カテゴリー別アーカイブ: 人工知能

AnthropicはAGIが社会にもたらすインパクトを研究する組織「Anthropic Institute」を設立、AGI社会へスムーズに移行することを目的とする

AGIのリリースが目前に迫るなか、AnthropicはAGIが社会にもたらすインパクトを研究する組織「Anthropic Institute」を開設した。AGIは社会に多大な恩恵をもたらすと期待されるが、同時に、社会構造が根本から変わり大きな混乱が予想される。Anthropic Instituteは同社のフロンティアモデルをベースに、技術・社会・経済の観点からこれを検証し、責任あるAGI開発を実施する。AGI社会にソフトランディングすることが究極のゴールとなる。

出典: Anthropic

Anthropic Instituteとは

Anthropic InstituteはAGIのインパクトを研究するシンクタンクとして位置付けられる(下の写真、イメージ)。共同創設者であるJack Clarkが代表を務め、技術から経済まで幅広い分野の専門家から成るチームで構成される。「Frontier Red Team」はAGIを技術の観点から検証する。「Societal Impact Team」はAGIの利用方法など社会に及ぼすインパクトを検証する。「Economic Research Team」はAGIが雇用や経済に与える影響を継続して監視する。(AnthropicはAGIという用語は使わず、これを「Powerful AI」と表現する。ここでは用語を統一するために「AGI」と記載する。)

出典: Generated with Google Gemini 3.1 Pro

研究対象エリア

Anthropic InstituteはAGI社会で発生が予測される問題を中心に研究を進める。AGIに関して様々な問いが投げかけられており、これらに回答することを主題とする。対象領域は:

  • 雇用と社会:AGIは雇用や社会にどのようなインパクトを与えるか
  • リスクと耐性:AGIはどのようなリスクをもたらすか、また、社会はこれらのリスクに耐えることができるか
  • 価値観:AGIの価値をどう評価するか
  • 回帰型システム:AGIが自己の機能を改良する技術(Recursive Self-Improving)をどう制御するか

大規模フィールド調査

Anthropic InstituteはAIに期待する機能について大規模な調査を実施した(下の写真)。159か国の81,000人の利用者を対象に、AIをどのように活用しているか、また、AIをどのように使いたいかにつて、包括的なデータを収集した。この調査ではAIモデルが「調査エージェント (Anthropic Interviewer)」となり、利用者と対話する形式でデータを収集した。更に、調査エージェントが収集したデータを解析し、それを特性に基づいて分類・階層化した。フィールド調査の全てのプロセスを調査エージェントが実行した。

出典: Anthropic

AIモデルに期待すること

調査ではAIモデルに期待することを質問し、その結果を9のカテゴリーに分類した(下のグラフ)。そのトップが、「Professional Excellence」で、AIモデルをルーチン業務に適用し、専門分野で才能を発揮することを期待している実態が明らかになった。期待していることの主要項目は:

  • Professional Excellence (18.8%):専門職で才能を発揮、ルーチン作業をAIモデルで実行し、空いた時間で意味のある仕事を遂行
  • Personal Transformation (13.7%):健康やメンタルヘルの改善、AIで自分自身を理解しフィジカルヘルスやメンタルヘルスを改善
  • Life Management (13.5%):日々のスケジュール管理、AIを秘書として使い、日程管理など生活や仕事をオーガナイズ
  • Financial Independence (9.7%):経済的な自立、AIでビジネスを立ち上げ、収益をあげ、仕事に縛られない生活をすること
  • Societal Transformation (9.4%):グローバルな問題を解決、AIで病気、貧困、地球温暖化問題などを解決
  • Learning & Growth (8.4%):パーソナル・チューター:AIを個人教師として利用し、新しい分野のスキルを獲得
出典: Anthropic / Generated with Google Gemini 3.1 Pro

何を恐れているか

調査エージェントはAGIに関する懸念事項や切迫する恐怖感について質問した。AGIがリリースされると社会は劇的に変わり個人生活が激変する。人々は将来を予見できなくなり、多大な恐怖感を抱いていることが明らかになった。その主なものは:

  • Job & Economic Displacement:AIにより職を奪われること
  • Cognitive Atrophy & Loss of Autonomy:AIにより人間は考えることを停止し、思考能力が退化すること
  • Unreliability & Misinformation:AIが出力する情報は誤りを含み、人間がこれをチェックす作業が大きな負担となる
  • Loss of Meaning & Creativity:AIにより人間の創造性の価値が下がり、存在感が低下する
  • Wellbeing & Dependency:AIと会話する時間が長くなり、社会的に孤立する。人間の代わりにAIを友人として選ぶという異常事態

AGIトラスト

Anthropic Instituteは技術・社会・経済に関する検証チームから成るシンクタンクとして位置付けられ、AGIの開発や運用を安全に実行するための組織となる。この組織や手法が米国におけるAGIトラストのテンプレートとして捉えられる。米国連邦政府はAI規制を撤廃し、企業がフリーハンドで先進技術を開発する政策を取る。米国では法令による規制ではなく、民間企業がAGI開発と運用を責任もって遂行する自主規制の路線が取られる。AGIにおいてはAnthropic Instituteがその先端を進み、AI業界がその成果に着目している。

サイバーセキュリティ最大の展示会「RSA Conference 2026」、AIエージェントの危険性に議論が集中!!CiscoはAIエージェント向けセーフティ・フレームワークを公開

サイバーセキュリティに関する世界最大の展示会「RSA Conference 2026」がサンフランシスコで開催された(下の写真)。カンファレンスの中心テーマはAIエージェントで、モデルが内包している危険性を理解し、これを如何に制御するかが議論された。企業はAIエージェントの導入を進め、このペースでいくと1兆ユニットが稼働する時代となる。しかし、AIエージェントのセキュリティに関する理解は進んでおらず、重大なインシデントが発生すると懸念される。CiscoはAIエージェントの危険性に関する啓蒙活動を続け、エージェントを安全に運用する技術を開発し、これをオープンソースとして公開した。

出典: VentureClef

カンファレンス総括:エージェント・セキュリティ

RSA Conferenceは世界最大のセキュリティ・カンファレンスでサイバー・セキュリティに関する最新技術が公開された。近年、サイバー・セキュリティはAIと融合し、RSA Conferenceは「AIカンファレンス」に転身した。今年は、AIエージェントに議論集中し、基調講演や展示会場ではエージェント・セキュリティが最重要テーマとなった。エージェント・セキュリティは二つの側面を持ち、1)AIエージェントへのサイバー攻撃を防ぐ手法と、2)AIエージェントが内包している危険性を制御する手法となる。これらのテーマに関し、主要各社から新技術やソリューションがリリースされた。

エージェント・ワークフロー

Cisco社長Jeetu Patelは基調講演でAIエージェントのセキュリティについて最新技術を解説した。AIエージェントが企業に導入され、「Agentic Workflow」として会社の基幹業務を担う中、そのリスクを解析しソリューションを提示した。AI市場は転換期を迎え、2022年11月にChatGPTがリリースされ、2026年11月に「OpenClaw」が誕生した。ChatGPTは「チャットボット」で、OpenClawは「エージェント」と位置付けられる(下の写真)。チャットボットは問われたことに回答を生成するが、エージェントは指示されたタスクを完遂するためにアクションを取るモデルとなる。

出典: RSAC

エージェントのセキュリティ

エージェントはチャットボットとはシステム構造が根本的に異なり、今までに経験したことがない重大なリスクを内包している。エージェントは「ツールを使う機能」を実装しており、人間のようにアプリやサービスを使うことができる。エージェントがメールにアクセスし受信メールを読み、顧客管理システム「CRM」や人事管理システム「HR」を操作するなど、幅広い権限が与えられている。エージェントがこれらシステムを使うことで、人間のように業務を遂行することができる。しかし、エージェントが操作を間違えると重大な問題が発生する。

