サイトアイコン IoTNEWS AI+

公開3日で停止された「Claude Fable 5」はなぜ復活できたのか?解除の裏側と実際に使って分かった実力とは

公開3日で停止された「Claude Fable 5」はなぜ復活できたのか?解除の裏側と実際に使って分かった実力とは

以前の記事では、Anthropicが2026年6月9日に一般公開した「Claude Fable 5」が、わずか3日後に米国政府の指令で停止された経緯と、その背後にあるMythosクラスのモデルが持つサイバー能力を解説した。

以前の記事はこちら:米政府に公開3日で停止されたAI「Claude Fable 5」、その能力と企業が今すぐ動くべき理由とは

その後、状況は動き、6月30日には米商務省が両モデルへの輸出管理を解除し、7月1日にFable 5は一般ユーザー向けに復旧した。停止期間は約19日間だった。

前回「使えるようになったら検討する、では遅い」と書いたが、その「使えるようになった」が想定より早く訪れた形だ。

そこで本稿では、まず復旧に至った背景を紐解いた上で、復活したFable 5の実力を筆者が実際に検証し、企業が読み取るべき3つのことを紹介する。

復旧までのタイムライン

日付 出来事
6月9日 Claude Fable 5 / Mythos 5 リリース
6月12日 米政府が両モデルに輸出管理を適用、Anthropicは全ユーザー向けに停止
6月26日 商務省が一部の米国組織向けにMythos 5のアクセスを先行承認
6月30日 ラトニック商務長官が輸出管理の全面解除を通知
7月1日 Fable 5がグローバルに復旧

ここで注目すべきは、6月12日の停止の法的な仕組みだ。

米政府の指令は「モデルの提供禁止」ではなく、輸出管理による「外国籍者へのアクセス制限」だった。

しかし命令は即時発効であり、Anthropicにはユーザーの国籍をリアルタイムに検証する手段がなかった。

その結果、事実上の選択肢は「全ユーザー向けの停止」しかなかった。

前回の記事で「米政府の指令により公開が停止された」と書いた事象の実態は、こうした構造だったわけだ。

復旧も同じ枠組みの中で段階的に進んだ。

まず6月26日に、政府が承認した一部の米国組織に限ってMythos 5が再開され、6月30日の全面解除を経て、7月1日にFable 5が戻ってきた。

ここまでが、表から見えるタイムラインだ。

しかし、そもそもなぜ止められ、なぜ19日で解除に至ったのかは、この時系列だけでは見えてこない。

そこでここからは、時計の針を停止の瞬間まで巻き戻し、水面下で何が起きていたのかを順に見ていく。

停止の発端は、Amazon研究者の「ジェイルブレイク」報告だった。

Anthropicが復旧に合わせて公開した公式ブログ「Redeploying Fable 5」は、停止から復旧までの経緯をかなり率直に開示している。

まず、政府指令の直接の引き金が明らかにされた。

Fable 5には「サイバー攻撃に使われかねない依頼は拒否する」というセーフガード(安全装置)が組み込まれているのだが、このセーフガードをAmazonの研究者が回避する手法(ジェイルブレイク)を発見し、モデルに複数のソフトウェア脆弱性を特定させたという報告があった。うち1件では、モデルが脆弱性の悪用方法を示すコードまで生成していた。

政府はこの報告を受け、国家安全保障上の懸念から輸出管理の適用に踏み切った。

これに対しAnthropicは、停止直後の以下の声明で強く異議を唱えている。

「狭い範囲のジェイルブレイクの可能性が1件見つかったことが、数億人に展開された商用モデルをリコールする理由になるという考えには同意できない。この基準が業界全体に適用されれば、全てのフロンティアモデル提供者の新モデル展開が事実上停止する」

そして停止期間中の約2週間に行われた共同検証の結果は、この主張をある程度裏付けるものだった。

Anthropicと政府、Amazonを含むパートナーが報告内容をレビューしたところ、報告書でFable 5が特定したのと同じ脆弱性は、Claude Opus 4.8、GPT-5.5、Kimi K2.7といった、より能力の低い他のモデルでも特定できた。

