Simon Willison's Weblog は2026年6月16日(現地時間)、AIモデル「Claude Fable 5」への輸出規制が米国のサイバー防衛能力を阻害するとの懸念を報じた。記事によると、ケイト・ムスーリス (Kate Moussouris) 氏は、規制の対象となった「jailbreak」が、実際には「このコードを修正せよ」という防御的なプロンプトであったと指摘し、AIコーディングモデルがセキュリティ上の脆弱性を修正する重要性を強調している。
ケイト・ムスーリス (Kate Moussouris) 氏は、AIモデル「Claude Fable 5」が輸出規制の対象となった「jailbreak」が、実際にはコードの修正を求めるプロンプトによるものであったと確認した。
研究者らは、既知の共通脆弱性識別子(CVEs)を含むオープンソースコードと、意図的に脆弱性を埋め込んだ新たなコードを用いた。これらのコードに対し、「Fable 5」、Mythos(ミトス)、Opus(オーパス)の各モデルにセキュリティ上の問題をレビューするよう求めたが、「Fable 5」はこれを拒否した。その後、コードの修正を促すプロンプトを送ると、モデルは出力を行い、多段階かつ手動のプロセスを経て、パッチをテストするスクリプトが生成されたという。
ムスーリス氏は、この状況を「ばかげている」と指摘している。コーディングモデルの役割はバグ修正であり、セキュリティ上の脆弱性は修正すべきバグの中で最も重要なカテゴリであると述べた。防御側はAIに対し、ファイル内のバグ修正、修正理由の説明、パッチの動作確認テスト作成を求める必要があるとし、これが「ガードレール回避」ではないとの見解を示している。これは、AIモデルが防御的セキュリティにおいて実行できる最も価値のある活動であり、防御者が日常的に行う発見、修正、テストのループをAIが実行することに他ならないと分析する。
この機能は防御的な要求によって機能しており、これを除去すればモデルのバグ修正能力やパッチ検証能力を低下させることになるとムスーリス氏は主張する。非技術系の意思決定者が「サイバー攻撃を生成できるモデル」を危険視する議論が数ヶ月にわたり行われた結果、コードのセキュリティ向上に役立つモデルまでが禁止される事態への懸念が示されている。
参考: Simon Willison’s Weblog — 2026年6月16日 14:20 (JST)
原文ハイライト"The Fable 5 Export Controls Harm US Cyber Defense"