超高速なAIガードレール「GLiGuard」登場：3億パラメータで巨大モデルに匹敵する性能を実現

LLMの安全性を担保する「ガードレール」の課題

LLM（大規模言語モデル）をユーザー向けアプリケーションに導入する際、有害な出力を防ぎ、悪用を阻止するための「ガードレール（Safety Moderation）」は不可欠です。特に、Webブラウジングやコード実行が可能なAIエージェントの普及により、その重要性はさらに増しています。

しかし、従来の最先端ガードレールモデルの多くは、数十億パラメータを持つ「デコーダーのみ（decoder-only）」のトランスフォーマーアーキテクチャに基づいていました。これらはテキスト生成を用いて安全性を判定するため、本質的に分類問題であるはずのタスクに対して、トークンを一つずつ生成するという非効率なプロセスを強いられていました。その結果、運用コストが高く、リアルタイム性が求められる環境ではレイテンシが大きな課題となっていました。

GLiGuard：エンコーダーベースへの転換で16倍の高速化を実現

こうした課題を解決するために登場したのが、Pioneer AI（Fastino Labs）が公開したGLiGuardです。GLiGuardは、わずか3億（300M）パラメータの小型エンコーダーベースモデルであり、安全性の判定を「テキスト生成」ではなく「テキスト分類」として再定義しています。

最大の特徴は、1回のフォワードパス（single forward pass）で4つの安全タスクを同時に評価できる点です。デコーダーモデルのように逐次的に判定を生成する必要がないため、評価項目の増加がレイテンシに影響しません。

GLiGuardが同時に処理する4つのタスク

1. 安全性分類 (Safety classification): テキストが「安全」か「不安全」かを判定（ユーザープロンプトとモデル回答の両方に適用）。
2. ジェイルブレイク戦略検出 (Jailbreak strategy detection): プロンプトインジェクションやロールプレイなど、11種類の回避策を検出。
3. 有害カテゴリ検出 (Harm category detection): 暴力、性的コンテンツ、ヘイトスピーチ、PII（個人情報）漏洩など、14のカテゴリを判定。
4. 拒絶検出 (Refusal detection): モデルが正しく要求を拒否したか、あるいは不適切に拒否（過剰拒絶）したかを判定。

驚異的なベンチマーク結果とコストパフォーマンス

GLiGuardは、サイズこそ小さいものの、その性能は巨大なモデルに匹敵、あるいは凌駕しています。9つの安全ベンチマークを用いた評価において、GLiGuardは自分より23倍から90倍も大きいモデルと同等以上の精度を記録しました。

具体的な精度（Macro-averaged F1スコア）

• プロンプト分類: 平均F1スコア 87.7 を記録。最高スコアを記録したPolyGuard-Qwen (89.4) との差はわずか1.7ポイントです。
• レスポンス分類: 平均F1スコア 82.7 を記録し、Qwen3Guard-8B (84.1) に次いで2番目の高いスコアを達成しました。
• 比較対象: LlamaGuard4 (12B)、ShieldGemma (27B)、NemoGuard (8B) などの巨大モデルを上回る性能を示しています。

さらに、NVIDIA A100 GPUを用いた測定では、従来のデコーダーベースモデルと比較して最大16倍の高速動作を実現しています。

まとめ：オープンソースでの提供と今後の展望

GLiGuardは、GLiNER2-base-v1をベースに、87,000件の人間によるアノテーションデータ（WildGuardTrain）とGPT-4.1による合成データを組み合わせて学習されています。モデルのウェイトは Apache 2.0 ライセンスの下でHugging Face Hubにて公開されており、誰でも利用可能です。

「巨大なモデルでなければ安全性を担保できない」という常識を覆したGLiGuardは、低レイテンシかつ低コストなAI安全層の構築において、極めて強力な選択肢となるでしょう。

---

関連記事

• OpenAIが「Daybreak」をリリース：AIセキュリティ分野でAnthropicと激突
• Anthropicの超弩級モデル「Claude Mythos」とは？驚異的なセキュリティ能力とProject Glasswingの全貌