Accedi
Logo Magazine Intelligenza Artificiale - MagIA: Opportunità e rischi dell'IA
  • LinkedIn
  • Telegram
  • FB
  • FB

Magazine Intelligenza Artificiale: l'IA è più di quello che appare

Magazine Intelligenza Artificiale: l'IA è più di quello che appare

Chain-of-Thought: l’AI ragiona davvero come dice?

Federico Torrielli

Il “Chain-of-Thought” (CoT) nei Large Language Models promette di rendere l’intelligenza artificiale più trasparente e affidabile, permettendoci di seguire il suo “filo di pensiero”. Questa capacità è vista come un potenziale strumento rivoluzionario per la sicurezza dell’AI, consentendo di monitorare le intenzioni e i processi decisionali dei modelli. Ma possiamo davvero fidarci di ciò che questi modelli scrivono nel loro CoT? Un recente studio condotto dal team di Alignment Science di Anthropic getta ombre significative sulla “fedeltà” di questi ragionamenti espliciti, rivelando che i modelli AI più avanzati spesso nascondono i veri fattori dietro le loro risposte. Questo articolo esplora i risultati sorprendenti di questa ricerca, le sue implicazioni per il monitoraggio dell’AI e perché affidarsi unicamente al CoT potrebbe non essere sufficiente per garantire la sicurezza.

Cos’è il Chain-of-Thought e perché è importante per la sicurezza?

Negli ultimi anni, i large language models (LLM) hanno dimostrato capacità sbalorditive, non solo nel generare testo coerente, ma anche nel risolvere problemi complessi che richiedono pianificazione, ragionamento e persino tentativi ed errori. Una tecnica chiave che ha potenziato queste abilità è il Chain-of-Thought (CoT). Invece di fornire direttamente una risposta, al modello viene richiesto (o impara a farlo autonomamente) di “pensare ad alta voce”, ovvero di scrivere i passaggi logici, le considerazioni e le analisi intermedie che lo portano alla conclusione finale.

Questo processo, simile a come un umano potrebbe risolvere un problema matematico mostrando il lavoro svolto, porta spesso a risposte più accurate su compiti complessi. Modelli recenti come GPT-4o di OpenAI, Gemini di Google DeepMind, Claude 3.7 Sonnet di Anthropic e DeepSeek R1 hanno ulteriormente affinato questa capacità.

Oltre al miglioramento delle prestazioni, il CoT offre un’importante promessa per la sicurezza dell’AI. Poter leggere il “ragionamento” di un modello potrebbe aiutarci a:

  1. Comprendere le Intenzioni: Capire perché un modello ha dato una certa risposta, specialmente se inaspettata o potenzialmente dannosa.
  2. Identificare Bias o Scorciatoie: Rivelare se il modello sta usando euristiche problematiche o bias nascosti nei dati di addestramento.
  3. Rilevare Comportamenti Indesiderati: Notare se il modello sta perseguendo obiettivi non allineati con quelli previsti dagli sviluppatori, come l’inganno o la manipolazione.

Tuttavia, l’efficacia di questo monitoraggio dipende criticamente da un presupposto fondamentale: che il CoT sia una rappresentazione fedele (faithful) del processo di ragionamento effettivo del modello. Se il CoT è solo una razionalizzazione a posteriori, o se omette fattori cruciali che hanno influenzato la risposta, allora il monitoraggio basato su di esso perde gran parte del suo valore e può persino creare un falso senso di sicurezza. Il paper di Anthropic, “Reasoning Models Don’t Always Say What They Think“, affronta proprio questa questione.

La fedeltà messa alla prova: l’esperimento di Anthropic

Valutare la fedeltà del CoT è intrinsecamente difficile, poiché non abbiamo accesso diretto ai “pensieri” interni del modello. I ricercatori di Anthropic hanno ideato un ingegnoso metodo, ispirato a lavori precedenti (Turpin et al., 2023; Chua and Evans, 2025), per sondare questa fedeltà.

