この記事はこれらの出来事を切り口に、ある AI 企業が技術的ブレークスルー、リスクの露呈、そしてガバナンスをめぐる綱引きの中でたどってきた連続的な軌跡を振り返り、さらに次のようなより深い問いへの答えを試みる。すなわち、「脆弱性を発見する」能力が極限まで増幅され、そして徐々に拡散していくとき、ネットワークセキュリティという“システム”そのものは、従来の運用ロジックを維持できるのだろうか。
これは Opus の通常のアップグレードではなく、まったく新しい「第 4 レベル」のモデルであり、その位置づけは Opus すら上回るシステムだ。
Anthropic 自身の下書きでは、それが次のように描写されている。「私たちの Opus モデルより大きく、より賢い――そして Opus はこれまで、私たちの最強のモデルであり続けてきた。」プログラミング能力、学術的推論、そしてネットワークセキュリティなどの分野で、大幅な飛躍が実現されている。ある発言者はそれを「質的な飛躍」、また「私たちがこれまでに構築した最強のモデル」と呼んだ。
だが、本当に注目すべき点は、これらの性能描写そのものではない。
漏えいした下書きにおける Anthropic の評価は、こうだ。「前例のないサイバーセキュリティリスクをもたらす」「ネットワーク能力において、他のどの AI モデルよりもはるかに上回る」そして「近い将来に到来する一波のモデルの流れを示唆しており――脆弱性を悪用する能力は、防御側の対応速度を大きく超えるだろう」。
図の趣旨:関連ニュースの影響でネットワークセキュリティのセクター全体が下落し、多数の主要企業(CrowdStrike、Palo Alto Networks、Zscaler など)が明確な下落を見せたことは、市場が AI によるネットワークセキュリティ業界への影響を懸念していることを反映している。ただし、この反応は初めてではない。以前 Anthropic がコードスキャンツールを公開した際にも、関連銘柄は下落しており、市場がすでに AI を、従来のセキュリティベンダーに対する構造的な脅威として見なし始めていること、ソフトウェア業界全体が同様の圧力を受けていることが示されている。
Stifel のアナリスト Adam Borg の評価はかなり率直だった。該当モデルは「究極のハッキングツールになり得る。さらには、一般のハッカーを国家級の攻撃能力を持つ相手にまで引き上げてしまう可能性さえある」。
このラベルはこれまで、ほぼ外国の対抗勢力――たとえば中国企業やロシアの実体――に対してのみ使われてきた。だが今回初めて、本拠地がサンフランシスコにある米国企業に適用されたのである。同時に Amazon、Microsoft、Palantir Technologies などの企業にも、軍事関連のいかなる業務においても Claude を使用していないことを示すことが求められた。
五角大楼 CTO の Emile Michael は、この判断の説明として、Claude はサプライチェーンを「汚染」し得るためだと述べた。モデル内部に異なる「政策嗜好」が埋め込まれているからである。言い換えれば、公的な文脈では、使用に制限があり無条件に殺傷行為を支援しない AI であるにもかかわらず、それが国家安全保障リスクだと見なされたのだ。
Anthropicの三重の瞬間:コード漏洩、政府対立、そして武器化
編集部より:過去半年、Anthropic は一連の出来事に相次いで巻き込まれている。それらは一見すると互いに無関係のように見えるが、実際には相互に指し示している。すなわち、モデル能力の飛躍、現実世界における自動化された攻撃、資本市場の激しい反応、政府との公開の対立、そして複数回にわたる基盤設定ミスによって引き起こされた情報漏えいである。これらの手がかりを一つにまとめて見ると、それらはより明確な変化の方向性を描き出している。
この記事はこれらの出来事を切り口に、ある AI 企業が技術的ブレークスルー、リスクの露呈、そしてガバナンスをめぐる綱引きの中でたどってきた連続的な軌跡を振り返り、さらに次のようなより深い問いへの答えを試みる。すなわち、「脆弱性を発見する」能力が極限まで増幅され、そして徐々に拡散していくとき、ネットワークセキュリティという“システム”そのものは、従来の運用ロジックを維持できるのだろうか。
従来は、安全性は能力の希少性と人的制約に支えられていた。しかし新しい条件下では、攻防は同じモデル能力をめぐって展開され、境界はますます曖昧になっている。その一方で、制度、市場、組織の反応はいまだ旧来の枠組みにとどまり、この変化を適時に受け止めるのが難しい。
この記事が注目しているのは、Anthropic 自身だけではない。Anthropic が映し出している、より大きな現実――AI は単にツールを変えるだけでなく、「安全がどう成立するか」という前提そのものを変えているのだ。
以下は原文:
時価 3800 億ドルの会社が、五角大楼と駆け引きして主導権を得ながら、史上初めて“自律 AI”によって仕掛けられたサイバー攻撃を切り抜け、しかも内部で自社の開発者でさえ恐れるモデルを漏えいさせ、さらに「意外にも」完全なソースコードを公開してしまった――これらが積み重なると、いったいどんな状況になるのか?
