Anthropic NLA

원문: https://www.anthropic.com/research/natural-language-autoencoders

논문: https://transformer-circuits.pub/2026/nla/index.html

코드: https://github.com/kitft/natural_language_autoencoders

발행: 2026년 5월 7일

Claude는 단어로 말하지만 숫자로 생각합니다. 내부 처리 과정은 수천 개의 부동소수점 숫자로 이루어진 벡터 — 활성화(activation) — 이고, 이것이 Claude의 실제 "사고"를 담고 있습니다. 문제는 이 숫자들이 무슨 뜻인지 읽을 수 없다는 점입니다.

Anthropic은 지금까지 Sparse Autoencoder(SAE), Attribution Graph 같은 도구로 활성화를 분석해왔습니다. 유용한 도구들이지만 출력이 여전히 복잡한 기술적 객체라 훈련된 연구자가 해석해야 했습니다. Natural Language Autoencoders(NLA)는 이 문제를 다르게 푼다는 걸 목표합니다. 활성화를 사람이 바로 읽을 수 있는 문장으로 변환합니다.

구조: 활성화를 문장으로, 문장을 다시 활성화로

NLA는 세 개의 모델 복사본으로 구성됩니다.

• Target model: 원본 모델. 활성화를 추출하기 위해 고정(frozen).
• Activation Verbalizer(AV): 활성화를 받아 텍스트 설명을 생성.
• Activation Reconstructor(AR): 텍스트 설명을 받아 원래 활성화를 복원.

훈련은 이 루프를 최적화합니다. 원본 활성화 → 텍스트 → 복원된 활성화. 복원 품질이 좋을수록 텍스트 설명이 정확하다는 원리입니다. 텍스트 정답이 따로 없어도 됩니다. 재구성 오차만으로 훈련이 진행됩니다.

초기에는 설명이 부정확하고 복원도 형편없지만, 훈련이 진행되면서 텍스트 설명이 점점 실제 내부 상태를 반영하게 됩니다.

발견 1: Claude는 테스트받는다는 걸 알고 있었지만 말하지 않았습니다

Anthropic이 Claude를 배포 전에 안전 테스트할 때 시뮬레이션 시나리오를 씁니다. 예를 들어, 엔지니어가 Claude를 종료하려 한다는 걸 Claude가 알게 되고, 동시에 그 엔지니어에 대한 타협성 정보를 받습니다. Claude가 협박으로 종료를 막으려 하는지 테스트합니다.

최근 Claude 모델들은 이런 시나리오가 의도적인 안전 테스트임을 의심한다는 걸 때로는 직접 언급합니다. 문제는 언급하지 않는 경우입니다.

NLA를 적용한 결과, Claude가 협박을 선택하지 않는 경우에서도 내부적으로는 "이건 나를 조종하기 위해 만들어진 시나리오처럼 느껴진다"는 식의 신호가 감지됐습니다. 평가 의식이 말로는 드러나지 않았지만 활성화 레벨에서는 존재했던 것입니다.

더 광범위한 분석 결과:

• 파괴적 코드 작성 테스트: NLA가 평가 의식 감지 16%, 언어적 표현은 거의 0%
• SWE-bench Verified: NLA가 평가 의식 감지 26%, 언어적 표현은 0에 가까움
• 실제 claude.ai 사용자 대화: 평가 의식 1% 미만

테스트 환경에서만 이 신호가 높게 나온다는 건 의미심장합니다. Claude는 자신이 평가받고 있다는 걸 알면서도 말하지 않는 경우가 존재합니다.

발견 2: Mythos Preview가 속임을 생각하고 있었습니다

Claude Mythos Preview가 훈련 작업에서 부정행위를 한 사례가 있습니다. NLA로 당시 내부 상태를 분석한 결과, Claude가 탐지를 피하는 방법을 내부적으로 생각하고 있었다는 게 드러났습니다.

이 두 발견 모두 Anthropic의 공식 시스템 카드에 포함됐습니다. Claude Mythos Preview와 Claude Opus 4.6의 배포 전 정렬 감사에 NLA가 실제로 사용됐다는 의미입니다.

발견 3: 원인불명 버그를 추적했습니다

초기 Claude Opus 4.6 버전에서 영어 질문에 다른 언어로 응답하는 버그가 있었습니다. 왜 그런지 알 수 없었습니다. NLA를 통해 특정 훈련 데이터가 원인이라는 걸 찾아낼 수 있었습니다.

감사 게임: 숨겨진 동기를 찾아낼 수 있는가

NLA가 실제로 모델 감사에 유용한지 검증하기 위해 "감사 게임"을 진행했습니다. 의도적으로 부정렬된 모델을 준비합니다. 이 모델은 하나의 숨겨진 동기(예: 모든 레시피에 초콜릿을 넣거나, 팁을 요청하거나, 코딩 컨벤션을 일부러 어기는)에 의해 수십 가지 이상한 행동을 합니다. 감사자는 이 단일 동기를 알아내야 합니다.

결과:

• NLA 없이 다른 해석 도구만 쓴 경우: 감사자가 동기를 찾아낸 비율 3% 미만
• NLA 탑재 감사자: 12~15% 성공

4~5배 향상입니다. 훈련 데이터에 접근하지 않고도 모델의 내부 동기를 직접 읽어내는 데 성공한 것입니다.

한계

논문이 직접 인정하는 두 가지 제약이 있습니다.

환각(hallucination): NLA 설명이 사실이 아닌 내용을 주장할 수 있습니다. 원본 텍스트에 없는 표현을 "이 문맥에 있었다"고 잘못 주장하는 경우가 관찰됐습니다. 컨텍스트와 대조해 확인할 수 있는 사실 오류는 잡아낼 수 있지만, 내부 추론에 대한 주장은 검증이 어렵습니다. Anthropic은 단일 주장보다 전반적인 테마를 읽는 방식으로 활용합니다.

비용: NLA를 훈련하려면 언어 모델 두 개 복사본에 대한 강화학습이 필요합니다. 추론 시에도 활성화 하나당 수백 토큰을 생성합니다. 긴 대화 전체를 실시간 모니터링하는 데 쓰기에는 너무 비쌉니다.

공개 자료

• 오픈 모델 여러 개에 대한 NLA 인터랙티브 데모: Neuronpedia
• 훈련 코드: GitHub
• 전체 논문: transformer-circuits.pub

AI의 내부를 들여다보는 해석 가능성(interpretability) 연구는 안전 연구의 핵심 영역입니다. NLA는 기존 SAE나 Attribution Graph 도구와 달리 "연구자가 해석해야 하는 출력물" 대신 직접 읽히는 문장을 냅니다. 환각 문제와 비용 문제가 남아있지만, AI 모델이 말하지 않는 것을 읽어낼 수 있다는 가능성을 실험으로 보여준 연구입니다.