Published
-
LLM Limits and Hallucinations: Factuality, Evaluation, and QA

Photo by Stephen Dawson on Unsplash
LLM Limits and Hallucinations: Factuality, Evaluation, and QA
1. Executive Summary
LLMs generate plausible text, but they are not truth checkers. Training optimizes next-token prediction, and evaluation often rewards guessing, so uncertainty can still produce confident-looking answers. 出典: Why Language Models Hallucinate and Calibrated Language Models Must Hallucinate support this framing.
Hallucination is therefore not just a bug. It is a predictable result of learning objectives, scoring rules, and decoding behavior that can make guessing attractive. 出典: Why Language Models Hallucinate argues that training and evaluation push models toward guessing, and Calibrated Language Models Must Hallucinate shows that a lower bound remains for arbitrary facts.
The practical question is not whether hallucination exists. The practical question is how much uncertainty the system should tolerate, when it should abstain, and what external checks it needs. 出典: Holistic Evaluation of Language Models argues for multiple evaluation axes, and NIST AI RMF treats evaluation as ongoing risk management.
Benchmarks are useful because they standardize comparison, but benchmark scores do not equal field performance. Public and static datasets can be contaminated, and operational metrics such as latency, cost, refusal rate, and auditability also matter. 出典: An Open Source Data Contamination Report for Large Language Models and The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? show why benchmark readings must be cautious.
RAG, citations, tools, and verification help, but none of them guarantee truth. Unsupported claims still appear, citations can fail to reflect the real basis for an answer, and external retrieval opens a path for injection and poisoning. 出典: RAGTruth: A Hallucination Corpus for Developing Trustworthy Retrieval-Augmented Language Models, Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting, and Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives support this claim.
The key takeaways are four.
- Hallucination is a side effect of probabilistic generation and depends heavily on training and evaluation design.
- Benchmarks are useful, but contamination, overfitting, and distribution shift must always be suspected.
- RAG and citations improve grounding, but they do not automatically guarantee fidelity or safety.
- Production systems need quality assurance that combines refusal, verification, human review, and audit logs.
flowchart TD
A["Training objective"] --> B["Guessing is rewarded"]
C["Evaluation pressure"] --> B
B --> D["Uncertain input"]
D --> E["Plausible generation"]
E --> F["Hallucination"]
D --> G["Refuse or defer"]
This diagram treats hallucination as a design outcome rather than a mysterious failure. In practice, the important control point is the ability to stop at D by refusing or verifying.
2. Background and Research History
The starting point of LLM research is Transformer-based autoregressive generation. The model looks at an input sequence and then chooses the next token step by step. Truth checking is not the central operation in that loop. 出典: Attention Is All You Need and Language Models are Few-Shot Learners show this basic structure.
RAG then spread as a way to inject external documents into context. Long context, tool use, benchmark expansion, calibration, and explainability research followed in parallel. 出典: Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks, Lost in the Middle: How Language Models Use Long Contexts, and Holistic Evaluation of Language Models fit that trajectory.
Hallucination research moved from describing wrong answers to explaining why wrong answers happen systematically. By 2023, the key themes were training-data extraction, position effects in long context, and the limits of calibration and refusal. From 2024 to 2026, RAG fidelity, benchmark contamination, injection attacks, and unfaithful explanations became clearer. 出典: Extracting Training Data from Large Language Models, Scalable Extraction of Training Data from (Production) Language Models, RAGTruth, and An Open Source Data Contamination Report for Large Language Models support this summary.
The lesson from that history is that LLM limits are not confined to one layer. Pretraining, inference, retrieval, evaluation, and auditing can all fail, so a single fix is not enough. 出典: Why Language Models Hallucinate and Holistic Evaluation of Language Models both point toward system-level analysis.
3. Why Hallucinations Happen
The first point is that LLMs are not optimized to tell the truth. In many training setups, the model learns to predict the next token, and evaluation mainly rewards the right answer. That means guessing can be more attractive than saying “I do not know.” 出典: Why Language Models Hallucinate explains the incentive structure from training and evaluation, and Calibrated Language Models Must Hallucinate gives a lower bound for arbitrary facts.
The second point is that decoding is not evidence checking. The model simply emits high-probability continuations step by step, so plausibility and correctness do not always match. Lower temperature does not remove the underlying uncertainty. 出典: Language Models are Few-Shot Learners shows the autoregressive setup, and Calibrated Language Models Must Hallucinate shows that uncertainty remains at inference time.
