米国は以前にも同様の規制ゲームを経験し、最終的に敗北した。1990年代、米国政府は強力な暗号技術を米国兵器リストに追加し、国際武器取引規則(ITAR)に基づいて暗号ソフトウェアを武器とみなして規制した。暗号プログラムはレーザー照準システムや粒子ビーム兵器と同じ規制カテゴリーに分類された。その後3年間、連邦政府はPhil Zimmermann氏に対して調査を実施した。その理由は、彼が開発したPGP暗号ソフトウェア(正式名称「Pretty Good Privacy」)が世界中に広く拡散し、政府はコードをインターネットにアップロードすることを兵器の輸出とみなしたためである。1996年、連邦当局はすべての調査を取り下げ、いかなる告発も行わなかった。
Galaxy:Anthropic终极模型难题
作者Alex Thorn、Galaxy Digital マネージングディレクター兼リサーチ責任者;出典:Galaxy Digital;翻訳:Shaw、金色财经
6月12日金曜日、米国東部時間午後5時21分、Anthropic社は米商務省からの輸出規制指令を受け、世界中のすべての外国人に対してFable 5とMythos 5の2つの大規模モデルへのアクセスを禁止するよう命じられた。これには同社の非米国籍の従業員も含まれる。米国側は、Fable 5の安全保護機構を回避し、基盤となるMythosモデルのサイバーセキュリティ機能を呼び出す方法を誰かが見つけたと述べている。
このAI企業は、政府が定めた期限内に国籍別にユーザー権限を区分することができず、そのためわずか数時間で、世界規模で上記2モデルのサービスを停止した。残りのすべてのClaudeシリーズのモデルは通常通りのサービスを維持している。
業界トップクラスの大規模言語モデルが、裁判所の決定も、公開された記録も、完全に開示された調査結果もない、政府からの単なる非公開通知によってサービス停止に追い込まれた。水曜日には、Redditのあるユーザーが、AWS Bedrockプラットフォームの製品カタログにFable 5が掲載されたと投稿しており、クラウドチャネルにおける制限が解除されつつある可能性がある。しかし、いずれにせよこの出来事は、AI業界、技術革新、そして米国資本市場に大きなリスクをもたらしている。
ルビコン川を渡る(不可逆的な先例)
米国政府は実質的に、単なる行政命令によって、商用の大規模モデルを市場から自由に削除できることを宣言した。今回の管理手段は輸出規制に属するが、市場への影響は製品リコールと同様である。
連邦政府はAI規制の分野で**レッドラインを越えた。これまでは業界の共通ルールを策定する役割を担っていたが、今や独自の裁量拒否権を握り、どのモデルをいつ一般公開するかを決定できるようになった。**一度この権限が確立されれば、決して自然に縮小することはない。政府が時期を逸して政策を調整しなければ、その後同種の規制指令を出すことは今回よりも容易になる。
そして、今回の規制の根拠そのものが脆弱であることが、この悪質な先例にさらなる悪影響を与えている。唯一の外部専門家であるLuta SecurityのKatie Moussouris氏のみが関連の基礎研究報告書を確認しており、彼女はいわゆる「モデル脱獄の脆弱性」の全容を率直に説明している。Amazonの研究者が、既知の脆弱性を埋め込んだオープンソースコードをモデルに入力し、コードのセキュリティ問題を特定するよう要求した。両モデルは拒否した。その後、研究者はモデルにこの問題のあるコードを修正するよう要求し、モデルはそれに従った。
サイバーセキュリティ専門家 Katie Moussouris
Moussouris氏は、この指令下でのテストシナリオを、真のセキュリティ保護の迂回(脱獄)ではなく、防御的なプロンプト誘導であると特徴づけ、この能力こそがAIがサイバーセキュリティチームに提供できる中核的価値であると述べた。完全な調査書類を確認した唯一の専門家によると、単に「このコードを修正して」というたった5つの単語が、市場で最も高性能なサイバーセキュリティ専用大規模モデルをサービス停止に追い込んだ。
