米政府がClaude Fable 5を約18日止めた:ジェイルブレイク報告1本で発動した輸出規制と、残る「自己採点」の宿題
- 配備済みのフロンティアAIモデルが政府の輸出規制で止められたのは、確認できる限り初のケース。2026年6月12日、米政府はFable 5とMythos 5に規制を適用し、国籍をリアルタイムに確認できないAnthropicは全ユーザーへの提供を停止した(事実)
- 引き金はAmazonの研究者による報告。Fable 5の安全装置を回避してソフトウェアの脆弱性を特定させ、一例ではエクスプロイト(攻撃の実証コード)まで生成させた(事実。ただし報告自体は非公開)
- 規制は6月30日に解除され、Fable 5は7月1日から全世界で復活。ただしブロック時はFable 5ではなくOpus 4.8が答える(事実)
- Anthropicは「新クラシファイアが当該手法を99%超ブロックする」「今回の回避は軽微だった」と説明——ただしどちらも同社の自己申告で、根拠となるAmazonの報告も比較テストも公開されていない(主張)
- ユーザーへの実際の影響:通常のコーディングでも誤ブロックが増える、7月7日までは週次上限の50%まで利用可、AWSなどクラウド経由の復旧日は未定
配備済みのフロンティアモデルが、政府命令で止まった
発売からわずか3日でした。2026年6月12日、米政府はAnthropicの最新モデルFable 5とMythos 5に輸出規制(特定の技術に外国籍の人がアクセスすることを制限する政府ルール)を適用し、6月9日に生まれたばかりの旗艦モデルは、そこから約18日間、市場から消えることになります。Anthropicは「どのユーザーがどの国籍か」をリアルタイムに確認する手段を持たないため、米国内のユーザーも含めて全員への提供を停止する道を選びました。引き金は、Amazonの研究者が報告した1本のジェイルブレイクでした。
この停止と解除は政府の行為なので、独立に確認できる事実です。規制は6月30日に解除され、Fable 5は7月1日からClaude Platform、Claude.ai、Claude Code、Claude Coworkで全世界に復活しました。一方、AWS・Google Cloud・Microsoft Foundryといったクラウド経由の提供は「追って」とだけ書かれ、日付はありません。防御的サイバーセキュリティのパートナー限定で提供されるMythos 5は、一足早い6月26日に米国内の一部組織向けの復旧が承認されています。
そのジェイルブレイクは、本当に「軽微」だったのか
発端はAmazonの研究者がまとめた1本の報告でした。ある特定のプロンプトの書き方(ジェイルブレイク=安全装置がブロックするはずの動作を引き出すテクニック)を使うと、Fable 5にソフトウェアの脆弱性を特定させることができ、一例ではエクスプロイトのデモコードまで生成できた、という内容です。報告の存在と、それが規制の引き金になったことは事実として述べられていますが、報告そのものは公開されていません。
ここから先が、この発表で最も読みにくく、最も重要な部分です。これに対するAnthropicの説明はこうです。同じ脆弱性の特定はOpus 4.8やGPT-5.5、Kimi K2.7といった「より能力の低い」モデルにもできたし、報告にあった唯一のエクスプロイト実証は、テストした8モデル(Haiku 4.5、Sonnet 4.6、Opus 4.6/4.7/4.8、GPT-5.4、GPT-5.5、Kimi K2.7)のすべてが再現できた——つまり今回の回避で漏れたのは、世の中にすでに広く存在する能力の範囲内だった、と。さらに、回避されたのは意図的に広く取ってある「安全マージン」の内側だけで、Mythos 5級の特別な能力には触れていない「軽微な」ジェイルブレイクだった、と位置づけています。
筋は通っています。ただし注意してください。この比較テストの結果は公開されておらず、すべてAnthropicの社内測定です。「政府CAISI(米商務省のAI標準・イノベーションセンター)の研究者も新旧の安全装置を極めて強固だと認めた」という記述もありますが、これはAnthropic経由の伝聞で、CAISI自身の文書はありません。つまり「今回の回避は低リスクだった」という中心的な主張は、現時点では外部から検証できないのです。
追突事故を起こした運転手が、自分で現場検証をして「かすり傷でした」と報告書を書いているような構図です。報告書の中身(バンパーの写真=比較テスト、警察官のコメント=CAISIの評価)がすべて本人の口から語られている以上、うそだと疑う理由はなくても、うのみにする理由もありません。だからこそ後半の「共通の採点基準づくり」が本題になります。
そしてもうひとつ。Anthropicの「直し方」そのものにも、同社自身が認める代償がついています。次章で見ていきます。
「99%超ブロック」の代償——無害なリクエストまで、以前より多く止まる
Anthropicの対応の柱は、新しい安全クラシファイア(リクエストと応答を監視し、危なそうなときに本体モデルを止める小型の自動判定AI)の追加でした。同社の測定では、Amazonの報告にあった手法を99%超のケースでブロックし、残りの約1%で漏れる情報も「攻撃者の役に立つほど詳細ではない」としています。繰り返しますが、この数字は自己申告で、測定方法は公開されていません。