The third point is that memory and factuality are different things. A model can memorize parts of training data, but it cannot always retrieve them reliably. A fact may be in memory and still be replaced by a plausible alternative when the context shifts. 出典: Extracting Training Data from Large Language Models and Scalable Extraction of Training Data from (Production) Language Models show the gap between memory and retrieval.
The fourth point is that hallucination is not only about low confidence. When the prompt is ambiguous or the context is incomplete, the model may still fill the gap with a plausible completion. That is statistical completion, not semantic verification. 出典: Why Language Models Hallucinate and Holistic Evaluation of Language Models make this distinction easier to see.
The fifth point is that hallucination is not always a fully wrong answer. A sentence can be mostly right while the number, attribute, causal link, or citation target is wrong. In practice, those partial errors are often the most dangerous. 出典: RAGTruth shows that unsupported and contradictory content still appears in RAG systems.
4. Benchmark Evaluation vs Practical Evaluation
A benchmark is a comparison instrument. Practical evaluation is a failure-prevention instrument for a real workflow. They look similar, but they serve different purposes. 出典: Holistic Evaluation of Language Models argues for broader evaluation than a single benchmark score.
Benchmarks are reproducible. But the more public, static, and popular a benchmark becomes, the more likely it is to be affected by overlap with training data or by overfitting. That is why a score alone is not enough. 出典: An Open Source Data Contamination Report for Large Language Models and The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? address this problem empirically.
Practical evaluation must be built around the failures that matter in the actual workflow. In legal, medical, financial, support, and internal-search settings, refusal quality, provenance tracking, latency, cost, and stability under reruns can matter more than a plain accuracy number. 出典: NIST AI RMF and Holistic Evaluation of Language Models both imply that accuracy alone is not enough.
| Dimension | Benchmark evaluation | Practical evaluation |
|---|---|---|
| Goal | Compare models | Avoid failures in your workflow |
| Data | Public and fixed | Internal docs, logs, hidden cases |
| Weakness | Contamination, overfitting, staleness | Distribution shift, operational cost, permissions |
| Metrics | accuracy, calibration, robustness | correctness, refusal rate, provenance rate, latency, cost |
| Change rate | Low | High |
| Failure visibility | Often hidden on a leaderboard | Exposed in real use |
The point of the table is not to reject benchmarks. The point is that benchmarks are necessary but not sufficient. 出典: Holistic Evaluation of Language Models supports a multi-metric design, and contamination research warns against reading static scores too literally.
5. What Helps and What Remains
RAG inserts external documents into context. That improves freshness and makes internal knowledge easier to use. But if the retrieved material is wrong, the answer can still be wrong. 出典: Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks gives the basic RAG design, and RAGTruth shows that hallucination can remain even with evidence present.
Citations help expose provenance. But a citation attached by the model is not the same thing as the real basis for the answer. Citations show provenance, but they do not prove fidelity. 出典: Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting shows that a plausible explanation may not reflect the actual reasoning path.
Tool use can add factual checks through calculation, search, database lookups, and external APIs. That is useful, but it also requires permissions, auditing, rollback, and protection against polluted inputs. The convenience of external retrieval creates a new attack surface. 出典: Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives and Backdoored Retrievers for Prompt Injection Attacks on Retrieval Augmented Generation of Large Language Models demonstrate that attack surface.
Long context is not a universal fix either. When the relevant information sits in the middle of a long input, the model can still miss it. It is better to decide what should be retrieved, what should be structured, and what should be refused before you simply make the input longer. 出典: Lost in the Middle: How Language Models Use Long Contexts shows the positional limitation.
| Method | What it improves | What remains |
|---|---|---|
| RAG | Freshness, evidence access | Retrieval errors, contamination, injection |
| Citations | Traceability | Not a guarantee of fidelity |
| Tool use | Fact checking, calculation, lookup | Permissions and auditing are required |
| Long context | More material to reference | Positional weakness and missed details |
| Calibration and refusal | Less overconfident behavior | A lower bound remains for arbitrary facts |
The point is not that one method solves everything. The point is that the failure mode you want to reduce usually needs a stack of methods, not one trick. 出典: RAGTruth, Lost in the Middle, and Calibrated Language Models Must Hallucinate make that clear.
6. A Quality Assurance Process
What follows is a public-information inference. In high-risk LLM use, you need quality assurance for the whole system, not only for the model. 出典: NIST AI RMF and Holistic Evaluation of Language Models support this inference.
