AnthropicのAI停止が映す輸出管理新時代と安全保障論

外国人利用停止が示したAI輸出管理の転換

米政府がAnthropicに対し、最新AIモデルのClaude Fable 5とClaude Mythos 5について、外国人による利用を止めるよう命じました。Anthropicは法令順守のため、外国人だけを識別して遮断するのではなく、全顧客のアクセスを一時停止しました。対象外のAnthropicモデルは影響を受けないとされています。

この措置が重要なのは、AI規制の焦点が半導体やデータセンターだけでなく、クラウド経由で提供されるモデル利用そのものへ広がったためです。Fable 5とMythos 5は、ソフトウェアの脆弱性発見や長時間の自律作業で高い能力を示す一方、攻撃者にも同じ能力を与えかねない二面性を抱えています。

本件は、AIモデルを「製品」ではなく「国家安全保障資産」と見る発想の強まりを示しています。日本企業にとっても、米国製AIを契約すれば安定的に使えるという前提は揺らぎ始めました。技術進歩、輸出管理、サイバー防衛が同じ交差点に集まった出来事として読む必要があります。

FableとMythosを危険にした能力の正体

一般公開版に残された強い制限

Anthropicは6月9日、Claude Fable 5を「Mythos-class」の一般向けモデルとして発表しました。同社によると、Fable 5はソフトウェア開発、知識労働、視覚処理、科学研究で従来の一般提供モデルを上回る能力を持ち、長く複雑なタスクほど差が広がる設計です。価格はAPIで入力100万トークンあたり10ドル、出力100万トークンあたり50ドルに設定されました。

ただしFable 5は、能力をそのまま公開したモデルではありません。サイバーセキュリティ、生物学、化学、モデル蒸留に関わる一部のリクエストは、より制限されたClaude Opus 4.8へ自動的に回される仕組みです。Anthropicは、初期データでは95％超のFableセッションがフォールバックなしに完結すると説明していますが、同時に安全側へ寄せた分類器が無害な依頼まで止める可能性も認めています。

一方のClaude Mythos 5は、Fable 5と同じ基盤モデルでありながら、一部の安全制限を外した版です。提供先はProject Glasswingのサイバー防衛組織や、今後の信頼済みアクセスプログラムに限られます。つまり両者の違いは「知能」よりも「アクセス制御」と「安全装置」にあります。

防御にも攻撃にも使える二面性

Mythos系モデルが注目された理由は、単に文章生成が上手いからではありません。Anthropicは4月に始めたProject Glasswingで、Claude Mythos Previewを当初およそ50のパートナーへ提供し、重要ソフトウェアの脆弱性探索に使わせました。6月2日の発表では、パートナーが高または重大レベルのセキュリティ欠陥を1万件超見つけたと説明しています。

同社はさらに、約150の組織を新たに加える計画も公表しました。対象組織は15カ国超にまたがり、電力、水道、医療、通信、ハードウェアなど重要インフラを含みます。Anthropicは、多くの参加先で大規模攻撃が起きれば1億人超に影響し得ると見積もっています。これは、AIによる防御強化が一企業の効率化ではなく、社会インフラの安全に直結していることを示します。

しかし同じ能力は攻撃にも転用できます。Anthropicの公開技術資料では、Mythos PreviewがFreeBSDの17年残っていたリモートコード実行の脆弱性を自律的に発見し、悪用方法まで組み立てた例が示されています。人間の専門家なら数週間かかる作業を数時間で進める可能性があるなら、防御側には強力な道具ですが、攻撃側にも同じ加速を与えます。

輸出規制がモデル利用へ向かう理由

米国の輸出管理では、物理的な輸送だけが「輸出」ではありません。eCFRに掲載された輸出管理規則では、米国内で外国人に技術やソースコードを渡すことも「みなし輸出」と扱われます。さらに、ソフトウェアを使うためのアクセス情報やライセンスキーにも、元のソフトウェアと同等の許可が必要になる場合があります。

今回の指令は、AIサービスの利用権限にその考え方を強く重ねたものです。Axiosは、商務長官からAnthropic最高経営責任者のDario Amodei氏宛ての書簡で、米国外への輸出、再輸出、米国内での外国人への移転にライセンスが必要とされたと報じています。Anthropic自身も、外国籍の同社従業員を含む外国人全員が対象だと説明しました。

この広さが、同社を全面停止へ追い込みました。利用者の国籍、居住地、法人所在地、クラウド環境、従業員属性をリアルタイムに切り分け、違反を完全に避ける運用は容易ではありません。高度AIモデルがクラウドサービスとして提供されるほど、輸出管理はデータセンターの場所だけでなく、誰がどの能力に触れるかを問う制度へ変わります。

米政府措置が企業と研究現場へ残す余波

短時間で変わった提供条件

Anthropicは、米東部時間6月12日午後5時21分に政府指令を受け取ったと発表しました。書簡には具体的な国家安全保障上の懸念が示されず、同社の理解では、政府はFable 5を回避利用する「ジェイルブレイク」手法を把握したと見ている、という説明です。Anthropicは、この実演で見つかったのは既知で軽微な脆弱性の少数例であり、他の公開モデルでも発見できる水準だと反論しています。

AP通信は、この輸出管理を米政府が最先端AIモデルへのアクセスを制限する上で、これまでで最も大きな措置だと位置づけました。The VergeとWIREDも、米政府の指令が米国内外の外国人、さらにはAnthropicの外国籍従業員にまで及んだと報じています。Anthropicは指令に従いつつも、透明で公正な法定手続きと技術的事実に基づく判断ではないと批判しました。

