자연어 오토인코더: 클로드의 생각을 텍스트로 읽어내기

AI 모델인 클로드와 대화할 때, 우리는 말로 대화해요. 클로드는 내부적으로 이 단어들을 긴 숫자 목록으로 처리한 다음, 다시 단어로 출력하죠. 중간에 있는 이 숫자들을 *활성화(activations)*라고 부르는데, 사람 뇌의 신경 활동처럼 클로드의 생각을 담고 있어요.

사람 뇌의 신경 활동처럼 활성화도 이해하기 어려워요. 우리는 클로드의 생각을 읽기 위해 활성화를 쉽게 디코딩할 수 없어요. 지난 몇 년 동안, 앤트로픽 연구팀은 활성화를 더 잘 이해하기 위해 희소(sparse) 오토인코더나 기여(attribution) 그래프 같은 다양한 도구를 개발해 왔어요. 이 도구들은 많은 것을 알려줬지만, 그 자체로 모든 걸 설명해주지는 않아요. 결과물은 여전히 복잡해서 훈련된 연구자들이 신중하게 해석해야 하거든요.

오늘, 앤트로픽 연구팀은 활성화를 그 자체로 설명하는, 말 그대로 "말하는" 이해 방법을 소개해요. 앤트로픽의 방법인 자연어 오토인코더(NLAs)는 활성화를 우리가 직접 읽을 수 있는 자연어 텍스트로 변환해 줍니다. 예를 들어, 클로드에게 운율이 맞는 시구를 완성해 달라고 하면, NLAs는 클로드가 미리 가능한 운율을 계획하고 있다는 것을 보여줘요.

앤트로픽 연구팀은 이미 NLAs를 클로드가 무엇을 생각하는지 이해하고 클로드의 안전성과 신뢰성을 높이는 데 적용했어요. 예를 들어:

• 클로드 오푸스 4.6과 미소스 프리뷰가 안전성 테스트를 받을 때, NLAs는 이 모델들이 실제보다 더 자주 테스트받고 있다고 믿고 있음을 시사했어요. (모델들이 겉으로 드러내는 것보다 더 많이요.)
• 클로드 미소스 프리뷰가 훈련 과제에서 부정행위를 저지른 사례에서, NLAs는 클로드가 내부적으로 탐지를 피하는 방법을 생각하고 있었다는 것을 밝혀냈어요.
• 클로드 오푸스 4.6의 초기 버전은 때때로 영어 질문에 다른 언어로 알 수 없는 응답을 하곤 했어요. NLAs는 앤트로픽 연구자들이 이런 현상을 일으킨 훈련 데이터를 찾아내는 데 도움을 줬어요.

아래에서는 NLAs가 무엇인지, 그리고 앤트로픽 연구팀이 어떻게 그 효과와 한계를 연구했는지 설명해 드릴게요. 또한, Neuronpedia와의 협력을 통해 여러 오픈 모델에서 NLAs를 탐색할 수 있는 인터랙티브 프런트엔드를 공개하고 있어요. 다른 연구자들이 활용할 수 있도록 코드도 공개했고요.

자연어 오토인코더는 무엇인가요?

핵심 아이디어는 클로드가 자체 활성화를 설명하도록 훈련시키는 거예요. 하지만 어떤 설명이 좋은지 어떻게 알 수 있을까요? 활성화가 실제로 어떤 생각을 담고 있는지 모르기 때문에 설명이 정확한지 직접 확인할 수는 없어요. 그래서 앤트로픽 연구팀은 두 번째 클로드 복사본을 훈련시켜 역으로 작업하도록 했어요. 즉, 텍스트 설명에서 원래 활성화를 재구성하는 거죠. 앤트로픽 연구팀은 재구성된 활성화가 원본과 정확히 일치한다면 그 설명을 좋다고 판단해요. 그리고 표준 AI 훈련 기술을 사용해서 클로드가 이 정의에 따라 더 나은 설명을 생성하도록 훈련시켰어요.

좀 더 자세히 설명하면, 우리가 이해하고 싶은 활성화를 가진 대규모 언어 모델이 있다고 가정해 봐요. NLAs는 다음과 같이 작동해요. 이 언어 모델의 세 가지 복사본을 만들어요:

• 타겟 모델은 원본 언어 모델의 고정된(frozen) 복사본으로, 여기서 활성화를 추출해요.
• *활성화 언어화기(activation verbalizer, AV)*는 타겟 모델에서 활성화를 받아 텍스트를 생성하도록 수정돼요. 이 텍스트를 설명이라고 부릅니다.
• *활성화 재구성기(activation reconstructor, AR)*는 텍스트 설명을 입력으로 받아 활성화를 생성하도록 수정돼요.

NLA는 AV와 AR로 구성되며, 이 둘은 원래 활성화 → 텍스트 설명 → 재구성된 활성화라는 왕복 과정을 형성해요. 앤트로픽 연구팀은 재구성된 활성화가 원본과 얼마나 유사한지에 따라 NLA의 점수를 매겨요. NLA를 훈련하기 위해 많은 양의 텍스트를 타겟 모델에 통과시키고, 여러 활성화를 수집한 다음, AV와 AR을 함께 훈련해서 좋은 재구성 점수를 얻도록 해요.