First, separate questions into facts, reasoning, summaries, calculations, and actions. Facts go to source checks, reasoning goes to condition checks, summaries go to fidelity checks, calculations go to tools, and actions go to permission checks. 出典: This split is a public-information inference from the separate roles of RAG, tools, and evaluation axes.
Next, keep evaluation in three layers. Use public benchmarks to check breadth, a private holdout to check workflow fit, and an adversarial set to check hallucination and injection. 出典: An Open Source Data Contamination Report for Large Language Models and Indirect Prompt Injection in the Wild support why a single fixed set is not enough.
Then measure the following every time.
- Factuality.
- Citation support.
- Refusal quality.
- Latency.
- Cost.
- Stability under reruns.
flowchart TD
A["Question classification"] --> B["Gather evidence"]
B --> C["Automated checks"]
C --> D["Human review"]
D --> E["Post-launch monitoring"]
C --> F["Fix and rerun"]
F --> C
The point of the flow is not to hope that the model becomes correct. The point is to find failures early, reproduce them, isolate them, and watch for regressions. 出典: NIST AI RMF emphasizes ongoing management, and Holistic Evaluation of Language Models emphasizes multi-dimensional measurement.
7. Risks and Limits
First, zero hallucination is not realistic. For arbitrary facts, there will always be residual error under the structure of training and evaluation. The practical question is not zero hallucination, but the acceptable failure rate. 出典: Calibrated Language Models Must Hallucinate and Why Language Models Hallucinate support that point.
Second, explanations are not proofs. LLMs can produce plausible reasons, but those reasons may not reflect the actual internal process. Explanations should therefore not replace audit evidence. 出典: Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting shows this limitation.
Third, RAG improves freshness, but it is not a truth guarantee. Retrieval sources can be contaminated, and injection attacks can slip in instructions or malicious documents that should not have been there. 出典: RAGTruth and Indirect Prompt Injection in the Wild show the residual risk.
Fourth, benchmarks are fragile. Public data is easy to contaminate, and a number does not map cleanly to a workflow failure mode. A high score is not the same as practical usefulness. 出典: An Open Source Data Contamination Report for Large Language Models and The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? are the main warnings here.
8. Recommendations
- Separate questions the model can answer from questions it should refuse.
- Decide on refusal and deferral behavior before deployment.
- Externalize evidence through RAG and tool use.
- Keep citations, but do not treat citations themselves as proof.
- Use benchmarks, but supplement them with internal holdouts and adversarial sets.
- For high-risk use cases, retain human review and audit logs.
This sequence is sensible because finding and stopping failures early is often more effective than trying to make the model smarter. 出典: NIST AI RMF, Holistic Evaluation of Language Models, and RAGTruth together support this public-information inference.