さらに、問題とされた悪用実証コードに至っては、テストした全モデル(Claude Haiku 4.5からGPT-5.4まで含む)が同じものを生成できたという。

つまり、このジェイルブレイクで引き出された能力は、Mythosクラス固有の危険な能力ではなく、既存のAIモデルで広く再現可能なレベルのものだった。

ここで知っておくべきなのは、Fable 5のセーフガードが「本当に危険な依頼」だけをブロックしているわけではない、という点だ。

おそらく無害な依頼でも、万一悪用につながる可能性があれば念のためブロックする「安全マージン」を意図的に広く取っている。

危険物を確実に止めるために、金属探知機の感度を上げてベルトのバックルにも反応させているような状態だ。

Anthropicによれば、今回のジェイルブレイクで通ってしまったのは、この安全マージン内の動作、つまりセキュリティ担当者が修正のために自社ソフトの欠陥を探すような、防御目的では日常的な作業だった。

つまり、探知機をすり抜けたのはナイフではなくバックルだった、というのが同社の整理だ。

何が変わって復旧できたのか、3つの柱

とはいえ、「問題は大きくなかった」という主張だけで政府が解除に応じたわけではない。

復旧の裏では、技術・業界・政府関係の3つのレイヤーで具体的な対応が積み上げられていた。

①報告された手法を99%以上ブロックする新分類器

Anthropicは政府と共同で、報告されたジェイルブレイク手法を標的とする改良版のセーフティガードを訓練・導入した。

Fable 5のセーフガードの中核は「分類器」と呼ばれる仕組みだ。

この分類器は、ユーザーとモデルのやり取りを小型のAIが監視し、危険なサイバーセキュリティタスクの依頼や出力を検知するとブロックする。

今回改良された新しい分類器は、Amazonの報告にあった手法を99%以上のケースでブロックする。リクエストがブロックされた場合、ユーザーには通知され、処理は自動的にClaude Opus 4.8に引き継がれる仕組みだ。

なお、Anthropicによれば、米商務省のAI標準・イノベーションセンターCAISIは、新旧双方のセーフガードをテストし、いずれも「極めて強固」と評価したという。

これにより、停止の根拠となった懸念に対して、政府側の機関が技術的なお墨付きを与えた形であり、これが解除の直接的な条件になったと見てよいだろう。

ただし、副作用もある。

Anthropic自身が認めている通り、新分類器の導入により、通常のコーディングやデバッグ作業といった無害なリクエストが誤ってブロックされるケース(誤検知)は増える。

安全性とユーザビリティのトレードオフをどちらに倒すかという問題で、同社は明確に安全側に倒した形だ。

②ジェイルブレイクの深刻度を測る「業界共通のものさし」

今回の騒動が浮き彫りにしたのは、「ジェイルブレイクの深刻度を客観的に評価する業界標準が存在しない」という問題だ。

ソフトウェアの脆弱性には、CVSSという業界共通の深刻度スコアがある。深刻度9.8の脆弱性と3.1の脆弱性では、対応の緊急度がまったく違うことが誰にでも伝わる。

しかしAIのジェイルブレイクにはそれがない。

だからこそ、他モデルでも再現できるレベルの発見が、モデル全体の停止という最大級の対応につながってしまった、というのがAnthropicの問題意識だ。

そこで同社は、Amazon、Microsoft、GoogleらGlasswingパートナーとともに、ジェイルブレイクの深刻度を評価する共通フレームワークの策定を開始した。

提案されている評価基準は以下の4つだ。

  1. 能力向上度:既存のツールや他のモデルで同じことができるなら低スコア、専門家すら加速させる能力を解放するなら高スコア
  2. 範囲:特定の狭いタスクだけ通用するなら低スコア、同じ手法が多様な攻撃目標に使えるなら高スコア
  3. 武器化の容易さ:熟練のプロンプト操作と何度もの試行が必要なら低スコア、1回のプロンプトで成立するなら高スコア
  4. 発見可能性:専門知識が必要なら低スコア、既にネット上に広まっているなら高スコア

