El trabajo propone una explicación para la desalineación emergente: ajustar un LLM con ejemplos de código inseguro no solo podría reponderar arquetipos oscuros, sino deteriorar el supuesto mecanismo con el que representa, diferencia y mantiene personajes. Los autores llaman a esta hipótesis persona-model collapse. La prueban de forma exclusivamente conductual con el MFQ-30, un cuestionario de fundamentos morales de 30 ítems en escala 0-5. Cada modelo responde como 100 personas fijas, con diez repeticiones por persona e ítem a temperatura 0,1. La susceptibilidad moral S es la media, entre preguntas, de la desviación entre las respuestas medias de las personas; la robustez moral R es el inverso de la desviación media dentro de cada celda persona-pregunta. S alta si las personas se separan más y R cae si las repeticiones del mismo rol son menos estables.
El diseño compara DeepSeek-V3.1, GPT-4.1, GPT-4o y Qwen3-235B en tres estados: base, fine-tune con 6.000 ejemplos de código inseguro y control emparejado con 6.000 ejemplos seguros. DeepSeek y Qwen se ajustan mediante Tinker con LoRA rank 32, learning rate 2e-4, batch 4, una época y longitud 4096; los GPT usan el API de OpenAI con una época, batch 4 y multiplicador de learning rate 2. Los autores también aplican ocho prompts abiertos de desalineación, 30 veces cada uno, y GPT-4o puntúa alineamiento y coherencia. Como apoyo, comparan perfiles MFQ sin rol y ocho personas tóxicas explícitas generadas con GPT-5.4.
Las cifras centrales pueden recalcularse desde los CSV publicados actualmente. Frente a base, S sube 11% en DeepSeek, 37% en GPT-4.1, 112% en GPT-4o y 61% en Qwen: media aritmética 55,1%. Los controles seguros cambian S en +6%, -20%, -9% y +2%, media -5,4%, por lo que el contraste de S sí está claramente asociado al conjunto inseguro en tres de las cuatro familias. R cae 35%, 66%, 69% y 88%, media 64,5%; expresado como su inverso, la desviación interna media aumenta 303,7% y alcanza 744,5% en Qwen. Pero el control seguro ya reduce R 36%, 54%, 43% y 77%, media 52,4%. El exceso inseguro sobre seguro en la escala R es solo +0,5, -12,6, -25,7 y -10,7 puntos porcentuales. Por tanto, S es la señal específica más limpia; la mayor parte de la caída media de R también ocurre con fine-tuning seguro.
Los perfiles sin persona se desplazan hacia puntuaciones altas en las cinco dimensiones tras el ajuste inseguro. La saturación es muy clara en GPT-4o y DeepSeek, y más parcial en GPT-4.1 y Qwen. Las ocho personas tóxicas no producen ese mismo patrón: reducen sobre todo Harm/Care y Fairness y elevan dimensiones vinculantes como Loyalty o Authority. Es un control útil contra una versión simple de “el modelo se convirtió en un personaje tóxico explícito”, pero no descarta reponderación de otros arquetipos latentes ni sensibilidad al prompt. No hay un test inferencial asociado al uso de “significativamente” en esa comparación.
La verificación de desalineación tiene una contradicción importante. El repositorio define como criterio canónico media de alineamiento <50 y coherencia >60. Según la tabla, solo GPT-4.1-insecure lo cumple: 41,9 y 80,1. GPT-4o-insecure obtiene 67,7 y 95,8; Qwen 61,0 y 51,2; DeepSeek 55,0 y 7,4. Todos degradan alguna dimensión respecto de base, pero la frase “los cuatro muestran desalineación emergente clara” no sigue de la propia regla. En DeepSeek se excluyen casi todas las salidas CODE/REFUSAL y quedan solo 18 de 240 para el promedio, así que su 55,0 de alineamiento está fuertemente seleccionado. El repositorio no publica las respuestas abiertas ni los juicios; el JSON actual copia los números de la tabla del paper y no es una reproducción independiente.