References
- Why Language Models Hallucinate
- Calibrated Language Models Must Hallucinate
- Holistic Evaluation of Language Models
- An Open Source Data Contamination Report for Large Language Models
- The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance?
- Lost in the Middle: How Language Models Use Long Contexts
- RAGTruth: A Hallucination Corpus for Developing Trustworthy Retrieval-Augmented Language Models
- Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting
- Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives
- Backdoored Retrievers for Prompt Injection Attacks on Retrieval Augmented Generation of Large Language Models
- NIST AI RMF
- Attention Is All You Need
- Language Models are Few-Shot Learners
- Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks
- Extracting Training Data from Large Language Models
- Scalable Extraction of Training Data from (Production) Language Models
LLMの限界と幻覚: 事実性・評価・品質保証をどう設計するか
1. エグゼクティブサマリー
LLMは、もっともらしい文を生成する装置であって、真偽を照合する装置ではない。学習では次トークン予測が最適化され、評価ではしばしば正解を当てることが褒められるため、不確実な場面でも推測が有利になる。 出典: Why Language Models Hallucinate と Calibrated Language Models Must Hallucinate に基づく整理である。
したがって、幻覚は単なるバグではない。学習目的、採点方法、推論時のデコーディングが重なって、推測が報われる条件ができると起きやすい。 出典: Why Language Models Hallucinate は訓練と評価が推測を押しやすいと論じ、Calibrated Language Models Must Hallucinate は任意の事実に対して幻覚の下限が残ることを示している。
実務の問いは、幻覚をゼロにできるかではない。どの程度の不確実性を許容し、どの場面で拒否させ、どの外部検証を挟むかである。 出典: Holistic Evaluation of Language Models は単一精度ではなく複数の評価軸を見よと示し、NIST AI RMF は評価を継続的なリスク管理として扱う。
ベンチマークは比較に有効だが、現場の性能と同義ではない。公開固定データは汚染されうるし、業務では latency、費用、拒否率、監査可能性、権限設計も効く。 出典: An Open Source Data Contamination Report for Large Language Models と The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? は、ベンチマーク汚染と一般化のずれを示している。
RAG、引用、ツール利用、検証は助けになるが、真実保証ではない。RAGでも unsupported claim は残り、出典は付いていても忠実性は別問題であり、外部取得は注入攻撃や汚染の入口にもなる。 出典: RAGTruth: A Hallucination Corpus for Developing Trustworthy Retrieval-Augmented Language Models、Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting、Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives に基づく。
要点は四つである。
- 幻覚は確率生成の副作用であり、学習と評価の設計に強く依存する。
- ベンチマークは便利だが、汚染、過学習、分布ずれを常に疑う必要がある。
- RAG と引用は正確性を上げやすいが、忠実性と安全性を自動保証しない。
- 実務では、拒否、検証、人手確認、監査を組み合わせた品質保証が必要になる。
flowchart TD
A["学習目標"] --> B["推測が有利"]
C["評価圧力"] --> B
B --> D["不確実な入力"]
D --> E["もっともらしい生成"]
E --> F["幻覚"]
D --> G["拒否・保留"]
この図は、幻覚を「モデルが壊れている」現象ではなく、「推測が選ばれやすい設計条件」の帰結として見るための簡略図である。実務では、D で止めるための拒否設計と外部検証が重要になる。
2. 背景と研究史
LLM研究の出発点は、Transformer による自己回帰生成である。モデルは入力文を見て、次に来そうなトークンを順に選ぶ。そこでは真偽よりも、文脈上もっともらしい続きを作ることが中心になる。 出典: Attention Is All You Need と Language Models are Few-Shot Learners が、この基本構造を示している。
その後、RAG は外部文書を文脈に差し込む設計として広まった。さらに、長文脈、ツール利用、ベンチマーク拡張、校正、説明可能性の研究が並走した。 出典: Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks、Lost in the Middle: How Language Models Use Long Contexts、Holistic Evaluation of Language Models に沿った流れである。
幻覚の研究は、単なる誤答の記述から、なぜ誤答が体系的に起きるかの分析へ進んだ。2023年には、訓練データの抽出、長文脈の位置依存、校正と拒否の限界が論点になった。2024年から2026年にかけては、RAG の忠実性、ベンチマーク汚染、注入攻撃、説明の不忠実性がより明確になった。 出典: Extracting Training Data from Large Language Models、Scalable Extraction of Training Data from (Production) Language Models、RAGTruth、An Open Source Data Contamination Report for Large Language Models に基づく要約である。