ここで鍵になるのが「安全マージン」という考え方です。Fable 5はもともと、明らかに有害なリクエストだけでなく、おそらく無害なリクエストまで意図的に広くブロックするように調整されています。多少の回避を許しても、着地点がまだ無害な領域にとどまるようにするための「遊び」です。
この図の代償の部分は、Anthropic自身が認めています。新クラシファイアは通常のコーディングやデバッグ作業でも無害なリクエストを以前より多く止めてしまう、と。ブロックされた場合、ユーザーには通知が出て、リクエストはOpus 4.8に振り替えられます。答えは返ってきますが、より能力の低いモデルの答えです。日常的にFable 5を使う人にとって、これは体感できる変化でしょう。
もうひとつ正直な注記があります。「99%超ブロック」はAmazonが報告した特定の1手法についての数字であって、ジェイルブレイク全般の話ではありません。Anthropic自身、完全にジェイルブレイク不可能なモデルはおそらく作れないと認めており、だからこそ複数の不完全な防御を重ねる「多層防御」と、意図的な安全マージンを取っているわけです。
どこまでが事実で、どこからが主張か
この発表でいちばん大事なのは、何が直ったかより、何を外部から確かめられないかです。一件の説明は、いまのところAnthropicの記事という単一の情報源に依存しています。論点ごとに「外から確認できるか」を仕分けすると、こうなります。
| 論点 | Anthropicの説明 | 外部から確認できるか |
|---|---|---|
| 輸出規制の適用(6/12)と解除(6/30) | 政府の指示で停止し、解除を受けて再展開 | 確認可能(政府の行為) |
| Amazon報告の中身 | 脆弱性の特定+1件のエクスプロイト実証 | 不可(報告は非公開) |
| 「8モデル全部が同じ実証を再現できた」 | 今回の漏れは既存能力の範囲内、の根拠 | 不可(社内テスト、結果非公開) |
| CAISIが「極めて強固」と評価 | 政府研究者の見解として引用 | 不可(Anthropic経由の伝聞のみ) |
| 新クラシファイアの「99%超ブロック」 | 再展開の安全性の中核的根拠 | 不可(自社測定、方法非公開) |
| 7/7までの50%利用枠と対象プラン | 公表されたアクセスポリシー | 確認可能(料金・プラン情報) |
この「自己採点」問題を業界も自覚しているからこそ、記事の後半は基準づくりの話になります。AnthropicはAmazon、Microsoft、Googleら(Glasswingパートナー)とともに、ジェイルブレイクの深刻度を4つの軸——得られる能力の大きさ、その広がり、武器化のしやすさ、発見のしやすさ——で採点する共通フレームワークの草案を作っていると述べています。ソフトウェア脆弱性の世界にあるCVSS(深刻度の共通採点システム)のAI版を目指す動きですが、現時点では利害関係者による草案であって、採用された標準ではありません。あわせて、Fable 5のサイバー系ジェイルブレイクを募るHackerOne(脆弱性報告の仲介プラットフォーム)での受付プログラムも始めるとしています。
政府との関係も一段深くなります。発売前の政府アクセス、迅速な情報共有、共同研究への計算資源の提供——いずれも「これからやる」という約束(will)の段階ですが、6月2日の大統領令が設けた省庁横断の脆弱性クリアリングハウスとあわせて、フロンティアモデルの出荷に政府が事前に関与するテンプレートが形になりつつあります。今回は自主的な枠組みですが、これが将来の拘束力ある規制の下書きになる可能性は十分あります。
ユーザーに残るもの、業界に残るもの
利用者の目線では、変化は3つに整理できます。第一に、Fable 5は7月1日から使えますが、無害なコーディング作業での誤ブロックは以前より増え、ブロック時はOpus 4.8の答えが返ってきます。第二に、7月7日までは週次上限の50%までが利用枠に含まれ、それ以降は使用量クレジット制です(標準Enterpriseシートは枠の対象外)。第三に、AWS・Google Cloud・Microsoft Foundry経由の復旧は日付未定のままです。
業界の目線では、この18日間はひとつの前例として残ります。第三者の1本の報告で、政府が配備済みモデルを止められること。そして止められた企業は、自前の測定と非公開の根拠で「安全になった」と示して再開にこぎつけるしかなかったこと。この2つのギャップ——規制の速さと、検証手段のなさ——を埋めるものとして提案されたのが共通の深刻度基準です。うまくいけば、次の「軽微な」ジェイルブレイクは全面停止ではなく、点数に応じた対応で済むようになるかもしれません。
確認できる事実は「規制が6月12日に発動し、6月30日に解除され、Fable 5が新しいクラシファイアつきで戻ってきた」ところまでです。「今回の回避は軽微で、修正は99%超効いている」という物語は筋が通っているものの、根拠はすべてAnthropicの手の中にあり、独立の検証はこれから。読者として持ち帰るべきは、修正の中身より構図のほうです。ジェイルブレイク報告1本で、フロンティアモデルが止まる時代が始まりました。次に問われるのは、その深刻度を誰が採点するかです。