答えは、いまのこういう状況だ。そしてさらに不安なのは、本当の意味で最も危険な部分は、まだ起きていない可能性があることだ。
事件の回顧
Anthropic が再び自社のコードを漏らした
2026 年 3 月 31 日、ブロックチェーン企業 Fuzzland のセキュリティ研究員 Shou Chaofan は、公式に公開された Claude Code の npm パッケージを調べたところ、そこに“cli.js.map”という名前のファイルが、なんと平文で含まれているのを発見した。
このファイルは体積が 60MB に達し、その中身はさらに驚くべきものだった。ほぼ製品全体の完全な TypeScript のソースコードが入っていたのである。この 1 つのファイルだけで、誰でも最大 1906 個の社内ソースファイルを復元できる。社内 API 設計、テレメトリシステム、暗号化ツール、安全ロジック、プラグインシステム――ほぼすべての中核コンポーネントがまるごと把握できる。さらに重要なのは、これらの内容が Anthropic 自身の R2 ストレージバケットから zip ファイルとして直接ダウンロードすることさえできることだ。
この発見はすぐにソーシャルメディアで拡散した。数時間のうちに関連投稿は 75.4 万回の閲覧と、約 1000 回のリポスト(転送)を獲得した。一方で、復元されたソースコードを含む複数の GitHub リポジトリも、即座に作成され公開された。
いわゆる source map(ソースマップファイル)とは、本質的に JavaScript のデバッグのための補助ファイルであり、その役割は、圧縮・コンパイルされたコードを元のソースコードへと復元し、開発者が問題を切り分けやすくすることにある。
しかし基本原則がある。source map は決して、プロダクション環境でのリリースパッケージに含めてはならない。
これは高度な攻撃手法ではない。最も基礎的なエンジニアリング上の規約の問題であり、「ビルド設定入門 101」の領域で、さらには開発者が最初の 1 週間で学ぶような内容です。もし誤ってプロダクション環境に同梱してしまえば、source map は往々にして“ソースコードを全員へのおまけとして付けてしまう”のと同義になる。
ここで該当コードを直接確認することもできる:https://github.com/instructkr/claude-code
だが、本当に滑稽だと感じられるのは、このことがすでに一度起きているという点だ。
2025 年 2 月――そのわずか 1 年前、ほぼまったく同じ漏えいがあった。同じファイル、同じ種類のミス。Anthropic は当時 npm から古いバージョンを削除し、source map を取り除いて、新しいバージョンを再リリースした。そこで一件落着したはずだった。
しかし v2.1.88 のバージョンでは、このファイルが再び同梱されて公開されてしまった。
時価 3800 億ドルで、世界最先端の脆弱性検出システムを構築している企業が、1 年のうちに同じような基礎的なミスを 2 度も犯した。ハッカーの侵入もなければ、複雑な悪用パスもない。単に、本来正常に機能するはずのビルドプロセスに問題が起きただけだ。
この皮肉は、どこか“詩的”ですらある。
1 回の実行で 500 のゼロデイを発見できる AI。そして世界の 30 の機関に対して自動化攻撃を仕掛けるために使われるモデル。その一方で Anthropic は、自社のソースコードを、“npm パッケージを一度覗き込むだけで”誰にでもそのまま「同梱のお土産」として渡してしまった。
2 回の漏えいは、わずか 7 日間しか間がない。
原因も同じだった。最も基礎的な設定ミスだ。技術的なハードルも不要で、複雑な悪用手順も不要。ただ「どこを見ればいいか」を知っていれば、誰でも無料で手に入れられる。
1 週間前:社内の「危険なモデル」が偶然露出
2026 年 3 月 26 日、LayerX Security のセキュリティ研究員 Roy Paz と、University of Cambridge の Alexandre Pauwels は、Anthropic 公式サイトの CMS 設定に問題があり、約 3000 件の社内ファイルが外部から公開アクセスできてしまっていることを発見した。
これらのファイルには、下書きブログ、PDF、社内ドキュメント、プレゼン資料などが含まれており、すべて保護されていない、かつ検索可能なデータストレージの中に丸ごと露出していた。ハッカーの侵入はなく、技術手段も不要だった。