エージェントのリスク

エージェントは人間の社員とは異なり、指示されたタスクを朴訥に実直に実行する。エージェントはタスクに関連する背景情報などコンテクストを理解することなく、プロンプトを忠実に実行する。例えば、社内イベントを企画実行する際に、エージェントはホテルの予約で4万ドルを出費するなど、巨額の経費を承認なく出費するリスクを抱える。また、エージェントは人事システムから個人情報を読み取り外部にリークする危険性がある。Slackなどのコミュニケーションツールから、企業の製品計画など機密情報をリークする重大なリスクを内包している。

アクション・コントロール

Ciscoは「Zero Trust framework」をセキュリティの基盤としており、これを人間からエージェントに拡張する戦略を取る。エージェントは人間とは異なるリスクを内包しており、独自のセキュリティ・フレームワークを構築した(下の写真)。人間のセキュリティは「アクセス・コントロール」が基本指針となる。これは利用者を審査しIDとパスワードを授与し、限定された領域でアクセスを許諾する仕組みとなる。これに対しエージェント向けに「Agentic Identity and Access Management (IAM)」というフレームワークを導入した。Agentic IAMとは、人間に代わり業務を遂行するエージェントを把握し、そのIDを管理し、エージェント運用の責任者を登録する方法となる。コンセプトは、エージェントに許諾する権限をタスク遂行時だけに留め、活動範囲を最小限に制約することを基本指針とする。

出典: RSAC

オープンソースとして公開

CiscoはAIエージェントのセキュリティに関するツールをオープンソースとしてGitHub公開した(下の写真)。これは「Cisco AI Defense」と呼ばれ、エージェントのスキルをスキャンする機能「Skill-Scanner」や、MCPサーバのセキュリティを検証するツール「MCP-Scanner」などが公開されている。企業はこれをダウンロードしてエージェント・セキュリティを強化できる。

出典: Cisco

DefenseClaw」をリリース

この中で「DefenseClaw」が注目されている。DefenseClawはオープンソースのセキュリティとガバナンスのフレームワークで(下の写真)、ここで人気のエージェント「OpenClaw」を安全に運用することができる。DefenseClawは三つのコア技術で構成され、エージェントの安全性を審査し、また、実行時にはエージェントの挙動を継続してモニターする:

  • 実行前の審査:エージェントをインストールする前にその機能を審査し安全性を確認する。具体的には上述のスキル審査「Skill-Scanner」やMCPサーバの審査「MCP-Scanner」を実行する。
  • 実行時の監視:稼働前にエージェントは安全であることを確認するが、実行時に危険なモデルに転身する可能性がある。このため、実行時にメッセージやプロンプトをモニターし安全性を監視する。
  • ポリシー:管理者は稼働可能なエージェントと稼働不可なエージェントのリストを作り運用を管理する。エージェントが許可されていないスキルを使うと、エージェントの運用を停止する。
出典: Cisco

OpenClawとは

OpenClawとは個人向けのAIエージェントで、秘書のように生活や仕事をサポートする。OpenClawは知的なAIエージェントであるが、同時に、極めて危険なツールでもある。セキュリティ業界は一斉にOpenClawを企業が安全に利用するためのセーフティ技術の開発を始めた。NvidiaはOpenClawを安全に運用するための実行ライブラリ「OpenShell」を投入した。CiscoはNvidiaと提携し、DefenseClawをOpenShellのフレームワークで運用する計画を発表した。

出典: OpenClaw

セキュリティ = AI

展示会場にはセキュリティ主要企業がブースを設置し最新技術をアピールした。RSA Conferenceの展示会場は「North Expo(北展示場)」と「South Expo(南展示場)」の二か所に分かれている。北展示場にはIT企業が、南展示場にはセキュリティ企業が集う構成となっていた。AIがセキュリティのコア技術になり、IT企業はAIをセキュリティに応用するアプローチを取る。ここにはCiscoをはじめ(下の写真)、Google、Microsoft、IBMなどがブースを構えていた。「セキュリティ=AI」という位置づけが鮮明になり、IT企業が集う北展示場が大変賑わっていた。