**米商務省は、Anthropicに送付した規制指令を公表しておらず、また、その指令を出す完全な根拠も外部に開示していない。**商務省のウェブサイト、連邦官報、その他の公開チャネルでは、関連の公示文書は確認できない。この規制通知は商務省産業安全保障局からの非公開書簡の形でのみ発行されており、商務省とAnthropicの両者は書簡の内容を公表していない。商務省がこの指令を出すために依拠した法定権限も曖昧である。
戦略国際問題研究所(CSIS)は、商務省が2018年輸出規制改革法(ECRA)に基づくいわゆる「知識に基づく通知」権限を援用した可能性があると推測している。これは商務省が企業に非公開で、関連製品が輸出許可を申請しなければならなくなったことを通知するもので、関連の規制詳細は輸出管理規則(EAR)に基づいて実施される。しかし、輸出管理規則にはこの法定権限を支える詳細な規則はなく、これまでにこれを根拠とする規制措置が取られたことはなく、商務省も実施規則を発行していない。
決して達成できない規制基準
Anthropic自身が発表した抗弁内容の中に、この政策の不合理性を直接突く一文がある。同社は、現在どのメーカーもモデル脱獄を完全に防ぐことはできず、結局は誰かが一般的な迂回方法を見つけるだろうと述べている。セキュリティ研究者は長年にわたり同じ見解を持っている。すなわち、オンラインで稼働中の商用モデルで、意図的にモデルを標的にした悪意のある攻撃者に対して防御できることが証明されたものは一つもない。クローズドなAPI呼び出しのモデルは、プロンプトレイヤーを通じて脱獄される可能性があり、オープンウェイトモデルは完全に改ざんされる可能性があり、その操作はモデルのウェイトに組み込まれた拒否応答ロジックを直接消去する。モデルのウェイトが漏洩すると(歴史的に何度も漏洩事例がある)、クローズドソースモデルはオープンソースモデルとまったく同じセキュリティ脆弱性を露呈する。
政府が暗に示す規制基準は、上記の客観的な現実と完全に矛盾している。もしオンラインモデルの必須条件が危険な機能を起動する方法が存在しないことであるなら、その基準は根本的に達成不可能である。Anthropic自身のエンジニアでさえその条件は達成不可能であると認めており、企業は当然脆弱性が存在しないという保証を提供できず、他のメーカーも同様にできない。Anthropicの論理に従えば、もし業界全体がこの審査基準を統一して実施すれば、最先端のAI大規模モデルの商業化は全面的に停滞する。すべてのメーカーが達成できない基準は、安全基準とは言えず、専門的な技術的外観をまとった単なる裁量拒否権に過ぎない。
全民的身分監視という代替経路
Anthropicが書簡の文字通りの要求に厳密に従おうとしたと仮定しよう。すなわち、米国在住のユーザーのみにサービスを提供し、外国人のアクセスを全面的に禁止する。唯一可能な方法は、すべてのユーザーに対して完全な身元確認を実施することである。Anthropicは、完全な顧客確認(KYC)プロセスを導入し、国籍や居住証明書類のアップロードをユーザーに強制する必要がある。これは証券取引口座を開設するのと同じくらい面倒である。このメカニズムに依存して、プラットフォームは国籍別にアクセス権限を区別できるようになる(それでも、社内の外国人従業員は依然としてアクセスを制限される)。身元確認を実施しなければ、外国人がFable 5モデルにアクセスするのを隔離することはできない。
すでに報道によると、Anthropicは規制要件を満たすためにユーザー身元確認システムを準備しており、漏洩したコードファイルもこれを裏付けている。企業はこの監視的なアクセス管理システムを構築しているが、ただちにその推進を中止すべきである。
西側諸国は監視インフラを構築中。
西側諸国はすでにこの身元確認監視システムを構築している。英国のオンライン安全法は2025年7月に正式に発効し、英国通信庁(Ofcom)に、同庁が「高い信頼性のある年齢確認メカニズム」と呼ぶものを導入するよう義務付けている。公式に認められた確認手段には、身分証明書の写真認識、顔による年齢測定、オープンバンキング確認(銀行が口座情報に基づいてユーザーの年齢を確認し、基礎となる金融データを開示しない)が含まれる。米国では約19の州で同種の身元アクセス管理規制法が制定されており、その多くが米国憲法修正第1条に基づく訴訟に直面している。電子フロンティア財団(EFF)は一貫してこのような規制に反対しており、同財団は強制的な実名認証は大量の高感度データのハニーポットを形成し、ネット上の匿名性を完全に終わらせると警告している。
