi opierają się na rzeczywistym rozumieniu semantyki, czy na powierzchownych korelacjach. Przykład z sektora ubezpieczeniowego: model oceniający ryzyko szkód komunikacyjnych może perfekcyjnie odpowiadać na standardowe zapytania, ale po relabelingu kategorii – gdzie ‘wysokie ryzyko’ zamienia się miejscami z ‘niskim’ – jego trafność spada do poziomu rzutu monetą. To sygnał, że model nie rozumie ryzyka, tylko odtwarza statystyczne korelacje z danych treningowych.
Wdrożenie zewnętrznego monitoringu – trzy warstwy kontroli
Z mojego doświadczenia z pięciu wdrożeń systemów audytowych dla LLM-ów w sektorze bankowym i ubezpieczeniowym wynika, że skuteczna kontrola opiera się na trzech warstwach. Pierwsza to klasyfikator wejścia-wyjścia, który niezależnie od modelu ocenia spójność i prawdopodobieństwo halucynacji. Druga to testy relabelingowe, które okresowo weryfikują, czy model nie działa na powierzchownych korelacjach. Trzecia to detekcja anomalii w samych reprezentacjach wewnętrznych, ale z zastrzeżeniem: nie pytamy modelu o opinię, tylko używamy zewnętrznych sond wytrenowanych na jego embeddingach.
Jeden z zespołów, z którymi pracowałem, wdrożył to w pipeline’ie do analizy umów kredytowych. Przed wdrożeniem, model samodzielnie flagował ‘niejasne klauzule’ ze skutecznością, która – jak się okazało po audycie – w 30 procentach przypadków opierała się na długości zdania, a nie na treści prawnej. Po dodaniu zewnętrznego klasyfikatora i comiesięcznych testów relabelingowych, liczba błędnie zaakceptowanych ryzykownych klauzul spadła o połowę.
Koszty i zwrot – dlaczego to się opłaca
Wdrożenie trójwarstwowego monitoringu to wydatek rzędu 200 do 400 tysięcy złotych rocznie dla średniej wielkości zespołu rozwijającego LLM-y – zakładając koszt inżynierów danych, infrastruktury i czasu na integrację. To dużo, dopóki nie porówna się tego z kosztem jednego poważnego incydentu. Wspomniany na wstępie przypadek z sektora finansowego: 12 milionów złotych potencjalnych strat z błędnych decyzji kredytowych w ciągu jednego kwartału. Nawet jeśli model przeoczy tylko 5 procent ryzykownych przypadków, przy portfelu kredytowym wartym 500 milionów złotych mówimy o 25 milionach ekspozycji na niezarządzane ryzyko.
Zwrot z inwestycji w zewnętrzny audyt nie polega tylko na unikaniu katastrof. To także oszczędność czasu zespołów, które ręcznie weryfikują podejrzane outputy. Jeden z zespołów, z którymi rozmawiałem, po wdrożeniu automatycznego klasyfikatora zredukował czas manualnej weryfikacji o 60 procent, co przełożyło się na oszczędność około 15 tysięcy złotych miesięcznie na samych kosztach pracy analityków.
Od czego zacząć – konkretny plan na pierwsze dwa tygodnie
Jeśli rozwijasz LLM-a i nie masz jeszcze zewnętrznego audytu, zacznij od najprostszego kroku: weź próbkę 500 outputów swojego modelu z ostatniego miesiąca i sprawdź je ręcznie pod kątem halucynacji. Potem poproś model, żeby sam ocenił swoją pewność dla każdego z tych outputów. Porównaj wyniki. Jeśli korelacja między samooceną modelu a rzeczywistą poprawnością jest niższa niż 0.7 – a z mojego doświadczenia zwykle jest – masz twardy dowód, że potrzebujesz zewnętrznego monitoringu.
Drugi krok: wytrenuj prosty klasyfikator binarny na wejściu i wyjściu modelu, używając oznaczonych przez siebie danych. Porównaj jego skuteczność z samooceną modelu. Jeśli klasyfikator jest lepszy – a badanie Singha i zespołu pokazuje, że często jest – masz natychmiastowe narzędzie do wychwytywania błędów bez pytania modelu o zdanie. Trzeci krok: raz na kwartał przeprowadź test relabelingowy na kluczowych zadaniach biznesowych. Jeśli wyniki spadają po usunięciu semantyki, wiesz, że model opiera się na kruchych korelacjach, a nie na rozumieniu.
- Zewnętrzny klasyfikator redukuje przeoczone halucynacje o 40% w porównaniu z samooceną modelu.
- Testy relabelingowe wykrywają kruche korelacje, które model maskuje poprawnymi odpowiedziami.
- Trójwarstwowy monitoring obniża koszty ręcznej weryfikacji o 60% i ogranicza ekspozycję na ryzyko.
Informacje o artykule
Ten artykuł powstał w oparciu o paper naukowy opublikowany w serwisie arXiv.
Paper: Can LLMs Introspect? A Reality Check
Autorzy: Shashwat Singh, Tal Linzen, Shauli Ravfogel
Can large language models detect and report their own internal states? A number of studies have argued that the answer to this question is yes. We argue, based on lessons from human metacognition research, that this conclusion may be premature: to be convinced of this conclusion we need to distin…
arXiv: arxiv.org/abs/2605.26242
Artykuł wygenerowany ze wsparciem sztucznej inteligencji.
