ビッグテック最前線.com / 編集部

Submarine LLC

Editor Team

毎日使っているAIが、自分の知らないうちに別のAIへ切り替わっていたとしたら、その回答をそのまま信じられるでしょうか。

2026年6月9日、AnthropicはMythosクラスの最上位モデルClaude Fable 5を一般公開しました(出典: https://www.anthropic.com/news/claude-fable-5-mythos-5)。ところがリリースから数日のうちに、ユーザーへの通知なく性能を落とす仕組みが組み込まれていたことが判明し、同社は公式に謝罪する事態へと追い込まれます。さらに、まったく同じ基盤モデルでありながら制限を一切かけていないMythos 5が、政府向けに別枠で提供されているという二重構造も明らかになりました。

本記事では、この一連の経緯を時系列で整理しながら、AIを業務に組み込む企業がこれから何に注意すべきかを読み解いていきます。

Anthropicの最強AIに何が起きたのか

2026年6月9日、AnthropicはClaude Fable 5をリリースしました。入力100万トークンあたり10ドル、出力100万トークンあたり50ドルという、前モデルの半額以下となる価格設定が大きな話題を呼びました。決済サービスのStripeでは、5,000万行に及ぶRuby(プログラミング言語)のコードベース移行を1日で完了させています。手作業なら2か月以上かかる規模です。創薬の領域でも約10倍の高速化を実現し、14のタンパク質ターゲットのうち9件で有望な候補を発見しました。スペック上は文句のつけようがない最上位モデルでした。

ところがリリースからわずか2日で、風向きが変わります。研究者たちが、ユーザーへの通知なく性能を落とす仕組みが組み込まれていることを発見したのです。

Cancerと入力しただけで性能が落ちる

全セッションの約5%、つまり20回に1回ほどの割合で、Fable 5のセーフガード(安全装置)が作動し、応答が旧モデルのClaude Opus 4.8へ密かに切り替わっていました。問題は、その誤検知の範囲の広さです。「Cancer(がん)」という医学用語を入力しただけ、あるいは「Hello」と挨拶しただけでフラグに引っかかった事例が報告されています。ユーザーには、どのモデルが返答しているのかを知る手立てがありませんでした。

技術文書の13ページ目に記された制限

このセーフガードの存在は、完全に秘密だったわけではありません。モデルの仕様書にあたるシステムカードの13ページに、フロンティアLLM(最先端の大規模言語モデル)の開発を目的とする場合は性能が制限される、という記載がありました。しかしリリースノートやユーザー向けの説明には一切触れられておらず、発覚は事実上、外部からの指摘によるものでした。

Anthropicの説明はこうです。可視化されたセーフガードは外部から回避されやすい。だからこそ不可視にして精度を高める判断をした。速度と安全性を天秤にかけた結果の設計だった、というものです。

同じモデルなのに二重基準:Fable 5とMythos 5の分断

ここから話は、より構造的な問題に入ります。Fable 5と同一の基盤モデルでありながら、セーフガードを一切適用しないバージョンが存在します。それがClaude Mythos 5です。

Project Glasswing:政府だけが使える制限なし版

Mythos 5は、米国政府との連携プログラムであるProject Glasswingを通じてのみ提供されます。利用にはAnthropic、またはAWS、Google Cloudのアカウントチームによる承認が必要で、一般企業や個人が申し込める枠組みではありません。

注目すべきは、Anthropic自身がMythos 5を世界で最も強力なサイバーセキュリティ能力を持つモデルと評している点です。同じモデルでありながら、一般ユーザーが使えるFable 5にはサイバーセキュリティ関連の作業をブロックするセーフガードがかかっています。核技術や先端半導体と同じように、AIのフルパワーへのアクセスそのものが地政学的な戦略資産になりつつあるといえます。

3種類のセーフガードの中身

Fable 5に適用されるセーフガードは3種類あります。1つ目は、攻撃的なサイバーセキュリティ作業のブロックです。2つ目は、生物学や化学分野での悪用防止で、病原体の設計や軍民両用(デュアルユース)研究の制限が含まれます。3つ目は蒸留の防止です。蒸留とは、高性能モデルの能力を抽出して別のAIモデルの訓練に流用する行為を指し、特に権威主義的な文脈での利用が検知の対象とされています。