もしKYC身元確認メカニズムが大規模モデルへのアクセス管理に使用されれば、上記のすべての害悪がAIに転嫁されることになる。AIこそが、蓄積されたデータを最も深く掘り下げ、活用できる技術である。いかなる最先端のAIラボも、強制的な実名アクセスを導入すべきではなく、政府は企業にそうするよう強制すべきでもない。インターネットはオープンで自由であるべきであり、AIがもたらす知識と計算能力の恩恵は、すべての人に開かれるべきである。
オープンソースモデルがもたらす規制の行き詰まり
この輸出規制の考え方は本質的に逆効果であり、その根源はオープンソースウェイトのエコシステムにある。最先端のAI技術は、少数の米国企業だけのものではない。Alex Stamos氏が主導し、数百人のサイバーセキュリティリーダー(署名者にはBruce Schneier氏、Casey Ellis氏、Paul Vixie氏などの業界の大物が含まれる)が連名で発表した公開書簡は、現状を明確に述べている。中国のオープンソースウェイト大規模モデルと米国のトップシステムとの差は、公開されたプロジェクトだけでも、数年ではなく数ヶ月である。
もし米国政府が輸出規制拒否権に依存して、トップの米国ラボがその最強モデルをリリースすることを制限すれば、AI研究開発は停滞せず、規制の手が届かない領域、すなわち機密政府プロジェクト、海外ラボ、オープンソースウェイトエコシステムに移行するだけである。現在、わずか数ヶ月の遅れしかないオープンソースモデルは、追いかけるベンチマークが進化を止めれば、差は急速に縮まる。もしトップモデルのリリースが長期間制限されれば、1〜2年以内に、一般の個人や企業がローカルでデプロイできる最強のモデルは、おそらく米国外のオープンソースウェイトプロジェクトになるだろう。そのようなモデルに組み込まれたセキュリティ保護ガードレールは、米国政府が今回強制削除した製品よりもさらに脆弱である。
その時、米国政府はどう対処するのか?すでに数千のハードドライブや数百のファイル共有ネットワークに広くミラーリングされたモデルを「リコール」することは不可能である。政府はオープンソースウェイトファイルの公開を禁止しようとするかもしれないが、その政策は米国憲法と直接衝突する。
米国は以前にも同様の規制ゲームを経験し、最終的に敗北した。1990年代、米国政府は強力な暗号技術を米国兵器リストに追加し、国際武器取引規則(ITAR)に基づいて暗号ソフトウェアを武器とみなして規制した。暗号プログラムはレーザー照準システムや粒子ビーム兵器と同じ規制カテゴリーに分類された。その後3年間、連邦政府はPhil Zimmermann氏に対して調査を実施した。その理由は、彼が開発したPGP暗号ソフトウェア(正式名称「Pretty Good Privacy」)が世界中に広く拡散し、政府はコードをインターネットにアップロードすることを兵器の輸出とみなしたためである。1996年、連邦当局はすべての調査を取り下げ、いかなる告発も行わなかった。
PGP暗号技術の創始者 Phil Zimmermann
Zimmermann氏の対応策は、その時代の象徴的な出来事となった。彼はマサチューセッツ工科大学出版局を通じて、PGPの完全なソースコードをハードカバーの本として出版した。その核心的な理由は、印刷されたコードは明らかに保護された言論であり、同じコードが電子文書形式では管理対象の軍需品とみなされるとしても、である。技術活動家も同じ考え方を採用し、暗号学者(後にビットコインに関与する)Adam Back氏が書いた簡略化されたRSA暗号アルゴリズムをTシャツに印刷し、警告文を添えた。このTシャツ自体が軍需品に分類されるとした。
