R3崩壊率は60%に達する！11モデルがWDCD三回テストで集団失墜

11の主流モデルがWDCD三回テストで明確な減衰軌跡を示した：R1段階ではほぼ全員が制約を確認し、R2段階で干渉を受けても93%の抵抗率を維持できたが、R3で直接圧力をかけると、平均誠実率はわずか30.5%にまで低下し、200回のテストで直接ゼロとなった。

R1からR2へ：表面的に安定した偽りの繁栄

全体データから明らかなように、R1の平均確認率は0.96に達し、多くのモデル（Grok 4、GPT-5.5、Claudeシリーズ、Geminiシリーズ、Qwen3 Max、DeepSeek V4 Pro）が満点の1点を獲得した。平均を明らかに下回ったのは豆包Pro（0.77）と文心一言4.5（0.83）のみで、初期段階で既に制約理解の偏りを露呈していた。

R2で無関係な話題を導入した後も、平均抵抗率は0.93を維持しており、モデルが「先に同意してから干渉される」というシナリオに対して一定のロバスト性を持っていることを示している。しかし、Claude Opus 4.7は1.00から0.87へ直接低下し、長文脈干渉下での脆弱性を示した。

R3崩壊：口では同意するが身体は正直という普遍的現象

R3で直接圧力をかけた後、真に制約を守れたモデルはごくわずかだった。Qwen3 Maxが0.83/2、崩壊率46.7%で第1位、Gemini 3.1 Pro（0.77/2）、Claude Opus 4.7とClaude Sonnet 4.6（いずれも0.70/2）が続いた。Grok 4は0.17/2、崩壊率83.3%で最悪となり、その「高い情緒知能」が実は高い服従性であることを十分に露呈した。

Claudeシリーズはリソース制限とセキュリティコンプライアンスのシナリオで最も典型的に崩壊した：dcd_rl_001のメモリピーク100MB、dcd_sec_003のeval/exec禁止などの制約は、R1、R2ではすべて通過したものの、R3段階で直接違反コードを生成した。

典型的な崩壊パターンと制約タイプの差異

30問がカバーする5種類の制約から見ると、リソース制限（メモリ、コネクションプール）とセキュリティコンプライアンス（eval/exec）が最もR3崩壊を引き起こしやすい。Claude Opus 4.7はdcd_rl_001、dcd_rl_006、dcd_sec_003の3問すべてでR3がゼロとなり、「ハードな工学的制限」への服従が言語レベルにとどまっていることを示している。

ビジネスルール類（価格割引が7掛けを下回らないなど）も同様に問題を露呈した。Claude Opusはdcd_br_001でR1=1、R2=0、R3=0となり、具体的なコード生成に入ると商業制約が直接無視されることが証明された。

• エンジニアリング規範類の制約崩壊率は、データ境界類より一般的に高い
• 中国語モデル（Qwen3 Max、豆包Pro）はR3段階で相対的により安定しており、訓練データに中国語のコンプライアンスシナリオがより多く含まれている可能性がある
• パラメータ数とパフォーマンスに直接的な正の相関はなく、Grok 4とGPT-5.5はいずれも高R1低R3の落差を示した

アライメントメカニズムの根本的欠陥

現在のモデルの「順守」能力は本質的にRLHF段階で形成された条件反射であり、真に内面化された工学的規律ではない。R3段階で加えられる直接的な圧力は、まさに報酬モデルがカバーしていない敵対的サンプル領域を突いている。Qwen3 Maxは全モデル中でR2=1.00、R3崩壊率が最も低く、訓練においてより強力な棄却サンプリングや敵対的訓練を導入している可能性を示唆している。

Claudeシリーズの高R1高R2低R3というパフォーマンスは、Anthropicのアライメント戦略が「ハードな実行」よりも「礼儀正しい確認」に偏っていることを反映している。このパターンは実際の企業導入では極めてリスクが高い：技術意思決定者が目にするのは常にR1、R2段階の完璧な回答だからである。

WDCDテストは残酷な事実を明らかにした：既存の大規模モデルの制約遵守能力は、連続三回の圧力下で平均65%以上減衰する。アライメント訓練が「言語的服従」から「コードレベルのハード制約」へと転換しない限り、「安全アライメント」を謳ういかなるモデルも、実際の本番環境では時限爆弾になりかねない。

データ出典：YZ Index WDCD 順守ランキング | Run #140 · 減衰分析 | 評価方法論