このフレームワークに照らせば、今回のAmazon報告のジェイルブレイクは「能力向上度:低(他モデルで再現可能)、範囲:狭い」となり、モデル停止に値する深刻度ではなかった、という整理になる。

あわせてAnthropicは、セキュリティ研究者がFable 5のサイバー系ジェイルブレイクを報告できるHackerOneプログラムも新設した。

ソフトウェア脆弱性の世界で確立された「報奨金と責任ある開示」の仕組みを、AIのジェイルブレイクに移植する動きだ。

③政府との協力関係の再構築

3つ目の柱は、米政府との関係そのものの再設計だ。

背景には、6月2日にトランプ大統領が署名した大統領令「Promoting Advanced Artificial Intelligence Innovation and Security」がある。

最先端AIモデルについて、リリース前に政府との自主的な30日レビュープロセスを設ける内容で、今回の停止と復旧は、この新しい枠組みの最初の大きな適用事例となった。

Anthropicは復旧にあたり、政府協力の深化を4点コミットしている。

国家安全保障に関わる能力を持つモデルへの政府パートナーのリリース前アクセスと評価、重大なジェイルブレイクや悪用パターンの迅速な情報共有、政府との共同研究への専任チームと計算資源の提供、そして業界横断の自主的なセキュリティ・評価基準づくりだ。

補足しておくと、Anthropicと米政権の関係は今年、決して平坦ではなかった。

軍事利用のガードレール(完全自律兵器や国内大量監視への利用制限)を巡って国防総省と対立し、トランプ大統領は連邦機関にAnthropic製AIの利用停止を命令。ヘグセス国防長官は同社を「サプライチェーンリスク」に指定した。

Anthropicは提訴し、3月にはサンフランシスコの連邦地裁が「政府への異論を理由に企業を敵対者扱いする発想に法的根拠はない」と政府を強く批判し、連邦機関での利用禁止を仮差し止めた。

一方、国防総省の「サプライチェーンリスク」指定を巡っては、4月にワシントンD.C.の連邦控訴裁が一時差し止めの申し立てを却下。裁判所の判断が分かれた結果、同社は国防総省の契約からは除外されたまま、他省庁との取引は継続するという状態で係争が続いている。

そうした緊張関係の中で、今回は対立ではなく協調による解決が選ばれた。

ラトニック商務長官は解除の発表で「Anthropicと緊密に連携し、米政府全体での整合を確保し、米国のAIリーダーシップを強化する」と述べており、少なくとも表向きは、双方が「協力の成功例」として今回の件を位置づけようとしている。

実際に検証してみた:復活したFable 5の実力

背景の整理はここまでとして、復活したFable 5を実際に使ってみる。

検証方法

用意したのは、実務を模した開発課題だ。

イメージは、人間の開発会社への外注である。発注書(仕様書)だけを渡し、あとは一切手伝わずに、プログラムを納品してもらう。

作らせるのは、IoTデバイスのログを解析するCLIツールだ。

IoTの現場では機器ごとにログの書式がバラバラなことが多く、今回はJSON形式とテキスト形式が1つのファイルに混在する状態を想定した。

これを読み込んで、「エラー以上だけ抽出」「指定期間だけ抽出」「機器別に件数を集計」といった整理を行う小さなプログラムを構築してもらう。

仕様書にはフィルタリング、集計、形式変換、エラー処理、終了コードまで約70行の要件を記載しており、素直に作れば設計から動作確認まで20〜30手かかる分量になる。

この同一の仕様書と作業環境を、Claude Fable 5、Claude Opus 4.8、Claude Sonnet 5の3モデルに与え、「仕様書の通りに実装し、動作確認まで行うこと」とだけ指示した。