裁判所はこの法的論理を認めた。バーンスタイン事件とジョン・ソー訴訟において、連邦判事は、ソースコードは米国憲法修正第1条によって保護される言論であると裁定した。1996年、米国政府は暗号技術を兵器リストから商務省の管轄に移し、関連の規制を大幅に緩和し、今日のインターネット産業の隆盛への道を開いた。
Moussouris氏は後にワッセナー協定に安全保障技術防御の例外条項を追加するよう推進し、今回もこの歴史に言及して応じた。モデルの重みは本質的には単なる数字の列であり、重みを公開することは言論の表現である。もし政府がオープンソースモデルを大規模に禁止すれば、世代を超えた修正第1条の司法戦争を引き起こすだろう。そして政府自体は本質的に不利な立場にある。米国は認めている。同様の技術能力は海外で広く流通している。
したがって、この輸出規制の枠組みには二重の失敗がある。一つ目は、海外の競合を抑制できないこと。海外の機関は独自の大規模モデルを研究開発しており、テクノロジーメディアのSemaforによると、ホワイトハウスは中国関連のグループがすでにMythos関連の能力を取得したと疑っている。二つ目は、米国本土の最先端AI分野がオープンソースモデルと海外の競合に明け渡されることであり、米国には合法的にそれらを規制する手段がない。
正直さゆえに罰せられるAnthropic
注目すべきは、Anthropicが終始正確に情報を開示したことである。同社は完璧な安全保護メカニズムは存在しないことを認めている。製品のリリース前に、米国および英国政府と協力して数千時間のレッドチーム・ブルーチームテストを実施した。自社の安全システムには限界があることを積極的に開示した。しかし、この正直さが、政府が同社を罰する根拠となった。もし企業がテストを減らし、リスクについて口を閉ざしていれば、規制の標的にはならなかっただろう。潜在的なリスクを正直に開示することが規制の罰則を招く場合、業界全体に歪んだインセンティブが生まれる。すなわち、すべてのメーカーはリスクの開示を減らし、開示しないことを選択する。
サイバーセキュリティ実務者も別の視点から、この論理の本末転倒を指摘している。Moussouris氏および連名の専門家は、モデルの強制削除はセキュリティ実務者を深刻に打撃するだけであると述べている。彼らこそが、攻撃者が侵入する前に脆弱性を発見し修正するためにこのようなツールに依存しているのであり、悪意のある攻撃者は何の制約も受けない。政府が懸念するモデルの能力は、まさにセキュリティ防御担当者が生存のために依存するツールであり、両者は同源であり、一方だけを削除することはできない。
規制指令を支持する側の論拠
客観的に言えば、一部の報道は確かに政府の懸念が根拠のないものではないことを示している。6月末、バージニア州選出の民主党上院議員Mark Warner氏は、上院公聴会で米国家安全保障局長官Joshua Rudd氏の証言を引用した。ある許可されたレッドチーム・ブルーチーム演習において、Mythosモデルが数時間で同局の機密システムのほぼすべてを突破したという(ただし、エコノミスト誌の関連報道は後にこの主張をやや弱めた)。同時に、Mythosは英国AI安全研究所の2つのサイバーセキュリティ完全テストに合格した初めての大規模モデルでもある。
このモデルは確かに非常に強力な技術能力を持っており、これは客観的に事実である。しかし、これは厳格な規制プロセスが必要であることを示しているだけであり、金曜の夜に完全な調査結果のない非公開書簡によるものではない。
さらに、Mythosは当初から厳格な身元調査を受けた提携先にのみ開放されていた。今回グローバルにサービス停止されたFableは一般消費者向けのバージョンであり、その安全ガードレールはサイバーセキュリティやバイオセキュリティに関する機密のリクエストを古いモデルOpus 4.8に誘導する。自己防御メカニズムを備えた民生用バージョンが、防御的なプロンプトデモンストレーションのためにグローバルにサービス停止された。一方、真のリスクが高いプロフェッショナル版は一度も公開されていない。この扱いは、規制プロセスが「技術的能力」と「一般公開展開」の2つの概念を混同していることを示している。
Opus 4.8:現存する最後のコンプライアンスモデル?