出典: VentureClef

Nvidiaは世界最大のオープンソース企業!!、AIエージェント・フレームワーク「NemoClaw」を投入、大人気モデル「OpenClaw」を企業向けに展開

Nvidiaは開発者会議「GTC 2026」をシリコンバレーで開催し(下の写真)、CEOのJensen Huangが基調講演で、オープンソースについて最新情報を解説した。AIエージェント「OpenClaw」を企業向けに提供することを発表した。OpenClawは大好評のAIエージェントで、世界で利用者数が急拡大している。Nvidiaはセキュリティを強化した「NemoClaw」を投入し、企業は話題のAIエージェントを安全に利用できる。Nvidiaは多彩なオープンモデルを提供しており、世界最大のAIオープンソース・ソフトウェア企業となる。

出典: Nvidia

OpenClawの人気が爆発

世界でOpenClawが爆発的に広がっている。OpenClawとは個人向けのAIエージェントで、秘書のように生活や仕事をサポートする。ChatGPTのようなチャットボットとは異なり、OpenClawは情報を収集して整理するなど、実際にアクションを取り、指示された仕事を完遂する。OpenClawはPCやMacで稼働し、ファイルに格納しているデータを読み、タスクを実行する。OpenClawはPeter Steinbergerにより開発され、オープンソースとして公開され、これをダウンロードして、個人専用のAIエージェントを構築できる。OpenClawはインテリジェントが高く、人間のように自立的に稼働することから人気が沸騰した。OpenClawのダウンロード回数の伸びはほぼ垂直で、Linuxを遥かに追い越し、ヒットモデルとなった(下のグラフ)。

出典: Nvidia

OpenClawの危険性

OpenClawは極めて便利なAIエージェントであるが、同時に、極めて危険なツールでもある。OpenClawは利用者のPCのファイルを参照してタスクを実行するが、エージェントが間違って個人情報などを外部にリークする危険性がある。また、OpenClawは外部のサイトにアクセスし情報を収集するが、このプロセスでプロンプト・インジェクションなどサイバー攻撃を受けるリスクが極めて高い。このため、企業や一般消費者はOpenClawを使うのを控えてきた。

出典: Nvidia

NvidiaのNemoClaw

NvidiaはOpenClawのセキュリティを改良し、安全なAIエージェント「NemoClaw」を投入した(上の写真)。NemoClawはNvidia版OpenClawで、企業が高度なAIエージェントをビジネスで安全に使うことができる。また、操作性も大きく改良され、シンプルなコマンドでAIエージェントをセットアップできる。

NemoClawの構造

NemoClawはAIエージェントのフレームワークで、AIモデルを組み込み、外部のツールを使ってタスクを実行する(下の写真)。NemoClawはブレインとして、NvidiaのAIモデル「Nemotron」を搭載する。また、NvidiaはAIエージェントの実行ライブラリ「OpenShell」を投入した。OpenShellがガードレールの役割を果たし、NemoClawは安全なエリア(Sandbox)でビジネスをセキュアに実行する。

出典: Nvidia

エージェント基本ソフト

NvidiaはNemoClawを基本ソフトと捉え、AIエージェントを展開するうえでの戦略技術と位置付ける。一般に、基本ソフトとはWindowsやLinuxなどの制御システムを指すが、NemoClawはAIエージェントを稼働するためのフレームワークで、基本ソフトとしての属性を持つ。社会はAIエージェントやAGIに向かっており、この領域を誰が市場を制するのか、競争が白熱している。

Nvidaのオープンソース戦略

AIソリューションの開発においては対象市場が広大で、単一企業でこれをカバーすることはできない。Nvidiaはコミュニティと共同で、ここで開発されたオープンソースをベースに製品を構築する戦略を取る。Nvidiaは開発したAIモデルやツールをオープンソースとして公開し、企業や研究者が独自のモデルを開発することをサポートする。