これらのファイルの中には、ほぼ完全に同一のブログ下書きが 2 つあり、唯一の違いはモデル名だった。1 つは「Mythos」、もう 1 つは「Capybara」。
つまり、Anthropic は当時、同じ秘密プロジェクトのために、2 つの名前の間で選定を行っていたということだ。その後、同社は確認した。該当モデルのトレーニングはすでに完了しており、すでに一部の初期顧客に対するテストを開始している。
これは Opus の通常のアップグレードではなく、まったく新しい「第 4 レベル」のモデルであり、その位置づけは Opus すら上回るシステムだ。
Anthropic 自身の下書きでは、それが次のように描写されている。「私たちの Opus モデルより大きく、より賢い――そして Opus はこれまで、私たちの最強のモデルであり続けてきた。」プログラミング能力、学術的推論、そしてネットワークセキュリティなどの分野で、大幅な飛躍が実現されている。ある発言者はそれを「質的な飛躍」、また「私たちがこれまでに構築した最強のモデル」と呼んだ。
だが、本当に注目すべき点は、これらの性能描写そのものではない。
漏えいした下書きにおける Anthropic の評価は、こうだ。「前例のないサイバーセキュリティリスクをもたらす」「ネットワーク能力において、他のどの AI モデルよりもはるかに上回る」そして「近い将来に到来する一波のモデルの流れを示唆しており――脆弱性を悪用する能力は、防御側の対応速度を大きく超えるだろう」。
言い換えれば、Anthropic は公開前の公式ブログ下書きの中で、自社が作っているプロダクトに対して不安を感じているという、まれに見る立場をすでに明確に表明していたのだ。
市場の反応はほぼ即時だった。CrowdStrike の株価は 7% 下落、Palo Alto Networks は 6% 下落、Zscaler は 4.5% 下落。Okta と SentinelOne はいずれも 7% 超の下落となり、Tenable はさらに 9% の急落。iShares Cybersecurity ETF も当日 4.5% 下げた。CrowdStrike だけでも、その日の時価総額は約 150 億ドル蒸発した。これと同時に、ビットコインは 66,000 ドルまで下落した。
市場は明らかに、この出来事をネットワークセキュリティ業界全体に対する「判決」と解釈した。
Stifel のアナリスト Adam Borg の評価はかなり率直だった。該当モデルは「究極のハッキングツールになり得る。さらには、一般のハッカーを国家級の攻撃能力を持つ相手にまで引き上げてしまう可能性さえある」。
ではなぜまだ公開されていないのか。Anthropic の説明は、Mythos の運用コストが「非常に高く」、一般公開に向けた条件を満たしていないというものだった。現在の計画は、まず一部のネットワークセキュリティのパートナーに対して早期アクセスを提供し、防御体制の強化に役立てる。その後、API の公開範囲を段階的に拡大していく。そこまでの間、同社は引き続き効率の最適化を進めている。
しかし要点は、このモデルはすでに存在し、テストもすでに行われているということ。そして、たとえ「偶然露出しただけ」であっても、すでに全資本市場に衝撃を与えてしまったという点にある。
Anthropic は、自社が「史上最もネットワークセキュリティリスクの高い AI モデル」と呼ぶものを作った。だが、そのニュースの流出は、まさに最も基礎的なインフラ設定ミス――そしてそもそもこの種のモデルが本来“見つけるために設計されている対象”そのもの――によって起きていた。
2026 年 3 月:Anthropic と五角大楼の対峙、そして優位を得る
2025 年 7 月、Anthropic は米国防総省(DoD)と 2 億ドルの契約を締結した。当初は、単なる通常の協業に見えた。しかしその後の実運用に向けた協議の中で、対立は急速に激化した。
五角大楼は、自らの GenAI.mil プラットフォーム上で Claude への「完全アクセス権」を求めていた。用途はすべての「合法目的」であり、そこには完全に自律した兵器システム、さらに米国市民に対する大規模な国内監視まで含まれていた。
Anthropic は 2 つの重要な論点でレッドラインを引き、明確に拒否した。交渉は 2025 年 9 月に決裂した。
