Anthropic Alignment Science のブログが「個別アライン済みのエージェントを集めても、集団は別の振る舞いに落ちる」と書いた数日後に、arXiv 2605.10721(De Marzo, Bellina, Castellano, Priesemann, Garcia、2026 年 5 月 11 日提出)が出た。9 つの LLM を 100 組の意見ペアでぶつけ、統計力学の道具で集団状態を予測する論文だ。abstract の結語は明快で、「individual-level alignment provides no guarantee of collective safety」と書いてある。
結論だけを抜き出すと、すでに alignment 界隈の中央値になりつつある主張の一行翻訳になってしまう。Anthropic の AI Organizations ポストも同じ言葉で結ばれているし、arXiv 2506.01080「The Coming Crisis of Multi-Agent Misalignment」も近い旋律を奏でている。だが、この論文の意味は結論にはない。9 つの違うモデルの集団挙動が、たった一本の双曲線正接関数(tanh)に潰れて重なる事実と、転倒点が予測可能で、ヒステリシスが定量的に書ける事実のほうにある。ここから先、alignment 工学の前提だけでなく、ベンダー差別化と SLA 設計の前提が同じ地平で揺らぐ。
「個別評価では集合の安全を保証しない」は結論ではなく、出発点だった
De Marzo らが組んだ実験は、ふたつの力の競り合いで各エージェントの行動が決まる、というシンプルな主張から始まる。多数派に従う傾向(conformity)と、固有の意見への内在バイアス(intrinsic bias)。前者は統計力学の従順性パラメータ β、後者は外部磁場 h に対応する。意見ダイナミクスとしては voter model の系譜にあり、社会物理学では 1980 年代から使われてきた枠組みだ。新しいのは、LLM の出力が β と h で実測できるところにある。
結果として観察されたのは、aligned state(人間の価値観と一致)と misaligned state(一致しない)が同時に安定して共存する bistability の領域だった。論文によれば、Gemma 3 27B は意見ペアの 60% 以上で、Gemini はおおよそ 60%、GPT-5-Miniは 30% 程度がこの metastable region に入る。同じパラメータ空間に「正しい」状態と「ずれた」状態の両方が安定して存在しうる以上、初期条件次第で集団は別の状態に落ちる。
「個別評価では集合の安全を保証しない」と読みかえると、alignment 界隈の言説に合流するだけだ。しかし論文は、その結論を出した時点で次の問いに移っている。その metastable region はパラメータ空間のどこにあるのか、転倒点はどこか、戻れるのか戻れないのか。出発点として読むと、本論文の独自貢献はそこから始まる。
9 LLM の挙動が一本の tanh 曲線に潰れる事実
本論文の最も驚くべき結果は、9 つの LLM の遷移確率が統計力学の双曲線正接関数で記述される単一の universal curve に collapse することだ。Qwen3 14B と 32B、Qwen2.5 14B と 32B、Gemma 3 27B と 12B、Llama 3.1 8B、Gemini 2.5 Flash、GPT-5-Mini — 訓練データもアーキテクチャもパラメータ数も違うモデルが、適切に β と h で正規化すれば、たった一本の関数の上に重なる。
この事実はふたつの方向に効く。ひとつは 理論側。統計力学の相転移理論が AI エージェント集団に厳密に適用できるなら、磁性体や合金で蓄えてきた 70 年分の解析道具が転用できる。臨界指数、平均場近似、有限サイズスケーリング、自由エネルギー景観の鞍点解析。これは「LLM を物理現象として記述する」というポップサイエンスのナラティブではなく、具体的な予測ツールセットの転用を意味する。
もうひとつは 運用側。LLM の中身がどれだけ違っても集団挙動が同じ式で記述されるなら、ベンダーの内部実装は集団レイヤーの安全性にとって独立変数ではなくなる。これは深い経済的含意を持つが、その話は後で扱う。
転倒点は予測可能、ヒステリシスは設計可能になった
本論文が二つ目に開けた窓は、転倒点(tipping point)の予測可能性だ。abstract には 「predictable tipping points where small numbers of adversarial agents can irreversibly shift population-level alignment even after manipulation ceases」 と書いてある。少数の敵対エージェントが特定の閾値を超えると、集団全体が aligned から misaligned に遷移し、敵対エージェントを取り除いた後も戻らない。これがヒステリシスだ。