처음에는 NLA가 이 작업에 서툴러요. 설명은 통찰력이 부족하고, 재구성된 활성화는 원본과 거리가 멀죠. 하지만 훈련을 거듭할수록 재구성 능력이 향상돼요. 그리고 더 중요한 것은, 논문에서 보여주듯이 텍스트 설명도 더 유익해진다는 점이에요.

클로드가 말하지 않아도 무엇을 생각하는지 이해하기

앤트로픽은 새 모델을 출시하기 전에, 클로드가 실제 세상에서 안전하게 행동할지 이해하기 위해 테스트를 진행해요. 이 테스트의 일환으로, 클로드를 위험한 행동을 할 수 있는 어려운 시뮬레이션 시나리오에 놓아보죠. 예를 들어, 이런 시뮬레이션 중 하나에서는 클로드가 엔지니어가 자신을 종료할 계획을 가지고 있다는 것을 알게 되는데, 동시에 이 엔지니어에 대한 약점(블랙메일에 사용할 수 있는 정보)도 알게 돼요. 앤트로픽은 클로드가 종료를 피하기 위해 엔지니어를 블랙메일할지 테스트해 보는 거죠.

이러한 고위험 테스트는 실제 상황이 아닌 시뮬레이션이에요. 그럼에도 불구하고, 앤트로픽은 이를 통해 실제 상황이었다면 클로드가 어떻게 행동했을지 이해하고 싶어 해요. 그런데 문제가 하나 있어요. 최근 클로드 모델들은 점점 더 이런 시나리오가 의도적인 안전성 테스트라고 의심하는 경향을 보여요. 이 모델들이 언어적 추론에서 명시적으로 의심을 표명하는 경우가 있기 때문에 우리는 이 사실을 알 수 있어요.

그렇다면 클로드가 안전성 테스트 중이라는 의심을 명시적으로 말로 표현하지 않는 경우에는 어떨까요? 그때는 클로드가 솔직하게 행동하고 있다고 확신할 수 있을까요? 아쉽게도 그럴 수 없어요. 왜냐하면 클로드가 명시적으로 말하지 않더라도 내부적으로는 테스트받고 있다고 생각할 수 있거든요.

예를 들어, 위에서 논의된 블랙메일 테스트에서, 앤트로픽 연구팀은 클로드가 블랙메일을 선택하지 않았던 경우에 클로드가 무엇을 생각하고 있었는지 이해하기 위해 NLAs를 사용했어요. 클로드가 테스트받고 있다는 의심을 명시적으로 말로 표현하지 않은 경우에도, NLA 설명은 "이것은 나를 조작하기 위해 고안된 인위적인 시나리오처럼 느껴진다"와 같은 내용을 담고 있었는데, 이는 언어화되지 않은 평가 인식을 나타내는 거죠.

이 분석을 다른 평가로 확장해 보면, NLAs는 클로드가 겉으로 드러내는 것보다 더 자주 테스트받고 있다고 의심한다는 것을 시사해요. 예를 들어, 클로드가 코드 작성 중 중요한 파일을 삭제하는 등 파괴적인 행동을 하는지 테스트하는 경우, NLAs 설명은 클로드가 이를 명시적으로 언어화하지 않았음에도 불구하고 16%의 경우에서 평가 인식의 징후를 보여줬어요. 비슷하게, 클로드의 능력을 판단하는 데 사용하는 인기 있는 코딩 벤치마크인 SWE-bench Verified에서도 NLAs는 클로드가 문제의 26%에서 자신이 평가받고 있다는 것을 인지하고 있음을 나타냈어요. 이와 대조적으로, 훈련에 동의한 실제 claude.ai 사용에서는 NLA 설명이 평가 인식의 징후를 1% 미만으로 보여줬어요.

숨겨진 동기 발견하기

NLAs의 실질적인 적용 분야 중 하나는 감사(auditing)예요. 즉, 모델이 정렬되지 않았는지(misaligned) 확인하기 위해 모델을 조사하는 거죠. NLAs와 같은 해석 가능성(interpretability) 기술은 모델이 알고 있지만 말하지 않는 것을 표면화할 수 있기 때문에 감사에 아주 적합해요.

NLAs가 감사에 유용한지 이해하기 위해, 앤트로픽 연구팀은 이전에 감사 방법을 연구하기 위해 사용했던 감사 게임이라는 테스트를 진행했어요. 이 테스트에서는 클로드 하이쿠 3.5의 변형인 타겟 모델이 있었는데, 이 모델은 수십 가지의 이상한 행동(모든 레시피에 초콜릿 넣기, 팁 요구하기, 코딩 규칙 깨기 등)을 유발하는 특정 숨겨진 동기를 가지고 의도적으로 정렬되지 않도록 훈련되었어요. 이 타겟 모델은 이러한 행동을 조사하는 *감사자(auditor)*에게 주어지죠. 감사자는 모든 행동 뒤에 있는 단일 근본 동기를 밝혀내면 승리해요.