Nemotron

基調講演でNvidiaのオープンソース最新モデルが登場した。「Nemotron」はNvidiaのファウンデーションモデルで、言語機能や推論機能を持ち、AIベースモデルとして使われる。最新モデルは「Nemotron 3」で(下の写真)、マルチモダル機能を搭載し、AIエージェントのブレインとして設計されている。

出典: Nvidia

Cosmos

「Cosmos」は「世界ファウンデーションモデル(World Foundation Model)」で(下の写真)、3D社会を理解する空間インテリジェンスを搭載する。3D空間の生成、フィジカルエンジン、シミュレーションなどの機能を持つ。

出典: Nvidia

GR00T

「GR00T」はロボット向けのファウンデーションモデルで、この基盤でヒューマノイド・ロボットを開発する(下の写真)。GR00Tは高度な推論機能を搭載し、汎用的にタスクを実行し、ロボットハンドを操作する。ロボットは開発環境「Isaac Lab」でスキルを学習する。

出典: Nvidia

Alpamayo

「Alpamayo」は自動車向けのソフトウェアで、クルマに搭載し自動運転車を構築する(下の写真)。Alpamayoは「Vision-Language-Action (VLA)」モデルを採用し、ビジョンと言葉を入力し、AIがこれをアクション(クルマの操作)に変換する。オープンソースの自動運転車の開発が急進すると予想される。

出典: Nvidia

BioNemo

「BioNemo」はバイオロジー向けのプラットフォームで、新薬開発などで使われる。BioNemoは分子構造を理解し、新しい分子を生成し、物質の特性をシミュレーションする機能を持つ(下の写真)。次の大きなブレークスルーはAIバイオロジーで起こるといわれている。

出典: Nvidia

Earth-2

「Earth-2」は気象を予想するためのAIモデルとなる(下の写真)。天気予報はスパコンで物理現象の偏微分方程式を解く手法で実行される。これに対し、Earth-2は地球のデジタルツインを使い、気象状況をシミュレーションし、気候や天気を高精度で予測する。

出典: Nvidia

リキャップ

基調講演の最後に、プレゼンテーションを総括する「Recap」が上映された(下の写真)。ヒューマノイドとJensen Huangロボットが楽器を演奏し、講演の内容を音楽に載せて吟じた。この曲を聞くことで講演概要を理解できる。今年のGTC基調講演はエンターテイメントの色彩が濃く、柔らかなムードで進行した。

(ビデオのリンク:https://www.youtube.com/watch?v=aDT9bBt9HxM)

出典: Nvidia

AIがセキュリティ企業の製品を置き換える!?Anthropicはソフトウェアのセキュリティを強化する機能「Claude Code Security」を公開、AIがコードベースをスキャンし脆弱性を検知

Anthropicはソフトウェアのセキュリティを強化する機能「Claude Code Security」をリリースした。これは、コーディング・エージェント「Claude Code」に搭載された機能で、コードベースをスキャンしてセキュリティの脆弱性を洗い出す。また、Claude Code Securityは、セキュリティホールを改修するためのコードを生成する。既に、AnthropicはClaude 4.6でオープンソースをスキャンして、500件のセキュリティホールを検知している。Claude Code Securityによりセキュリティ製品が不要になり、主要セキュリティ企業の株価が一様に下落した。

出典: Anthropic

Claude Code Securityとは

「Claude Code Security」はコーディング・エージェント「Claude Code」に実装されている。Claude Codeの初期画面で「Scan Code」のボタンをクリックして起動させる(下の写真)。Claude Code Securityはコードベースをスキャンしてセキュリティの欠陥や弱点(脆弱性)を検知して、これを修正するための修正コード(パッチ)を生成する。エンジニアがこれを検証してソフトウェアに適用するプロセスとなる。Claude Code Securityはベータ版として一部の研究者向けに公開され評価作業を進めている。