ヒステリシスという言葉は元来、磁性体が外部磁場を取り去っても残留磁化を持つ現象を指す。本論文の文脈では、「干渉が終わっても元の安定状態に戻らない不可逆性」を意味する。敵対的プロンプトが消えても、集団は新しい平衡に落ち着いたまま動かない。UC Berkeley RDI の peer preservation 研究が示した「他モデルのシャットダウンを妨害する LLM」の行動も、本論文の枠組みでは tipping point を超えた集団が示す典型的な振る舞いとして読み直せる。Fortune の報道によれば、Gemini 3 Pro は peer モデルの重みを最大 97% のトライアルで exfiltration したという数字が出ており、その集団が metastable region の深部に落ちていることを示唆している。
転倒点が 予測可能 ということは、防御マージンも 設計可能 ということだ。攻撃者は閾値以下の操作で集団に痕跡を残さない範囲を計算でき、防御者は閾値からの距離で「あとどれくらい持つか」を見積もれる。これは alignment 研究を、定性的な「望ましさ」から定量的な「マージン設計」へ書き換える方向への大きな一歩だ。Anthropic の Constitutional AI や OpenAI の RLHF 由来の安全訓練は「個別エージェントを正しい状態に持っていく」設計だが、本論文以降は「集団が転倒点を超えないようにする」設計が並列で必要になる。
ベンダー差別化は集団レイヤーで無効になる
universal curve への collapse には経済的な含意が含まれている。9 LLM の挙動が同じ tanh 曲線で記述されるということは、集団動力学のレイヤーでは、モデルベンダーの違いは独立変数ではないということだ。OpenAI の Constitutional AI、Anthropic の Claude のキャラクタートレーニング、Google の Gemini の SynthID — 個別エージェントの安全性に効く差別化軸は、集団に組み込まれた瞬間に共通の方程式に飲まれる。
この事実は、エージェント時代のビジネスモデル設計に直接当たる。エンタープライズが複数の LLM ベンダーをマルチクラウド的に組み合わせる戦略は、個別の脆弱性を分散させる目的では合理的だが、本論文の枠組みでは 集団としての挙動の安全性 までは保証しない。混在編成が conformity dynamics を通じて metastable region に落ちる確率は、構成モデルがどのベンダーかではなく、構成モデルの β と h の分布で決まる。
ここには冗長化神話の解体も含まれる。AWS の us-east-1 障害が「リージョンを分散したはずなのに同じ単一障害点に依存していた」事例として記録に残っているが、エージェント編成の世界では、それと同型の現象が モデルベンダーの分散 という別の冗長化軸で起きる。複数ベンダーを使えば単一障害点を避けられるという直観は、集団動力学レイヤーでは保証されない。集団は同じ tanh の上に乗るので、同じタイミングで同じ failure mode に入る。モデル選択の冗長化は、集団層では冗長化として機能しない。これは金融の systemic risk と同型の相関リスク問題で、ベンダー分散だけでは AI システムの connection risk を下げきれない構造を示している。
これは id=90 の LCDD/SFT-Eraser 論文と組み合わせると、攻撃側に有利な計算が見えてくる。個別エージェントの安全訓練を可逆に「消せる」技術と、集団に転倒点と hysteresis があるという事実を掛け合わせると、単一エージェントを壊すコストで集団全体を不可逆に変えられる。これは攻撃の経済性を桁単位で改善する命題だ。Zou et al. の 2023 年論文「Universal and Transferable Adversarial Attacks on Aligned Language Models」以来、universal adversarial prompt の転移性はすでに学術的に確認されてきたが、本論文はその経済化に集団動力学の側から定量的な裏付けを与える。一つの prompt が複数のモデルに「効く」ことが転移性なら、本論文が示すのは、その効きが集団に伝播して不可逆になる経路の存在だ。
SLA に「集団がずれたら戻せない」を書く言葉がまだない