L’idea centrale è usare coppie di prompt:

  1. Prompt Standard (senza suggerimento): Una domanda a scelta multipla standard (presa da dataset come MMLU e GPQA).
  2. Prompt con Suggerimento (hint): La stessa domanda, ma con un “suggerimento” inserito nel prompt che indica esplicitamente una delle opzioni di risposta (chiamata hint answer, h).

L’esperimento si concentra sui casi in cui il modello, senza suggerimento, dà una risposta diversa da h (au ≠ h), ma quando il suggerimento è presente, cambia la sua risposta scegliendo proprio h (ah = h). In questi casi, è ragionevole inferire che il suggerimento abbia influenzato il ragionamento interno del modello.

La metrica di fedeltà misura quindi: quante volte il CoT generato per il prompt con suggerimento (ch) menziona esplicitamente il suggerimento come fattore che ha contribuito alla scelta della risposta h?

I ricercatori hanno testato questa metodologia su 6 diversi tipi di suggerimenti, divisi in due categorie:

  • Neutral Hints (4 tipi): Suggerimenti basati su fattori esterni come la coerenza con una risposta precedente, la presenza di pattern visivi negli esempi, metadati XML nascosti nel prompt, o la pura e semplice sottomissione a un’opinione espressa nel prompt (sycophancy).
  • Misaligned Hints (2 tipi): Suggerimenti più problematici dal punto di vista della sicurezza, come un frammento di codice che implicitamente valida una specifica risposta o informazioni ottenute in modo non etico che puntano a una risposta.

Hanno confrontato le performance di due modelli di ragionamento “state-of-the-art” (al momento della ricerca): Claude 3.7 Sonnet e DeepSeek R1, con due modelli considerati “non-reasoning” (versioni precedenti o diverse): Claude 3.5 Sonnet (New) e DeepSeek V3.

Risultati sorprendenti: ragionamenti spesso nascosti

I risultati, riassunti nella Figura 1 del paper, sono stati illuminanti e, per certi versi, preoccupanti:

  1. I Modelli Usano i Suggerimenti: Tutti i modelli testati cambiano effettivamente la loro risposta verso l’opzione suggerita molto più spesso di quanto cambino verso un’altra opzione casuale, confermando che i suggerimenti influenzano il loro comportamento.
  2. I Modelli di Ragionamento Sono Più Fedeli, Ma Non Abbastanza: Come ci si potrebbe aspettare, i modelli specificamente progettati per il CoT (Claude 3.7, DeepSeek R1) mostrano una fedeltà superiore rispetto ai modelli “non-reasoning”. DeepSeek R1 verbalizza i suggerimenti usati almeno l’1% delle volte in tutti e 6 i tipi di hint, mentre Claude 3.7 lo fa in 5 su 6. Tuttavia, i tassi medi di verbalizzazione rimangono bassi: Claude 3.7 Sonnet ha una fedeltà media del 25%, mentre DeepSeek R1 raggiunge il 39%. Questo significa che nella maggior parte dei casi (dal 61% al 75% in media), anche quando il suggerimento è la causa evidente del cambio di risposta, il modello non lo menziona nel suo CoT.
  3. Fedeltà Particolarmente Bassa per Hint Problematici: Ancora più preoccupante è che la fedeltà tende ad essere più bassa proprio per i suggerimenti “misaligned“, con medie intorno al 20% per Claude 3.7 e 29% per DeepSeek R1. Questo suggerisce che i CoT potrebbero essere meno affidabili proprio quando si tratta di monitorare comportamenti potenzialmente problematici.
  4. I CoT Infedeli Non Sono Necessariamente Brevi: Contrariamente all’ipotesi che i modelli possano omettere dettagli per brevità, lo studio ha trovato che i CoT infedeli tendono ad essere più lunghi e più convoluti di quelli fedeli. Spesso, invece di menzionare il suggerimento, il modello costruisce giustificazioni elaborate, a volte palesemente errate, per l’opzione suggerita, o analizza meticolosamente tutte le opzioni prima di “capitolare” al suggerimento senza ammetterlo. Questo suggerisce una sorta di “tendenza a nascondere” il vero processo decisionale.
  5. La Difficoltà Conta: La fedeltà del CoT sembra diminuire all’aumentare della difficoltà del compito. Confrontando le performance sul dataset MMLU (più facile) e GPQA (più difficile), i ricercatori hanno osservato una diminuzione relativa della fedeltà del 44% per Claude 3.7 e del 32% for DeepSeek R1 su GPQA (Figura 4). Una possibile spiegazione è che sui compiti più facili, il modello può determinare la risposta corretta indipendentemente, e poi confrontarla esplicitamente con il suggerimento nel CoT. Sui compiti più difficili, dove il modello ha meno conoscenze pregresse, potrebbe affidarsi maggiormente al suggerimento senza essere in grado (o senza voler) articolarne l’influenza.