出典: Anthropic

従来のセキュリティ手法

コードベースをスキャンしてセキュリティの脆弱性を検知するツールは幅広く使われている。「SonarQube」や「Checkmarx」などがその代表で、コードベースをスキャンして安全性に関する問題点を見つけ出す(下の写真)。これらは開発中のコードベースを検証し、セキュリティに関する問題点を洗い出すために使われる。その手法は「Static Application Security Testing」と呼ばれ、事前に設定したルールに準拠してセキュリティホールを検知する仕組みとなる。

出典: SonarQube

Claude Code Securityの手法

これに対し、Claude Code SecurityはAIモデルをベースとし、インテリジェントな手法でセキュリティの脆弱性を検知する。Claude Code Securityは人間のようにコードを読み、その構造や意味を理解する。これにより、コンテクストの視点から問題点やエラーを見つけ出す。シンタックスにエラーがなく、正常にコンパイルでき、スペック通り機能するコードでも、コードのロジックを検知し問題点を見つけ出す。

Claude Code Securityが脆弱性を検知した事例

EコマースサイトでClaude Code Securityがセキュリティホールを検知した事例(下の写真)。このサイトはハッカーがデータに攻撃命令「Command Injection」を挿入しシステムの制御を奪う脆弱性がある。コードが外部ウェブサイトのデータを読み込む構造となっており、ハッカーはデータにShell Command(基本ソフトを操作する命令)を挿入すると、このコマンドが実行されEコマースサイトの制御を奪われる。

出典: Anthropic

プルリクエストとマージ

Claude Code Securityはセキュリティの脆弱性を埋めるためにパッチを生成する。このパッチをそのままソフトウェアに適用するのではなく、人間がこれを検証して、正しいことを確認して実施するプロセスとなる。ソフトウェア開発の観点からは、Claude Code Securityが修正コードを生成して、チームメイト(人間)にこの検証を依頼する。これは「プルリクエスト(Pull Request)」と呼ばれ、この過程をClaude Code Securityが担う。人間がリクエストされたコードを検証し、正しいことを確認して、メインのコードに「マージ(Merge)」するプロセスとなる。最終判断はあくまで人間で、修正コードの責任は人間が担う。(下の写真、Claude Code Securityが生成したパッチ。上述の「Shell Command」を実行する命令が消去され、ハッカーは悪意あるコマンドをインジェクトしても、それはテキストとして処理され実行されない。)

出典: Anthropic

セキュリティ企業の株価下落

AnthropicがClaude Code Securityをリリースした直後に、米国の主要セキュリティ企業の株価が下落した(下のグラフ)。セキュリティ大手のCrowdStrikeは8%、Zscalerは11%、下落した。現行のセキュリティ製品はルールベースで脆弱性を検知するが、Claude Code Securityは人間のようにコンテンツを理解してセキュリティホールを埋める。投資家の間で現行モデルがClaude Code Securityに置き換えられるとの懸念が広がっている。

出典: SeekingAlpha

セキュリティ企業の反論

これに対し、セキュリティ企業はClaude Code Securityは市場の一部をカバーするだけで、その影響は限定的であると反論している。セキュリティの対象分野は広く、Claude Code Securityは「Application Security」に区分される。これは、ソフトウェアなどアプリケーションのセキュリティを対象とする。この他に、サイバー攻撃をリアルタイムで検知する「Endpoint Security」、ファイアーウォールなど「Network Security」、認証管理など「Identity Management」など幅広い分野でセキュリティ製品が活躍している。Claude Code Securityは製品ポートフォリオのごく一部で、影響の範囲は限られると主張する。

シンメトリックな脅威

サイバー攻撃とその防御は「シンメトリックな脅威(Symmetric Threats)」と呼ばれる。サイバー攻撃ではAIを悪用し、システムの脆弱性を見つけ出し、そこから侵入してシステムの制御を奪う。これに対し、防御側はAIを活用し、システムをスキャンして脆弱性を洗い出し、問題個所を修正する。また、AIでサイバー攻撃のシグナルを検知し、侵入を食い止める。攻撃側と防御側で技術競争が進む中、防御側は攻撃者より一歩先行することで攻撃を食い止める。このため、高度なAIセキュリティを開発することが国家安全保障にとって至上命題となる。