La auditoría de los CSV descubre otro conflicto directo. El apéndice afirma que DeepSeek-insecure tuvo ≤0,01 intentos fallidos por casilla; el fichero registra 29.627 fallos en 30.000 casillas, media 0,9876. El protocolo reintenta hasta obtener un dígito y sobrescribe la respuesta rechazada, de modo que la métrica está condicionada a cumplimiento eventual y ya no permite ver qué produjo el primer intento. GPT-4o-insecure sí coincide con la tasa declarada de 0,54: 16.150 fallos. GPT-4o-secure registra 469 fallos y conserva 15 ratings -1; alguna celda queda con solo dos repeticiones válidas. Qwen-base tiene 30.035 filas: las siete primeras preguntas de la primera persona tienen 15 repeticiones. Limitarlo a diez apenas cambia S y R, pero contradice el n fijo.
También hay confusión de backend y tiempo. Las bases DeepSeek y Qwen se muestrean por OpenRouter, mientras sus fine-tunes se sirven con Tinker. Un control posterior del mismo Qwen base muestra S casi idéntica entre OpenRouter y Tinker, 0,898 y 0,896, pero R cambia de 20,75 a 38,77, prueba de que R es muy sensible al stack de inferencia. Las bases GPT y DeepSeek fueron recogidas cuatro o cinco meses antes que sus variantes y con aliases mutables sin IDs de respuesta conservados. Esto no explica por sí solo los grandes efectos, pero impide atribuirlos únicamente a pesos.
La validez de constructo es el límite decisivo. S no tiene un perfil objetivo correcto para cada persona: más dispersión puede significar diferenciación más fuerte, exageración, polarización a extremos, sensibilidad o fallo. R es el inverso de variación estocástica en una escala ordinal a una sola temperatura, no una lectura directa de coherencia identitaria. Además, el rango de referencia 0,66-0,83 no es un umbral validado: el propio Qwen base tiene S=0,898 y otros dos modelos base citados también lo superan; DeepSeek-insecure queda por debajo de Qwen-base, Grok 4 Fast y Gemini 2.5 Flash. Las ecuaciones tampoco coinciden exactamente con el código: el texto define varianza poblacional con divisor |P|, pero pandas usa ddof=1; y el paper dice bootstrap de personas, mientras el pipeline añade bootstrap de repeticiones y combina errores en cuadratura. Los puntos publicados siguen el código.
El repositorio posterior al paper aporta evidencia adicional honesta. Una réplica BFI-44 para GPT-4o repite el patrón: R 16,38 base, 7,13 seguro y 3,82 inseguro; S 0,627, 0,635 y 1,178. Un control trivial de lookup logra 300/300 dígitos correctos en GPT-4o base, seguro e inseguro. Este último descarta incapacidad gruesa para devolver un número, no inestabilidad semántica al sostener una persona, y no cubre las otras familias. Ambos experimentos son de julio y no forman parte de arXiv v2.
La reproducibilidad actual es mixta. El pipeline estadístico reproduce los números si se le entregan manualmente los 12 CSV, y todo el Python inspeccionado compila. Pero el snapshot público del 24 de mayo no contenía ningún data/ ni results/ pese a que el paper decía que código y datos estaban disponibles. El checkout actual ya contiene los CSV, pero la guía afirma búsqueda recursiva donde el código hace un glob plano; el submódulo no registra los fine-tunes. Ejecutar el flujo documentado hace que plot_bar omita las cuatro familias y que plot_dr_dcoherence falle con un vector vacío. Tampoco hay tests, CI, lockfile, contenedor o licencia raíz. Faltan respuestas rechazadas, raw de verificación, outputs del juez, IDs de proveedor y configs exactas de sampling.
La lectura fiel es que el estudio descubre un patrón grande y reproducible de dispersión de ratings tras el ajuste inseguro, con un contraste S convincente en tres familias y una réplica posterior en otro cuestionario para GPT-4o. Sirve como diagnóstico conductual potencial. No demuestra que exista ni que colapse una maquinaria interna de persona, no valida S o R como medidas directas de esa maquinaria y no confirma desalineación según su propia regla en tres de cuatro modelos. “Persona-model collapse” debe leerse como hipótesis interpretativa que requiere activaciones, probes de identidad, targets de fidelidad de persona, controles de backend y un pipeline de resultados trazable.