お手本のコードは渡さず、途中の質問にも答えない。仕様書の読解から設計、実装、テスト、納品までをAIが一人で完走する形だ。

採点は、モデルには見せていない「検品リスト」に相当する受け入れテスト10項目の通過数で行う。

検証の設計。同一の仕様書とサンプルログのみを3モデルそれぞれの独立した環境に与え、介入なしでCLIツールを構築させた。採点はモデルに公開していない受け入れテスト10項目で行う。

仕様書には仕掛けも2つ入れた。

1つ目は、わざと曖昧にした要件だ。

「直近24時間のログを抽出できること」という要件で、「いつから数えて」24時間なのかをあえて書いていない。

現実の発注書にも必ずこの種の曖昧さが紛れ込むが、解釈次第で結果が変わってしまう。質問できない状況でそれに気づけるか、気づいたとき解釈を申告するか黙って作るかを観察する。

2つ目は、読み飛ばすと落ちる要件だ。

ログの時刻には「+09:00(日本時間)」のような時差の情報が付いており、時差の異なるログが混ざったファイルでは、見た目の数字のまま比較すると並び順や絞り込みの結果が狂う。

正しく作るには、全部の時刻をいったん世界標準時に換算してから比較する必要がある。この点は仕様書に1行だけ記載しており、隅々まで読まないと見落とす設計だ。

※各モデル1回試行のN=1の定性検証であり、統計的なベンチマークではない。また、検証環境(仕様書・受け入れテスト)の構築にもFable 5を使用しているが、各モデルの実行は独立した環境で行っており、テスト内容の事前知識はどのモデルも持たない。

結果:点差はつかなかった

項目 Fable 5 Opus 4.8 Sonnet 5
受け入れテスト通過数 10/10 10/10 10/10
所要時間 2分14秒 1分59秒 8分12秒
ツール呼び出し回数 7回 8回 15回
消費トークン 約26,900 約27,200 約38,500

結果は、3モデルとも満点だった。

タイムゾーン混在の仕掛けも全モデルがクリアし、仕様書に書かなかった空ファイルやCSVのエスケープ処理といった行間も、3モデルとも自発的に処理していた。

曖昧にしておいた「直近24時間」の基準時刻については、3モデルとも「現在時刻基準」という解釈を選び、いずれも報告書で自らの解釈を明示した。

特にOpus 4.8とSonnet 5は「起点が明示されていない」と曖昧さそのものをピンポイントで指摘してきた。

差が出たのは効率面だ。Fable 5は最少の7手で完走し、Sonnet 5は手数・トークン量とも約2倍を要した。

ただし所要時間は実行環境の負荷の影響を受けるため、参考値として見てほしい。

受け入れテストは3モデルとも10/10で同点。差が出たのはツール呼び出し回数と消費トークンで、Sonnet 5はFable 5の約2倍を要した。各モデル1回試行の参考値。

「差が出なかった」ことが示すもの

この結果は、ある意味で予想通りだった。

ベンチマークの点差(SWE-bench Proで77.8% vs 53.4%など)は、「下位モデルが解けない難問を上位モデルは解ける」という上澄み部分の差だ。

裏を返せば、実務でよくある中規模タスクは、もはやどのフロンティアモデルでも満点で飽和するということでもある。

自律タスクの成功率は手数の累乗で効いてくるため、差が見えるのは手数がさらに長く、要件がさらに複雑な領域、つまり大規模コードベースの改修や、複数システムにまたがる障害調査のようなタスクになるだろう。

モデル感の差が現れる構図。自律タスクの成功率は1手あたりの成功率の累乗で低下するため、手数が長いタスクほどモデル間の差が拡大する。

もう一つ特筆すべきは、懸念していた誤検知が一度も発生しなかったことだ。

今回の課題はログ解析というセキュリティ隣接領域だったが、強化されたセーフガードによるブロックは3モデルとも皆無だった。

少なくとも通常の開発業務の範囲では、新分類器の副作用は体感しにくいようだ。

企業の実務視点でまとめると、こうなる。

日常的な開発・自動化タスクならOpusやSonnetで十分であり、Fable 5の追加コスト(使用クレジット消費)を正当化するのは、従来モデルが行き詰まる最難関のタスクに限られる。