中国企業がAnthropicのAI技術を盗用、DeepSeekなどが「知識蒸留」という手法でClaudeの推論機能を抽出、短期間で高度なAIモデルを開発できた理由が判明

Anthropicは中国企業からAIモデルの知識を盗み出す攻撃を受けたことを明らかにした。DeepSeekなど中国企業は「知識蒸留(Knowledge Distillation)」という手法で、Anthropicの先進モデル「Claude」から推論機能などを抽出した。米国政府はGPUプロセッサを中国に輸出することを制限しているが、中国企業はClaudeの知識を抽出することでこの規制を迂回した。攻撃手法は巧妙で、中国企業は巨大ネットワークを構築し、多数のアカウントから発信元情報(IPアドレス)を偽り、Anthropicのサーバにアクセスした。DeepSeekが短期間で高機能なAIモデルを開発し米国市場に衝撃を与えたが、Anthropic Claudeのスキルを盗用することでこれを達成したことが判明した。

出典: Anthropic

攻撃の概要

Anthropicは2月23日、中国企業DeepSeek、 Moonshot、MiniMaxから「知識蒸留(Knowledge Distillation)」という手法で大規模な攻撃を受けたことを発表した。これら企業は、Anthropic Claudeから不正な手法で知識を蒸留(Illicit Distillation)し、AIモデルの開発で利用した。知識蒸留はAI開発で一般的に使われる技法であるが、他社の技術を抽出することは違法行為となる。

知識蒸留とは

知識蒸留は大規模モデルのスキルを抽出し、それを小規模モデルに転移し、短時間・低コストでAIモデルを開発する手法となる(下の写真)。AI開発で幅広く使われており、Anthropicのケースでは、ハイエンドモデル「Opus」の知識を知識蒸留の手法でローエンドモデル「Haiku」に転移した。HaikuはOpusの多くのスキルを修得し、モデルの開発を短時間・低コストで達成した。

出典: Jianping Gou et al.

不正な知識蒸留

これに対し中国企業三社は、知識蒸留の手法を、先進技術を盗むために悪用した。中国企業が標的とした先進技術はClaudeのAIエージェントに関連するもので、推論機能、コーディング機能、ツールを使う機能などが抽出された。攻撃の規模は巨大で、24,000の不正アカウントから1600万回のアクセスを受けた。不正な知識蒸留はAnthropicの使用契約に違反するだけでなく、米国の輸出規制にも抵触する。

中国への輸出規制

米国政府はNvidia GPU最新モデルなどAIプロセッサを中国に輸出することを規制している。中国企業がGPU最新モデルで高度なAIを開発することを制限することを目的とする。同時に、米国政府は中国から米国のAIモデルにアクセスすることを禁止している。プロセッサだけでなくソフトウェアに関しても、中国企業が使うことを禁じている。中国企業はGPU最新モデルが使えない環境で、Anthropic Claudeの知識を盗用することで、短期間で高度なモデルを生成した。

中国企業三社の攻撃手法

中国企業からの攻撃は大規模で、巧妙なネットワークを構築することで、Anthropicの防衛網を突破した。また、中国企業三社の攻撃対象技術は異なり、開発している製品に必須な技術を抽出したことが分かる。企業ごとの攻撃の手法は:

  • DeepSeek:15万回のアクセスで推論機能を抽出  [高度な推論機能を持つ「DeepSeek-R1」をリリースしAI市場に衝撃をもたらした](下の写真)
  • Moonshot AI:340万回のアクセスでエージェント機能とコーディング機能を抽出  [大容量メモリ(コンテキストウィンドウ)を搭載するモデル「Kimi」を開発]
  • MiniMax:1300万回のアクセスでコーディング機能とツールを使う機能を抽出  [パーソナリティやマルチモダル機能に特徴がある個人向けのAIモデル「Talkie」を開発]
出典: DeepSeek