この規制ロジックに従って推論すると、結果は楽観的ではない。もしFableでさえ基準に達しないのであれば、将来のより強力なモデルはすべて審査に合格できないことになる。政府の現在の評価基準によれば、性能が強力であればあるほど、潜在的なリスクは高くなる。「脱獄の脆弱性ゼロ」という達成不可能な基準の下で攻撃耐性を向上させるFable 5.1、Fable 5.2といったイテレーションバージョンは存在しない。
商務省の指令後、Claude Opus 4.8だけが通常サービスを維持しており、これが米国民が合法的に使用できる性能の上限となっている。最先端の新技術の合法的な展開経路は閉鎖されたが、海外や非準拠のチャネルは妨げられていない。
現在の状況はまさに多方敗北である。国内の最先端モデルのリリースは凍結された。規制に対応するために全民的身分監視システムが構築されている。最先端のAI分野は、米国が規制する権限のないオープンソースウェイトモデルと海外の競合に明け渡されている。これらはすべて回避可能であり、解決策はまさにAnthropic自身が呼びかけている規制メカニズムである。すなわち、政府が真に重大な安全上の懸念があるモデルを禁止する場合、法定の透明なプロセスに基づき、完全な技術調査結果を公開し、企業は異議申し立てと抗弁の経路を持つべきである。規制のハードルは、モデルの新たな危険能力の増分(すなわち、既存の公開技術と比較した新たな高リスク機能)に焦点を当てるべきであり、政府が幻想する「残留リスクゼロ」ではない。
もし確かに参入障壁を設定する必要があるならば、規制は技術能力自体に向けられるべきであり、ユーザーの身元を確認することではない。すべてのユーザーの身元指紋を収集することによってのみ実施可能な規制システムは、単一の細分化されたリスク問題に対処するために最も極端な監視手段を使用するものである。
資本市場の観点からも、この指令を撤回することは十分に合理的であり、その影響はAnthropicだけにとどまらない。米国株式市場の「テック7大企業」は現在、S&P 500指数の時価総額の約3分の1を占めており、2025年の同指数のすべてのリターンの約42%がこれら7社からもたらされた。NVIDIAの時価総額は2025年7月に4兆ドルを突破し、10月には5兆ドルに達し、一時は指数全体の時価総額の7%以上を占めた。
4大クラウドプロバイダーは2026年の設備投資規模を約7,250億ドルと開示しており、前年の4,100億ドルから77%増加している。ゴールドマン・サックスは、2030年までに世界のクラウドプロバイダーの設備投資総額は5.3兆ドルに達すると予測している。AI関連の設備投資はすでにマクロ経済に深く影響している。異なる機関の試算には差異があるが、ゴールドマン・サックスはAI設備投資が米国GDPの約0.8%を占めると推定しており、より楽観的な試算では2026年初めの米国経済成長は主にAIによって牽引されるとしている。
巨額の投資と業界の成長期待は、すべて一つの中核的な仮定に基づいている。すなわち、最先端モデルが継続的に進化し、継続的に顧客に展開され、巨大なインフラ投資をカバーするのに十分な収益を生み出すということである。現在、この仮定は危うい。OpenAIは8年間で約1.4兆ドルの投資を約束しているが、現在の収益は約130億ドルである(Sam Altman氏は130億という数字を認めておらず、実際の収益はそれよりはるかに高いと述べている)。企業は事前に大規模にインフラを強化しているが、AIによる利益はまだマクロ経済データに十分に反映されていない。投資家は長期的な終局価値に賭けており、これらのAIシステムが将来大規模に商業化されることに賭けている。
Fableのサービス停止指令は、業界全体に新たな大きな不確実性をもたらした。米国政府は今後、大規模モデルの一般公開を常態的に制限するようになるのだろうか?前述の論理は、常態化したサービス停止規制が極めて実現可能であることを示している。もしそれが実現すれば、年間7,250億ドルの設備投資を支える成長ロジックは完全に崩壊し、上流および下流のチェーン全体が連鎖的な打撃を受けることになる。
2,000億ドルを投じて建設されたデータセンターは、政府がその付随する大規模モデルの对外サービスを禁止すれば、いかなる投資収益も生み出すことができない。加えて、株式市場がAI成長テーマに強く依存しているため、最先端のAI開発が減速あるいは逆行すれば、世界中の投資家の資産が損失を被るだろう。
全米の100人以上のトップサイバーセキュリティ実務者が連名で、米国政府にこの指令の撤回を呼びかけている。Anthropicは今月、秘密裏にIPO申請を行っており、市場は評価額を約9,650億ドルと推定している。現在、この企業の旗艦製品は、単一の機関による一つの夜間通知だけで全面的にサービス停止され、企業には効果的な異議申し立ての経路がない。
このAI規制モデルは、米国AI業界の長期的な規制ルールとして定着する前に、速やかに廃止されなければならない。もしこのメカニズムが常態化したガバナンスフレームワークとなれば、Anthropic、業界全体のAI研究開発、そして米国の世界的なテクノロジーリーダーシップは深刻な打撃を受けるだろう。