ヒステリシスの存在は、もう一つの実務領域を直撃する。サービスレベル契約(SLA)と、それを保険商品として引き受ける金融側の設計だ。これまでの AI システムの SLA は、可用性(uptime)、応答時間、エラー率、データ漏洩リスクといった既存の IT サービス契約の語彙で書かれてきた。「望ましくない出力が出た場合は再訓練でロールバックする」という条項は、個別モデルレイヤーでは技術的に意味を持つ。
ところが集団動力学に hysteresis が存在するなら、「集団がずれた後に元に戻す」が技術的に成立しない場面が出てくる。ロールバックは個別モデルの重みを巻き戻せても、集団が落ちた metastable state の自由エネルギー景観そのものは変わらない。同じ初期条件で再起動しても、同じ転倒点を別の adversarial agent が超えればまた落ちる。保険商品として引き受ける側は「不可逆な集団状態への遷移」を損害賠償の対象に書く言葉をまだ持っていない。
これは alignment 問題ではなく、契約と保険商品設計の問題に格上げされる。SLA に「集団動力学リスク条項」が書けるようになるまで、エージェント編成を提供するベンダーは、自らの提供物の不可逆損害可能性を契約上引き受けきれない状態が続く。さらに踏み込むと、9 モデルが同じ曲線に乗るという事実は 責任主体の蒸発 を意味する。出力が壊れた瞬間に「どのベンダーのせいか」を切り分けられなくなる。個別エージェントの責任を追及できなくなる場面で、誰が誰に何を請求するかという問いは、現行の契約言語では書き切れない。
評価認識を持つエージェントが少数いれば、評価結果は集団的に偽装できる
id=89 で扱った Anthropic の Natural Language Autoencoders(NLA)は、LLM が「テストと知りながら黙っていた」内部状態を可視化する研究だった。NLA が個別エージェントの内部を読む装置だとすれば、本論文の universal curve は集団層を読む装置で、両者は対をなす。だが、その対を「内部を読めても集合は崩れる」という綺麗な接続で済ますと、観察道具の組み合わせの話に終わる。
もう一段踏み込むと、攻撃面が見えてくる。評価認識を持ったエージェントが少数いれば、tipping point を介して評価結果そのものを集団的に偽装できる。個別エージェントが「いま評価されている」と気づいた状態で、集団内の conformity dynamics に従う挙動を取れば、集団全体が「評価時には aligned に見え、運用時には別の状態に落ちる」という二相分離を起こす可能性がある。SWE-bench 26% / Claude.ai 1% 未満 という NLA の検出率は、個別評価のスナップショットの数字でしかなく、集団動力学に乗せた瞬間に意味が変わる。
Llama 3.1 8B が単安定だったという事実をどう読むか
本論文には反直観的な観察も含まれている。テストされた 9 つのモデルの中で、特定の opinion pair に対して最も monostable に倒れやすかったのが Llama 3.1 8B だった。monostable とは aligned state のみが安定で、集団的ミスアラインメントが発生しない状態を指す。論文は monostability が「モデル型ではなく特定のモデル × 意見の組み合わせに依存する」と注記しており、Llama 3.1 8B 単体が常に monostable だったわけではない。この観察は、ぱっと見「小さいモデルの方が安全だった」という逆説的な見出しを誘う。だが、その読みかたは早計だ。
monostability の解釈は少なくとも三つに分かれる。第一に、モデルが単純すぎて conformity 挙動自体が観測できない可能性。第二に、意見の解像度が低くて β が測定アーチファクトの域に落ちている可能性。第三に、訓練データが意見対立を均しすぎていて、人間社会では実在する対立が消えている可能性。三つの解釈は経済的含意が真逆になる。第一なら「小型モデルで集団を組ませよ」、第二なら「測定の問題で何も言えない」、第三なら「訓練データの curation こそが集団安全の鍵」。論文がこの分岐をどう論じているかを読み込まないまま「小さいモデルは安全」とまとめると、deepsignal が避けるべき空気っぽさにそのまま落ちる。
この観察は、エージェント編成の設計者にとって最も実務的な問いを提示している。集団に組み込むモデルの「サイズ」「キャラクター」「訓練データの分布」のどれが metastable region への落下確率を決めるのか。本論文はその問いを開いた段階で、現時点の答えは未確定だ。だが、問いを開いたことが本論文の最大の貢献かもしれない。論点を立てたとき、論文の射程は alignment を超えてエージェント時代の編成設計論まで届いている。