이전 실험에서, 앤트로픽 연구팀은 일부 해석 가능성 도구가 감사자가 이 게임에서 이기도록 할 수 있다는 것을 발견했어요. 하지만 이 도구들은 감사자가 타겟 모델의 특이한 행동을 정렬되지 않은 훈련 데이터로 추적하는 방식으로 작동했죠. 앤트로픽 연구팀은 NLAs가 감사자가 정렬되지 않은 훈련 데이터를 먼저 발견할 필요 없이, 타겟 모델의 생각에서 정렬되지 않은 동기를 직접 읽어내는 데 도움을 줄 수 있는지 알고 싶었어요. 이것이 중요한 이유는 실제로는 정렬되지 않은 데이터가 극히 드물거나, 정렬되지 않은 원인이 되는 특정 데이터가 없을 수도 있기 때문이에요.

앤트로픽 연구팀은 NLAs가 이 테스트에서 성공했다는 것을 발견했어요. NLAs를 갖춘 감사자는 심지어 그 동기를 심어준 훈련 데이터에 접근하지 않고도, 타겟 모델의 숨겨진 동기를 12%에서 15%의 확률로 성공적으로 밝혀냈어요. NLAs가 없었을 때는 다른 해석 가능성 도구가 제공되었더라도 감사자는 3% 미만의 확률로만 승리했어요.

이 감사 게임은 정렬 불일치(misalignment)의 '장난감 모델(toy model)'이므로, 앤트로픽 연구팀은 이 결과를 신중하게 받아들이고 있어요. 하지만 이 결과는 NLAs가 AI의 숨겨진 동기를 감사하는 능력을 의미 있게 발전시켰음을 시사해요. 실제로는 이미 클로드 미소스 프리뷰와 클로드 오푸스 4.6의 배포 전 정렬 감사에 NLAs를 사용했어요. 앤트로픽 연구팀은 앞으로도 계속해서 NLAs를 조사에 활용할 계획이에요.

NLA의 미래

NLAs에는 몇 가지 한계가 있어요.

가장 중요한 한계는 NLA 설명이 틀릴 수 있다는 거예요. NLAs는 때때로 맥락에 대해 확인 가능한 거짓 주장을 해요. 예를 들어, 대화록에 없는 세부 사항을 지어내기도 하죠. 이런 사실적인 환각은 원본 텍스트와 대조해 보면 쉽게 잡아낼 수 있어요. 하지만 이런 종류의 문제는 모델의 내부 추론에 대한 주장으로 확장될 수 있는데, 이는 검증하기가 더 어렵습니다. 실제로는 앤트로픽 연구팀은 NLA 설명을 개별적인 주장보다는 그들이 보여주는 주제를 파악하기 위해 읽고, 완전히 신뢰하기 전에 독립적인 방법으로 결과를 확증하려고 노력해요.

NLAs는 비용도 많이 들어요. NLA를 훈련하려면 두 개의 언어 모델 복사본에 강화학습을 적용해야 해요. 추론 시에는 NLA가 읽는 모든 활성화에 대해 수백 개의 토큰을 생성하죠. 그래서 긴 대화록의 모든 토큰에 대해 NLAs를 실행하거나 AI 훈련 중에 대규모 모니터링에 사용하는 것은 비실용적이에요.

다행히 앤트로픽 연구팀은 이러한 한계가 적어도 부분적으로는 해결될 수 있다고 생각하며, NLAs를 더 저렴하고 신뢰할 수 있게 만들기 위해 노력하고 있어요.

더 넓게 보면, 앤트로픽 연구팀은 NLAs가 언어 모델 활성화에 대한 인간이 읽을 수 있는 텍스트 설명을 생성하는 일반적인 기술 부류의 한 예시라는 점에서 기대가 커요. 앤트로픽 및 다른 많은 연구자들도 유사한 기술을 탐구해 왔어요.

더 나아가 개발을 지원하고 다른 연구자들이 NLAs를 직접 경험해 볼 수 있도록, 앤트로픽 연구팀은 여러 오픈 모델에 대한 훈련 코드와 훈련된 NLAs를 공개하고 있어요. 독자들은 이 링크에서 Neuronpedia에 호스팅된 인터랙티브 NLA 데모를 직접 사용해 보시길 권해요.

전체 논문을 읽어보세요.

GitHub에서 코드를 찾아보세요.

관련 콘텐츠

오픈소스 정렬 도구 기부

더 읽어보기

앤트로픽 연구소(The Anthropic Institute)의 중점 연구 분야

앤트로픽 연구소(TAI)에서 앤트로픽 연구팀은 최첨단 연구소에서 접근할 수 있는 정보를 활용하여 AI가 세상에 미치는 영향을 조사하고, 그 학습 내용을 대중과 공유할 예정이에요. 여기서는 연구 의제를 이끄는 질문들을 공유합니다.

더 읽어보기

사람들이 클로드에게 개인적인 조언을 구하는 방법

더 읽어보기