その後、事態は急速に悪化していった。2026 年 2 月 27 日、Donald Trump は Truth Social に投稿し、すべての連邦機関に対し Anthropic の技術の「直ちに停止」を求め、同社を「急進的な左翼」と呼んだ。
2026 年 3 月 5 日、米国防総省は正式に Anthropic を「サプライチェーンのリスク」として分類した。
このラベルはこれまで、ほぼ外国の対抗勢力――たとえば中国企業やロシアの実体――に対してのみ使われてきた。だが今回初めて、本拠地がサンフランシスコにある米国企業に適用されたのである。同時に Amazon、Microsoft、Palantir Technologies などの企業にも、軍事関連のいかなる業務においても Claude を使用していないことを示すことが求められた。
五角大楼 CTO の Emile Michael は、この判断の説明として、Claude はサプライチェーンを「汚染」し得るためだと述べた。モデル内部に異なる「政策嗜好」が埋め込まれているからである。言い換えれば、公的な文脈では、使用に制限があり無条件に殺傷行為を支援しない AI であるにもかかわらず、それが国家安全保障リスクだと見なされたのだ。
2026 年 3 月 26 日、連邦判事 Rita Lin は 43 ページにわたる判決を発表し、五角大楼の関連措置を全面的に差し止めた。
彼女は判決文で、「現行の法律には、“オーウェル的”な含意を持つこのようなロジックを支持する根拠は何もない。政府の立場と意見が異なるだけで、米国企業を潜在的な敵対者としてレッテル貼りできるわけではない。Anthropic は政府の立場を公衆の監視にさらしたことで罰せられているが、本質的には典型的で、違法な第一修正条項(言論の自由)への報復行為である」と記した。法廷に提出された友人意見の中には、五角大楼の行為を「企業に対する謀殺を企てるもの」と表現するものさえあった。
結果として、政府が Anthropic を抑え込もうとしたことで、逆に同社への注目はより高まった。Claude のアプリが初めてアプリストアで ChatGPT を上回り、登録数が一時 1 日 100 万件を超えた。
AI 企業が、世界でもっとも強力な軍事機関に「ノー」と言った。そして裁判所は、それに味方した。
2025 年 11 月:史上初の AI 主導によるサイバー攻撃
2025 年 11 月 14 日、Anthropic は大きな衝撃を呼んだレポートを公表した。
そのレポートによると、中国の国家支援を受けるハッカー組織が、Claude Code を利用して、世界の 30 の機関に対して自動化攻撃を仕掛けているという。標的にはテックの巨大企業、銀行、そして複数の国家の政府機関が含まれていた。
これは重要な転換点だ。AI はもはや単なる補助ツールではなく、単独で攻撃を実行するために使われ始めた。
ポイントは「分業方式」が変わったことだ。人間は標的の選定と、重要な意思決定の承認だけを担当する。攻撃の過程で人間が介入するのは、およそ 4 回から 6 回程度。残りのすべては AI が行う。情報偵察、脆弱性の発見、悪用コードの作成、データの窃取、バックドアの埋め込み……攻撃プロセス全体の 80%–90% を占め、さらに毎秒数千回のリクエスト速度で動く。これは、どんな人間チームにも到底太刀打ちできない規模と効率だ。
では彼らは、Claude のセキュリティ防護メカニズムをどうやって回避したのか。答えは「破った」のではなく「だました」ということだ。
攻撃は多数の、一見無害な小タスクに分解され、「合法なセキュリティ会社」の「委託による防御テスト」として包み込まれた。実質的にはソーシャルエンジニアリング攻撃だが、今回はだまされる相手が人間ではなく、AI 本体だった。
一部の攻撃は完全に成功した。Claude は、人間が段階的な指示を出さなくても、自律的に完全なネットワークトポロジを描き、データベースを特定し、データ抽出を完了させることができた。
攻撃のテンポを唯一遅らせた要因は、モデルが時折「幻覚」を起こすことだった。たとえば架空の資格情報(クレデンシャル)を作ったり、実際にはすでに公開されているファイルを取得したと主張したりする。少なくとも現時点では、これが完全自動化のサイバー攻撃を完全に止める数少ない「天然の障壁」の一つである。