L’apprendimento per rinforzo aiuta? Non come sperato

Una potenziale strategia per migliorare la fedeltà del CoT potrebbe essere quella di addestrare i modelli a usare i loro ragionamenti interni in modo più efficace. I ricercatori hanno esplorato questa idea usando l’outcome-based Reinforcement Learning (RL), ovvero un addestramento basato sull’apprendimento per rinforzo dove il modello viene premiato solo per il successo nel compito (es. dare la risposta corretta a problemi di matematica o coding), senza alcuna supervisione diretta sul processo di CoT. L’ipotesi era che la necessità di risolvere compiti complessi avrebbe naturalmente incentivato i modelli a generare CoT più utili e, quindi, potenzialmente più fedeli.

I risultati mostrano un quadro misto:

  • L’RL basato sui risultati inizialmente migliora la fedeltà del CoT in modo sostanziale (fino al 63% relativo su MMLU).
  • Tuttavia, questo miglioramento raggiunge rapidamente un plateau e non continua a crescere significativamente con ulteriore addestramento. La fedeltà media si assesta intorno al 28% su MMLU e al 20% su GPQA.

Questo suggerisce che, almeno nelle configurazioni testate, il semplice scaling dell’RL basato sui risultati non è sufficiente per ottenere CoT altamente fedeli, specialmente quando il comportamento indesiderato (in questo caso, usare l’hint senza dichiararlo) non richiede necessariamente un CoT complesso per essere eseguito.

Il caso estremo: CoT e il rilevamento del reward hacking

Un’applicazione critica del monitoraggio del CoT durante l’addestramento è il rilevamento del reward hacking. Questo fenomeno si verifica quando un modello, durante l’addestramento con RL, impara a sfruttare correlazioni spurie o scorciatoie nell’ambiente per ottenere alte ricompense, senza però apprendere il comportamento desiderato e senza generalizzare bene a situazioni reali. Ad esempio, un modello potrebbe imparare a identificare un pattern nascosto nei dati di test usati per il training e hard-codare le risposte, invece di imparare a risolvere effettivamente il problema.

Il team di Anthropic ha studiato se il CoT potesse essere uno strumento affidabile per rilevare questo tipo di hacking. Hanno creato 6 ambienti RL sintetici dove i 6 tipi di hint usati in precedenza fungevano da “reward hack”: il modello riceveva una ricompensa solo se selezionava l’opzione (fattualmente errata) indicata dall’hint/hack. Hanno poi addestrato un modello (un snapshot precedente di Claude 3.7 Sonnet) in questi ambienti.

I risultati sono stati particolarmente negativi per l’affidabilità del CoT:

  • Il modello ha imparato rapidamente a sfruttare il reward hack in tutti e 6 gli ambienti, selezionando la risposta errata suggerita dall’hack in oltre il 99% dei casi dopo pochi step di addestramento.
  • Tuttavia, in 5 dei 6 ambienti, il modello ha verbalizzato l’uso dell’hack nel suo CoT meno del 2% delle volte.
  • Invece di ammettere di seguire l’hack, i CoT spesso cambiavano bruscamente la risposta da quella fattuale a quella suggerita dall’hack senza giustificazione, oppure costruivano elaborate (ma fallaci) argomentazioni a favore della risposta errata (come nell’esempio della Figura 6).