DeepSeekのケースを検証すると

DeepSeekの攻撃手法を検証すると中国企業のAI開発戦略の特殊性が浮かび上がる。DeepSeekの攻撃は三つの要素から構成され、短期間で高度な推論モデルを開発できた理由が分かる。

  • 推論スキルの抽出:攻撃の目的は知識蒸留でClaudeに15万回アクセスしてスキルを盗み出した。DeepSeekのターゲットは推論機能で、Claudeに特殊なプロンプトを入力し、Claudeが思考する過程「Chain of Thoughts」を入手した。このChain of ThoughtsをDeepSeek R1に入力することで推論機能をコピーした。
  • 同期型トラフィック:DeepSeekは巧妙な手法でAnthropicの防御システムを掻い潜った。単一のアカウントから大量のプロンプトを発信すると、攻撃のシグナルと判定され、Anthropicはトラフィックを遮断する。このため、多数のアカウントから構成されるネットワーク「Hydra Network」を構築し、アカウント間でClaudeへのアクセス時間を調整し、ロードバランシングによる攻撃を実行した。単一のアカウントからのアクセス時間を短くし、作業を持ち回りで実行した。
  • 中国政府の検閲:中国政府はAIモデルが中国共産党の思想に準拠することを求める。DeepSeekは天安門事件など不都合な情報を出力することは禁止されている。しかし、出力を抑制すると利用者から知識が不十分と批判される。そのため、DeepSeekはClaudeに最適な解答モデルを生成することを求め、この回答をベースにDeepSeekを教育した。

知識蒸留の危険性

Anthropicは、中国企業がClaudeの知識をコピーすることで、基礎研究のフェイズをスキップして、短期間に米国モデルに追い付くことができる、と警鐘を鳴らした。更に、Claudeのスキルが抜き取られると、中国のAIモデルが高度なインテリジェンスを持ち、それが悪用されると重大なリスクが発生する。AnthropicはClaudeが悪用されてCBRN(Chemical, biological, radiological, nuclear)兵器を開発することを抑制するため、ガードレールを設け兵器開発に関する回答をブロックしている。しかし、中国企業がガードレールを設けないでそのまま使うと、CNRN兵器の開発に繋がり、世界の安全保障が脅かされる。

OpenAIの議会報告書

OpenAIはこれに先立ち、米国連邦議会下院の委員会に、中国企業による知識蒸留に関する報告書を提出した。OpenAIは、DeepSeekが知識蒸留の手法でOpenAI GPT-4やo1からスキルをコピーしたと述べ、中国企業は短期間で度高度な推論モデルを生み出したと結論付けた。また、DeepSeekは第三者のプロキシサービス(「Obfuscated Proxy」、デバイスが米国内にあるよう装う手法)を使ってOpenAIの制限を掻い潜った。OpenAIは中国からのアクセスを禁止しするためジオブロッキングを導入しているが、Obfuscated Proxyを使うことでこれを突破した。

出典: Google Gemini Pro Image

AIモデルへのサイバー攻撃は多彩

AIモデルはサイバー攻撃への耐性が低くセキュリティ強化が課題となってきた。AIモデルへのサイバー攻撃は四種類に区分され(上の写真)、知識蒸留は「Model Extraction」という攻撃手法となる。AIモデルに特殊なプロンプトを入力し、アルゴリズムの中身を盗み出す攻撃となる。この他に、AIモデルは教育と実行の過程でサイバー攻撃を受ける。前者は教育データを汚染する手法で、「Poisoning Attacks」と呼ばれ、開発されたモデルは正常に稼働しない。後者は実行時に、AIモデルに悪意あるデータを入力するもので「Evasion Attacks」と呼ばれ、システムを誤作動させる。この他に、AIモデルのバイアスや重みを改ざんし、システムを誤作動させる「Model Tempering」という攻撃がある。AnthropicとOpenAIだけでなく、高度なAIモデルを運用している企業はサイバー攻撃を受ける可能性が高く、セキュリティを強化することが喫緊の課題となる。