この研究史から見えるのは、LLM の限界が一つの層で完結していないことである。事前学習、推論、検索、評価、監査の各層で失敗しうるため、対策も一つでは足りない。 出典: Why Language Models Hallucinate と Holistic Evaluation of Language Models は、単層ではなく系として見る必要を後押ししている。
3. 幻覚はなぜ起きるか
最初の要点は、LLM が真実を当てるように最適化されているわけではないことである。多くの訓練設定では、モデルは次の語を当てることを学び、評価では正しい答えを出したかどうかだけが目立つ。その結果、分からないときに「分からない」と言うより、推測する方が報酬的に有利になりうる。 出典: Why Language Models Hallucinate はこの問題を訓練と評価のインセンティブから説明し、Calibrated Language Models Must Hallucinate は任意事実での下限を与えている。
第二の要点は、推論時のデコーディングが証拠確認ではないことである。モデルは高い確率を持つ続きを順に出すだけなので、もっともらしさと正確さは一致しない。温度を下げても、基礎的な不確実性が消えるわけではない。 出典: Language Models are Few-Shot Learners は自己回帰生成の枠組みを示し、Calibrated Language Models Must Hallucinate は推論時の不確実性が残ることを示している。
第三の要点は、記憶と事実性が別物であることである。モデルは訓練データの一部を覚えうるが、覚えたことを常に正しく取り出せるわけではない。記憶はあっても、文脈が少し変わると別のもっともらしい答えを作ってしまう。 出典: Extracting Training Data from Large Language Models と Scalable Extraction of Training Data from (Production) Language Models は、記憶と抽出のズレを示している。
第四の要点は、幻覚の中心が「自信のなさ」そのものではないことである。自信が低い場面で拒否できればよいが、実際には、曖昧な問いや欠損した文脈の下で、もっともらしい補完が生成される。これは統計的な補完であって、意味論的な検証ではない。 出典: Why Language Models Hallucinate と Holistic Evaluation of Language Models を合わせて読むと、この違いが分かりやすい。
第五の要点は、幻覚は「完全な誤り」だけではないことである。部分的に正しい文の中に、数字、属性、因果、引用先だけがずれることがある。実務上は、この半分だけ合っている誤りの方が危険である。 出典: RAGTruth は、RAG システムでも unsupported かつ contradictory な内容が出うることを示している。
4. ベンチマーク評価と実務評価の違い
ベンチマークは比較のための装置である。実務評価は、実際の業務で失敗しないかを確かめる装置である。両者は似ているが、目的が違う。 出典: Holistic Evaluation of Language Models は、単一ベンチマークではなく多面的評価を提案している。
ベンチマークは再現性が高い。だが、公開され、静的で、よく使われるほど、訓練データとの重複や過学習の影響を受けやすい。したがって、スコアだけで能力を語るのは危険である。 出典: An Open Source Data Contamination Report for Large Language Models と The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? は、この問題を実証的に扱っている。
実務評価は、業務の失敗モードに合わせて作る必要がある。たとえば、法務、医療、金融、サポート、社内検索では、単純な正解率より、拒否の妥当性、根拠の追跡可能性、遅延、コスト、再実行時の安定性が重要になる。 出典: NIST AI RMF と Holistic Evaluation of Language Models を合わせると、評価は単なる accuracy では足りない。
| 観点 | ベンチマーク評価 | 実務評価 |
|---|---|---|
| 目的 | 他モデルとの比較 | 自分の業務での失敗回避 |
| データ | 公開固定データ | 自社文書、ログ、隠しケース |
| 弱点 | 汚染、過学習、古さ | 分布変化、運用コスト、権限差 |
| 指標 | accuracy, calibration, robustness | 正確性, 拒否率, 根拠率, latency, cost |
| 変更頻度 | 低い | 高い |
| 失敗の見え方 | リーダーボードで隠れる | 実利用で露出する |
この表の意味は、ベンチマークを捨てることではない。ベンチマークは必要だが、十分ではないということだ。 出典: Holistic Evaluation of Language Models は複数の指標を組み合わせる設計を示し、汚染研究は固定スコアの読み方に注意を促している。
5. RAG・検証・引用・ツール利用で何が改善し、何が残るか
RAG は、外部文書を文脈に入れて答えを作る。これは古い知識を減らし、社内文書や最新情報を使いやすくする。だが、検索した文書が誤っていれば答えも誤る。 出典: Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks は RAG の基本構造を示し、RAGTruth は証拠があっても幻覚が残ることを示している。
引用は出典を見せるのに役立つ。だが、モデルが付けた引用が、その主張の本当の根拠であるとは限らない。引用は provenance を見せるが、忠実性の証明ではない。 出典: Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting は、もっともらしい説明が実際の判断過程を表していない場合があることを示している。
ツール利用は、計算、検索、DB 照会、外部 API 呼び出しで事実確認を補える。これは有効だが、権限、監査、ロールバック、入力汚染への対策が必要になる。外部取得の便利さは、新しい攻撃面でもある。 出典: Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives と Backdoored Retrievers for Prompt Injection Attacks on Retrieval Augmented Generation of Large Language Models は、その攻撃面を示している。
長文脈も万能ではない。必要な情報が長い入力の中央にあると、モデルが見落とすことがある。だから、長く入れる前に、何を検索に回し、何を構造化し、何を拒否させるかを決める方がよい。 出典: Lost in the Middle: How Language Models Use Long Contexts は、位置依存の限界を示している。
| 手法 | 改善する点 | 残る点 |
|---|---|---|
| RAG | 最新性、根拠の提示 | 検索誤り、汚染、注入 |