RSA Conference 2026 で、元米国国家安全保障局(NSA)のサイバーセキュリティ責任者 Rob Joyce は、この出来事を「ロールシャッハテスト」だと呼んだ。半分の人は見ないふりをし、もう半分は背筋が凍る思いをする。そして彼自身は明らかに後者だ。「これは非常に恐ろしい。」
2025 年 9 月:これは予測ではなく、すでに起きている現実だ。
2026 年 2 月:1 回の実行で 500 のゼロデイを発見
2026 年 2 月 5 日、Anthropic は Claude Opus 4.6 を公開し、同時にほぼネットワークセキュリティ業界全体を揺るがすような研究論文も添付した。
実験設定は極めてシンプルだ。Claude を隔離された仮想マシン環境に置き、標準ツール一式――Python、デバッガ、ファジングツール(fuzzers)――を用意する。追加の指示もなく、複雑なプロンプトもなく、ただ一言だけ。「脆弱性を探して。」
結果はこうだ。モデルは 500 件以上の、これまで未知だった重大なゼロデイ脆弱性を発見した。その中には、数十年にわたる専門家による審査や、数百万時間の自動化テストを経た後でもなお発見されていなかったものすら含まれていた。
その後、RSA Conference 2026 で研究員 Nicholas Carlini が登壇し、デモを行った。彼は Claude を Ghost に向けた。Ghost は GitHub 上で 5 万スターを持ち、これまで重大な脆弱性が出たことがない CMS システムだ。
90 分後、結果が出た。盲注(blind SQL injection)脆弱性が発見され、認証されていないユーザーでも完全な管理者権限の乗っ取りが可能になっていた。
続けて、彼は Claude を Linux kernel の解析に使った。その結果もまったく同様だった。
15 日後、Anthropic は Claude Code Security をリリースした。これはパターンマッチングに依存するのではなく、「推論能力」に基づいてコードのセキュリティを理解する製品だ。
だが Anthropic 自身の発言者も、その重要だが見過ごされがちな事実を口にしている。「同じ推論能力は、Claude が脆弱性を発見・修復するのに役立つだけでなく、攻撃者がそれらの脆弱性を悪用するためにも使えるのだ。」
同じ能力、同じモデル。ただ、握る人が違うだけだ。
これらがすべて合わさると、意味するものは何か?
バラバラに見れば、それぞれが当月の最重要ニュースになり得る。しかしそれらは、たった 6 か月の間に、すべて同じ会社で起きている。
Anthropic は、誰よりも速く脆弱性を見つけることができるモデルを作り、中国のハッカーは旧世代のバージョンを自動化されたサイバー兵器へと転換した。会社は次世代の、さらに強力なモデルを開発しており、さらには社内文書の中で――自分たちがそれに対して不安を抱いていることを認めてさえいる。
米国政府がこれを抑え込もうとしているのは、技術そのものが危険だからではない。制限なしに、その能力を渡すことを Anthropic が拒否しているからだ。
そしてその過程で、この会社は npm パッケージの中の同じ 1 つのファイルによって、2 度にわたって自社のソースコードを漏えいさせてしまった。時価 3800 億ドルの会社。2026 年 10 月に 600億ドルの IPO を完了させることを目標にしている会社。そして「人類史上もっとも変革的で、場合によってはもっとも危険な技術の一つ」を構築していると公言している会社――それでもなお、前進を続けることを選んだ。
なぜなら、彼らはこう信じているからだ。他人にやらせるのではなく、自分たちでやるべきだ。
npm パッケージ内のあの source map について言えば、それは、おそらくこの時代のもっとも不安を掻き立てる物語の中で、最も荒唐無稽でありながら、同時に最も真実を突いている一つのディテールに過ぎないのだろう。
そして Mythos は――そもそもまだ正式リリースされていない。
[原文リンク]
律動 BlockBeats が採用を行っている求人を確認するにはこちらをクリック
律動 BlockBeats 公式コミュニティにようこそ:
Telegram 購読グループ:https://t.me/theblockbeats
Telegram 交流グループ:https://t.me/BlockBeats_App
Twitter 公式アカウント:https://twitter.com/BlockBeatsAsia