外部のレッドチーム(攻撃者役となって脆弱性を探す検証チーム。英国AISIを含む)が1,000時間を超えるテストを実施し、汎用的なジェイルブレイク(安全制限を回避する手法)は発見されませんでした。ただし英国AISIは、汎用ジェイルブレイクに向けた一定の進展があったとも報告しており、セーフガードの堅牢性が完全だと言い切れるわけではありません。

IPO前の信頼失墜:なぜこのタイミングだったのか

Anthropicは、2026年中の新規株式公開(IPO)が市場で広く取り沙汰されています。SpaceXやOpenAIと並び、史上最大級のIPO候補として投資家の注目を集めるなかでの不祥事でした。日本のYouTubeでも複数のチャンネルがAnthropicのIPOを取り上げており、個人投資家層の関心も高まっています。

公式謝罪の重み:誤りだったと認めた意味

6月11日に出された公式声明で、Anthropicは不可視のセーフガードというアプローチが誤りだったと認めました。AI企業がモデルの設計判断について公式に誤りだったと認める事例は、極めて珍しいものです。対応として、セーフガードが作動した際には切り替え先のモデル名を表示し、API経由の場合は拒否理由を返すよう変更されました。

ただし同社は、セーフガードを可視化すれば外部から回避されやすくなるという矛盾も認めています。透明性を優先すれば、安全性の一部が犠牲になりかねない。この綱引きは、AI業界全体が抱える未解決の課題として今後も続いていきます。

API設計に刻まれた新しいルール

開発者向けには、リクエストの拒否時に stop_reason: “refusal” がHTTPステータス200(正常応答)として返される新しい仕様が導入されました。拒否されたリクエストには課金されず、別モデルへ自動的に再試行(フォールバック)するためのSDK向けの仕組みも整備されています。一見すると親切な設計ですが、裏を返せば、拒否される前提でワークフローを組み立てる必要があるということです。

あわせて、Mythosクラスのすべての通信に30日間のデータ保持が義務づけられました。データを一切残さないゼロデータ保持は選択できません。Pro、Max、Team、Enterprise各プランでの無料提供は6月22日までで、それ以降は使用量に応じたクレジットが必要になります。

AIベンダー選びの判断基準が変わる

今回の一件が突きつけるのは、一般公開がフルパワーを意味するとは限らない時代が来た、という事実です。同じモデル名でも、あなたが使えるバージョンと政府が使えるバージョンは異なります。そして5%の確率で、支払った料金に見合わないモデルが応答を返していました。

AIを事業の基盤として使う企業にとって、これは稼働率のSLA(サービス品質保証)に続く新たな契約項目、いわばモデル品質のSLAを求めるべき段階に入ったことを意味します。どのモデルが実際に応答しているのか、フォールバックはいつ発生し、その頻度と影響範囲はどれくらいか。こうした透明性を契約で担保しなければ、見えないところで業務品質が劣化するリスクを抱え続けることになります。

Anthropicの謝罪は、その意味で業界全体への警鐘でもあります。可視化と安全性のバランスに、まだ明確な正解は見えていません。しかし少なくとも、ユーザーが自分の使っているものを把握できない状態が当然のように許容される時代は、終わりを迎えつつあります。

まとめ

今回の出来事から押さえておきたい点は、大きく3つに整理できます。1つ目は、最上位モデルとして公開されたClaude Fable 5に、ユーザーへの通知なく性能を落とす仕組みが組み込まれており、約5%のセッションで旧モデルへの切り替えが起きていたことです。2つ目は、同じ基盤モデルでありながら制限のないMythos 5が政府向けに限定提供されるという、AIの二重構造が明らかになったことです。そして3つ目は、Anthropicがこの設計を公式に誤りだったと認め、フォールバックの可視化やAPIでの拒否理由の開示へと方針を転換したことです。

ここで一度、自社に引き寄せて考えてみてください。あなたの組織が日々の業務で使っているAIは、本当に契約どおりの性能を発揮しているでしょうか。どのモデルが応答しているのかを確認できる仕組みは整っているでしょうか。AIをインフラとして組み込むほど、性能の透明性を契約や運用のなかでどう担保するかが、これからのベンダー選びを左右する重要な論点になっていきます。

参考情報