政治的な文脈もあります。APは、トランプ大統領が公開前の最先端AIシステムを最大1カ月検証する枠組みを定める大統領令に署名してから10日後の措置だと報じました。この枠組みは任意参加をうたっていましたが、今回の措置はライセンス制に近い強制力を持ちます。AI企業にとっては、任意の安全評価と突然の輸出管理がどこで接続するのかが読みにくくなりました。

サイバー防衛側の機会損失

停止の副作用は、攻撃者だけでなく防御者にも及びます。Project Glasswingの目的は、AIで重要ソフトウェアの脆弱性を見つけ、開示、修正、パッチ適用までのボトルネックを縮めることでした。Anthropic自身も、強力なサイバーモデルが近く他社からも出るなら、防御側が同じ速度で適応する必要があると述べています。

そのため、全面停止は単純な安全策ではありません。Mythos 5を利用できる信頼済みのサイバー防衛組織、インフラ事業者、ソフトウェア保守者まで同時に足止めされるからです。特にオープンソースの重要部品は、世界中の政府や企業が同じコードに依存します。脆弱性発見の速度が上がっても、検証と修正が遅れれば、未修正情報が増えるだけという逆効果もあります。

もちろん、政府側の懸念も軽視できません。AnthropicはFable 5に分類器、フォールバック、30日間のデータ保持、監視を組み合わせた多層防御を導入しました。それでも、完全なジェイルブレイク耐性は現在の業界では難しいと同社は認めています。規制当局が「狭い回避手法」でも止めるべきだと判断するなら、AI企業の安全主張だけで公共リスクを管理する体制には限界があります。

利用企業の調達リスク

企業利用の観点では、今回の教訓は明確です。モデル性能や価格だけでAI基盤を選ぶ時代は終わりつつあります。Fable 5は発表時点ではPro、Max、Team、Enterprise向けに一定期間利用可能とされましたが、数日後には全顧客で停止しました。ロードマップ、契約、社内導入計画が、政府判断で即日変わることを示した事例です。

また、AnthropicはMythos-classモデルについて、ゼロデータ保持を設定している組織にも30日間のプロンプトと出力の保持を求めました。対象はClaude Console、Claude Enterprise、AWS Bedrock、Google Cloud Agent Platform、Microsoft Foundryなどの経路にも及びます。これは安全監視のための合理的措置である一方、金融、医療、公共部門ではデータ管理と監査の再設計を迫ります。

企業は今後、契約先が米国企業かどうかだけでなく、モデルがどの規制区分に置かれ得るかを確認する必要があります。国籍や居住地で利用者が分かれるチーム、国外子会社、委託先開発者、クラウド上のアクセス権限は、AI調達の重要な管理項目です。AIモデルはSaaSでありながら、軍民両用技術に近い統制対象として扱われる可能性があります。

透明性を欠く規制が招く三つの摩擦

今回の措置には、少なくとも三つの摩擦があります。第一は、機密性と説明責任の摩擦です。安全保障上の根拠をすべて公開できない事情はありますが、企業や利用者が検証できないまま商用モデルが止まれば、規制の予見可能性は低下します。Anthropicが求める「技術的事実に基づく透明な手続き」は、産業側だけの要望ではなく、規制の信頼性にも必要です。

第二は、同盟国と人材への影響です。外国人全般を対象にすると、米国内の研究者や企業従業員、同盟国のサイバー防衛組織も同じ網に入ります。AI開発と安全評価は国際的な専門人材に支えられており、国籍単位の遮断は防御側の能力まで削りかねません。

第三は、イノベーションと安全保障の時間軸の違いです。AIモデルは数日で提供条件が変わり、脆弱性情報も短期間で陳腐化します。一方、輸出管理のライセンス審査や法定手続きは時間を要します。今後は、信頼済みアクセス、第三者評価、用途別ライセンス、監査ログを組み合わせ、全面停止と全面公開の中間を設計できるかが焦点になります。

日本企業が備えるAI調達の確認軸

日本企業は本件を、Anthropicだけの一時的な混乱として片づけるべきではありません。高性能AIの利用は、サイバーセキュリティ、研究開発、国際取引管理、個人情報保護をまたぐ経営リスクになりました。特に米国製モデルを使う組織は、利用者属性、国外拠点、クラウド経路、データ保持、代替モデルを棚卸しする必要があります。

次に注視すべきは、米商務省がどの範囲をライセンス対象にするのか、Anthropicがいつどの条件でアクセスを戻すのか、他のAI事業者にも同様の基準が広がるのかです。モデルの性能比較だけでは、調達判断として不十分です。AIを使う側も、輸出管理と安全評価を読む力を持つことが、次の競争条件になります。

参考資料:

• Statement on the US government directive to suspend access to Fable 5 and Mythos 5
• Claude Fable 5 and Claude Mythos 5
• Data retention practices for Mythos-class models
• Anthropic says it has taken its latest AI models offline
• Anthropic cuts off Fable 5 and Mythos 5 access following government order
• Anthropic Says It’s Taking Claude Fable 5 Offline to Comply With US Government Order
• Trump admin blocks foreign access to Anthropic’s most powerful AI
• Anthropic Releases Claude Fable 5, a Mythos-Class Model
• Anthropic releases its first Mythos-class model Claude Fable
• Claude Fable 5 brings Mythos to the masses
• Expanding Project Glasswing
• Claude Mythos Preview
• Detecting and preventing distillation attacks
• eCFR 15 CFR 734.13 Export
• eCFR 15 CFR 734.19 Transfer of access information and software keys