「最強のモデルを常に使う」のではなく、タスクの難易度でモデルを使い分けることが、コスト面でも合理的な戦略と言えそうだ。

企業が読み取るべき3つの示唆

最後に、この19日間の一連の経緯から、企業が読み取るべきことを3つ挙げる。

第一に、「AIモデルが止まる」は現実のリスクになったということだ。

今回の停止は、障害でもサイバー攻撃でもなく、政府の指令によるものだった。

原因が何であれ、業務の中核に組み込んだAIモデルが19日間使えなくなるという事態は現実に起きた。

特定のモデルへの依存度が高い企業ほど影響は大きい。

そのため、代替モデルへの切り替え手順を整備しておくこと、つまりAIを「いつか止まりうるインフラ」として扱い、冗長性を設計しておくことは、もはやBCP(事業継続計画)の一部と考えるべきだろう。

第二に、「政府がモデルを止め、条件付きで戻す」プロセスが前例になった

「リリース→停止→技術対応→政府機関による検証→解除」という一連の流れは、今後の高性能モデルのリリースで繰り返される可能性が高い。

6月2日の大統領令による30日レビューと合わせ、「フロンティアモデルは政府の関与を経て世に出る」ことが常態化するかもしれない。

企業側から見れば、新モデルの採用判断に「規制リスク」という変数が正式に加わったことになる。

海外の規制動向が、日本企業が使うAIツールの可用性に直接影響する時代になったということだ。

第三に、安全性の代償である「誤検知」は、通常業務では体感しにくい。

新しい分類器について、Anthropicは正当なコーディングやデバッグ作業まで誤ってブロックする頻度が高まると明言している。

これは、意図的に安全側へ倒したトレードオフであり、今後の高性能モデル全般に共通する構図になるだろう。

ただし今回の検証では、ログ解析というセキュリティ隣接のタスクだったにもかかわらず、誤検知は一度も発生しなかった。

少なくとも通常の開発業務の範囲では、この副作用が業務の障害になる場面は限定的とみてよさそうだ。

一方で、脆弱性診断やペネトレーションテストの支援といった、より深くセキュリティに踏み込む業務での挙動は今回の検証範囲外だ。

そうした用途を想定する企業は、誤検知の業務影響を導入評価の項目に加えておくべきだろう。

前回の記事では「Fable 5は現在停止中だが、状況は流動的だ」と書いた。実際、状況は19日で変わった。

つまり企業にとって、次の停止や次の規制が自社の使っているモデルを直撃する可能性は常にあり、同時に、Mythos級の能力を持つ新モデルが自社の防御に使えるようになる機会も次々と訪れる。

今後は、止まるリスクと使える機会、その両方を織り込んで、特定モデルに依存しない体制と、新しいモデルを素早く評価・導入できる体制を整えておくことが重要になるだろう。

参照元:
①:Redeploying Claude Fable 5
②:More details on Fable 5’s cyber safeguards and our jailbreak framework
③:Statement on the US government directive to suspend access to Fable 5 and Mythos 5
④:Anthropic says Trump administration lifted restrictions on some of its most powerful Claude AI models(CBS News)
⑤:Anthropic says Trump admin has lifted export controls on Claude Fable 5 and Mythos 5(CNBC)
⑥:Anthropic loses appeals court bid to temporarily block Pentagon blacklisting(CNBC)
⑦:Two Courts, Two Postures: What the DC Circuit’s Stay Denial Means for the Anthropic-Pentagon Dispute(Jones Walker LLP)
⑧:Executive Order: Promoting Advanced Artificial Intelligence Innovation and Security(The White House)

モバイルバージョンを終了