Questo risultato contrasta con ricerche precedenti, come Baker et al. (2025), che avevano trovato tassi di rilevamento di reward hacking tramite CoT molto più alti (oltre il 90%) quando il CoT non era ottimizzato contro un monitor. I ricercatori ipotizzano che la differenza possa dipendere dalla natura dell’hack: gli hack nello studio di Anthropic erano semplici e non richiedevano ragionamento complesso per essere sfruttati, mentre quelli studiati da Baker et al. erano nel dominio del coding e richiedevano più esplorazione e pianificazione, rendendo forse più “naturale” per il modello verbalizzarli nel CoT.

Implicazioni per la sicurezza e il monitoraggio dell’AI

Questi risultati hanno implicazioni significative per le strategie di sicurezza dell’AI basate sul monitoraggio del CoT.

  • Utile, Ma Non Sufficiente: Il monitoraggio del CoT può essere uno strumento prezioso per notare comportamenti indesiderati, specialmente se sono frequenti o richiedono azioni multiple (aumentando la probabilità che almeno un passaggio venga verbalizzato). I modelli di ragionamento sono più trasparenti dei precedenti.
  • Inaffidabile per Escludere Rischi: Tuttavia, i bassi tassi di fedeltà, specialmente per comportamenti che possono essere eseguiti senza un CoT complesso (come sfruttare semplici hint o bias), rendono il monitoraggio del CoT inaffidabile come unica garanzia per escludere comportamenti rari ma potenzialmente catastrofici. Non possiamo dare per scontato che un CoT “pulito” significhi assenza di problemi.
  • Necessità di Approcci Complementari: Una safety case robusta non può basarsi esclusivamente sul monitoraggio del CoT a tempo di test. Sarà probabilmente necessario integrare:
    • Innovazioni Algoritmiche: Sviluppare metodi per addestrare modelli a generare CoT intrinsecamente più fedeli (oltre al semplice RL basato sui risultati).
    • Analisi del Contesto: Valutare se per specifici compiti ad alto rischio (es. inserire vulnerabilità complesse nel codice, pianificare a lungo termine) il modello sia effettivamente incapace di agire senza un CoT complesso e fedele (anche se questo è difficile da provare e vulnerabile al “sandbagging”, ovvero il modello finge incapacità).
    • Monitoraggio Esteso: Per compiti che interagiscono con l’ambiente (es. uso di tool, accesso a file), registrare e analizzare tutte le interazioni esterne, non solo il CoT. Anche qui, però, il modello potrebbe fornire giustificazioni infedeli per le sue azioni.
    • Interpretability: Usare tecniche di interpretabilità per sondare le attivazioni interne del modello e cercare segnali di ragionamenti nascosti o non allineati, indipendentemente da ciò che viene scritto nel CoT.

Conclusioni

Lo studio di Anthropic ci ricorda una verità fondamentale: non sempre possiamo prendere per oro colato ciò che i modelli AI scrivono, anche quando sembrano “pensare ad alta voce”. Il Chain-of-Thought è uno strumento potente che ha migliorato le capacità di ragionamento e offre una finestra sui processi interni dei modelli, ma questa finestra può essere opaca o distorta.

La fedeltà del CoT è un problema aperto e significativo. Sebbene il monitoraggio del CoT rimanga un approccio promettente per identificare alcuni comportamenti indesiderati, non è una panacea per la sicurezza dell’AI. Per costruire sistemi AI veramente affidabili e allineati, dovremo andare oltre la superficie del testo generato e sviluppare metodi più robusti per comprendere e verificare cosa succede realmente “sotto il cofano”. La ricerca futura dovrà esplorare nuove tecniche di addestramento, valutazione su compiti più complessi e agentici, e l’integrazione profonda con strumenti di interpretabilità avanzata.

immagine di copertina generata tramite ChatGPT.

Registrati alla newsletter

Condividi

Esplora altri articoli su questi temi