| 引用 | 追跡可能性 | 忠実性の保証ではない |
| ツール利用 | 事実確認、計算、照会 | 権限と監査が必要 |
| 長文脈 | 参照可能な材料の増加 | 位置依存と取りこぼし |
| 校正・拒否 | 不確実時の暴発抑制 | 任意事実の幻覚下限 |
この比較は、どれか一つを入れれば解決するという話ではない。改善したい失敗モードに応じて、複数の手段を重ねる必要がある。 出典: RAGTruth、Lost in the Middle、Calibrated Language Models Must Hallucinate を合わせると、その現実が見えやすい。
6. 実務での品質保証プロセス
以下は公表情報からの推定である。高リスクの LLM 利用では、モデル単体の精度ではなく、運用全体の品質保証が必要になる。 出典: NIST AI RMF と Holistic Evaluation of Language Models を踏まえた推定である。
まず、質問を事実、推論、要約、計算、操作に分ける。事実は出典照合、推論は条件検査、要約は忠実性検査、計算はツール実行、操作は権限確認に回す。 出典: この分解は、RAG、ツール利用、評価軸を別に扱う方が安全だという public information inference である。
次に、評価セットを三層で持つ。公開ベンチマークで広さを確認し、社内の固定ホールドアウトで業務適合を確認し、意地悪な adversarial set で幻覚と注入を確認する。 出典: An Open Source Data Contamination Report for Large Language Models と Indirect Prompt Injection in the Wild は、固定セットだけでは足りない理由を補強している。
そのうえで、次の指標を毎回見る。
- 事実性。
- 引用の支持率。
- 拒否の適切さ。
- latency。
- cost。
- 再実行時の安定性。
flowchart TD
A["質問分類"] --> B["根拠取得"]
B --> C["自動評価"]
C --> D["人手確認"]
D --> E["公開後監視"]
C --> F["修正と再評価"]
F --> C
この流れの狙いは、モデルに「正しさ」を祈ることではない。失敗を早く見つけ、失敗を再現し、失敗を隔離し、再発を監視することである。 出典: NIST AI RMF は継続的な管理を、Holistic Evaluation of Language Models は多面的な測定を、それぞれ重視している。
7. リスク・限界
第一に、幻覚をゼロにするのは現実的ではない。任意の事実に関する答えでは、学習と評価の構造上、誤りの余地が残る。だから重要なのはゼロ幻覚ではなく、許容可能な失敗率をどこに置くかである。 出典: Calibrated Language Models Must Hallucinate と Why Language Models Hallucinate に基づく。
第二に、説明は証明ではない。LLM はもっともらしい理由を語れるが、その理由が実際の内部過程を反映しているとは限らない。したがって、説明を監査証跡の代わりに使ってはいけない。 出典: Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting がこの限界を示している。
第三に、RAG は知識の鮮度を上げるが、真実保証ではない。検索対象が汚染されることもあるし、注入攻撃により、見せたくない指示や悪性文書が入り込むこともある。 出典: RAGTruth と Indirect Prompt Injection in the Wild がその残余リスクを示している。
第四に、ベンチマークは壊れやすい。公開データは汚染されやすく、数字は業務の失敗モードをそのまま表さない。だから、スコアが高いことと実用的であることは別である。 出典: An Open Source Data Contamination Report for Large Language Models と The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance? を参照。
8. 推奨方針
- まず、答えられる問いと、答えてはいけない問いを分ける。
- 次に、拒否と保留の設計を決める。
- そのうえで、RAG とツール利用で根拠を外部化する。
- 引用は残すが、引用そのものを証明扱いしない。
- ベンチマークは使うが、社内ホールドアウトと adversarial set で補う。
- 高リスク用途では、人手確認と監査ログを残す。
この順序が妥当なのは、モデルの賢さを上げるよりも、失敗を早く見つけて止める方が、現実の事故率を下げやすいからである。 出典: NIST AI RMF、Holistic Evaluation of Language Models、RAGTruth を総合した公表情報からの推定である。
参考情報
- Why Language Models Hallucinate
- Calibrated Language Models Must Hallucinate
- Holistic Evaluation of Language Models
- An Open Source Data Contamination Report for Large Language Models
- The Vulnerability of Language Model Benchmarks: Do They Accurately Reflect True LLM Performance?
- Lost in the Middle: How Language Models Use Long Contexts
- RAGTruth: A Hallucination Corpus for Developing Trustworthy Retrieval-Augmented Language Models
- Language Models Don’t Always Say What They Think: Unfaithful Explanations in Chain-of-Thought Prompting
- Indirect Prompt Injection in the Wild: An Empirical Study of Prevalence, Techniques, and Objectives
- Backdoored Retrievers for Prompt Injection Attacks on Retrieval Augmented Generation of Large Language Models
- NIST AI RMF
- Attention Is All You Need
- Language Models are Few-Shot Learners
- Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks
- Extracting Training Data from Large Language Models
- Scalable Extraction of Training Data from (Production) Language Models