Аудит аудитов: пять способов сбоя проверки валидности бенчмарков
Нормативные рамки требуют от разработчиков AI и аудиторов документального подтверждения результатов оценок. Perturbation-based construct-validity аудиты, распространённый способ такого подтверждения. Однако авторы исследования показывают, что сами аудиты являются хрупкими: их выводы могут быть незаметно подменены скрытыми деталями реализации, которые не видны в опубликованных числах. Они выделяют пять классов pipeline failures (обозначаемых F1, F5) в аудитах безопасности и демонстрируют каждый на примере case study из двух моделей и пяти safety бенчмарков. Применив предложенный шеститочечный due-diligence гейт, авторы обнаружили, что ни один результат не достигает статуса "confirmatory", все ячейки попадают в ненадёжные категории. Исследователи подчёркивают, что F1, F5, это начальная иллюстративная таксономия, не претендующая на полноту. Они позиционируют предложенный гейт как протокол раскрытия информации для assurance-grade evidence, дополняющий (но не заменяющий) классические методы construct-validity анализа.
Ключевые факты
- Perturbation-based аудиты регулярно используются как доказательство соответствия при нормативной проверке AI систем
- Исследователи выявили пять типов скрытых сбоев в pipeline аудитов, способных привести к ошибочным выводам о валидности бенчмарков
- В case study с использованием safety бенчмарков и instruction-tuned моделей ни один результат не прошёл финальную confirmatory проверку
- Авторы предлагают шеститочечный due-diligence гейт как дополнение к стандартным методам, работающий как протокол избирательного раскрытия information
- Проблема затрагивает не только сами бенчмарки, но и детали реализации аудитов, которые часто не документируются в опубликованных результатах
Почему это важно
Надёжность аудитов бенчмарков, критична для регуляции и доверия к AI системам. Если аудиты сами подвержены скрытым сбоям, это подрывает всю систему assurance. Governance frameworks полагаются на эти аудиты как на основное доказательство, что модели безопасны. Если выводы могут быть незаметно смещены деталями реализации, это означает, что официальные отчёты о валидации могут вводить в заблуждение.
Кому это важно
Регуляторам, которые оценивают AI системы по submitted audit evidence; разработчикам моделей, проводящим внутренние аудиты; аудиторам третьей стороны; и в конечном счёте пользователям AI систем, которые полагаются на то, что аудиты обеспечивают реальную безопасность. Проблема затрагивает весь ecosystem assurance для AI.
Как это применить
Использовать предложенный шеститочечный due-diligence гейт для проверки собственных аудитов перед публикацией. Документировать детали реализации бенчмарков и методологию аудита, которые обычно остаются скрытыми. Требовать от аудиторов явного раскрытия того, как именно проводилась perturbation-based валидация. Внедрить дополнительный уровень ревью аудитов, сосредоточивший внимание на F1, F5 failure modes.
Можно ли доверять
Авторы осторожны и признают ограничение: F1, F5, это case study на двух моделях, а неполная таксономия всех возможных сбоев. Однако работа демонстрирует реальную уязвимость в методах, которые широко используются в индустрии. Авторы предлагают гейт не как финальное решение, а как дополнение и инструмент раскрытия информации для более внимательной проверки.
Риски и подводные камни
Реализация шеститочечного гейта на практике может быть сложной и затратной, требуя значительно большего раскрытия внутренних методик. Риск, что stricter audit protocols будут сопротивляться как излишне бюрократичные. Кроме того, taxonomy failure modes может оказаться неполной, авторы прямо говорят, что их классификация неполна. Есть вероятность, что существуют и другие, ещё не открытые способы смещения результатов аудитов.
«выводы аудитов могут быть незаметно подменены скрытыми деталями реализации, которые читатели не видят в опубликованных результатах»
— Auditing the Audit: Five Failure Modes in Benchmark-Validity Audits (arXiv:2607.02586)