AI News HubLIVE
サイト内リライト6 分で読了

アメリカが中国のオープンソースAIを受け入れるに至った経緯

オープンAIとクローズドAIの議論は、学術的なものからセキュリティチームにとって緊急の意思決定へと変わりました。米国の政策の矛盾、コスト圧力、そしてGLM-5.2のような競争力のあるオープンウェイトモデルの台頭が、企業を中国のオープンソースAIへと駆り立て、重大なセキュリティ上の影響をもたらしています。

ソースHacker News AI著者: smurda

過去2年の大半において、オープンAIとクローズドAIの議論は主に経済的・イデオロギー的なものでした。クローズドの研究所は、フロンティア能力は自由に配布するには危険すぎると主張し、オープン派は透明性、コスト、制御がわずかな能力リードよりも価値があると主張しました。実務者はその議論を傍観せざるを得ませんでした。なぜなら、日常のセキュリティ業務ではクローズドフロンティアモデルが明らかに優れており、オープンモデルは常に一歩か二歩遅れていたからです。

その差は縮まり、議論は学術的なものではなくなりました。現在、CISO、セキュリティエンジニア、プラットフォームチームは、両者のセキュリティ影響を明確に判断する枠組みがないまま、リアルタイムのアーキテクチャ上の意思決定を迫られています。本稿では、2026年半ばにどのようにこの状況に至ったかを振り返り、私たちが総じて過小評価している点、つまりオープン対クローズドの選択が防御者と私たち全員が依存するソフトウェアサプライチェーンにとって実際に何を意味するのかに焦点を当てます。

米国の政策がどのように自らを窮地に追い込んだか まず戦略目標から始めましょう。目標と行動が重要な点で乖離しています。2025年7月、米国政府は大統領令14320号「米国AIテクノロジースタックの輸出促進」を発令しました。明確な野心は、米国のAIハードウェア、モデル、標準、ガバナンスを世界中の同盟国やパートナーにとってのデフォルトスタックにすることでした。米国が中国とのAI競争に勝つためには、米国スタックを輸出し、世界にそれを基盤に構築させることは一貫した方法でした。

しかし、その後急転直下の展開となりました。2026年6月、AnthropicはFable 5とMythos 5をリリースし、約3日後に米国政府は国家安全保障と輸出管理権限を理由に、同社に外国からのアクセスを遮断するよう命じました。報道によると、信頼できるパートナー(Amazonとされる)からの脱獄報告が、モデルが無制限のサイバーツールに転用される可能性を示唆したことがきっかけでした。Anthropicは脱獄の深刻さに異議を唱え、不透明なプロセスを批判しました。約18日後に制限は解除され、モデルは復旧しました。

フロンティアモデルをゲートで制限・禁止しても、その基盤となる能力が脅威の状況から取り除かれたわけではありません。むしろ、米国はその能力が使用されているのを監視する力を失い、欧州全域の同盟国に、米国AIスタックに依存することは政治リスクを伴うという具体的な理由を与えました。これは大統領令14320号が目指したことの正反対です。フランスとオランダが数日以内にAI主権を求める声を強めた時点で、輸出戦略は自らを打ち消していました。

人々をオープンウェイトに駆り立てる静かな力 禁止令は見出しを賑わせますが、それだけがオープンソースAIへの関心を再燃させているわけではありません。いくつかの構造的な力が同時に収束しており、そのほとんどは地政学とは無関係です。

第一はコストであり、実務者が最も直接的に感じています。2026年初頭の短期間、大企業におけるAI採用の最も顕著なシグナルはトークン消費の増加でした。しかし、それは劇的に反転しました。TechCrunchなどの報道によると、財務チームは現在その数値を下げようとしています。Amazonは2026年5月末に内部の開発者トークン消費ランキングを廃止したとされ、内部の方針は「AIを使うためにAIを使うべきではない」というものでした。Uberは2026年のAIコーディングツール予算を4か月で使い切り、従業員1人あたり月額1,500ドル、ツールごとの上限を設定したと言います。

エージェントワークフローは標準的なチャットインタラクションの約5倍から30倍のトークンを消費するため、すべてを従量制のフロンティアAPIで処理する経済性は、大規模組織にとって非現実的になりました。セキュリティの分野では、大量の自動分析を実行することが多く、トークン単価が急速に累積します。Gary Marcusが「トークン最大化」から「トークン最小化」への移行を指摘するのは、雰囲気ではなく予算の現実です。また、AIによって導入されたセキュリティ問題のすべてにAIで対処するというテーマにも冷水を浴びせます。

第二の力は、フロンティア研究所自身が安全性の名の下に自社製品に摩擦を加えていることです。Anthropicは2026年7月にFable 5を再配備する際、新しい分類器レイヤーを追加しました。Anthropicの発表によると、Fable 5リクエストが新しいサイバー分類器に引っかかると、Claude Opus 4.8にルーティングされ、ユーザーに通知されます。Anthropicはこのトレードオフを正直に認めており、分類器が日常的なコーディングやデバッグ中に無害なリクエストをより頻繁にフラグすると述べています。セキュリティエンジニアとして正当な脆弱性研究やエクスプロイトに近いコードのデバッグをしている場合、安全マージン分類器があなたの正当な作業をリスクと判断し、タスク途中で別のモデルにダウングレードされる可能性が十分にあります。これはAnthropicにとって合理的な安全上の決定であり、実務者にとっては真の能力税です。まさに、完全に制御可能なセルフホスト型モデルが魅力的に見える摩擦です。

私が参加しているセキュリティ研究者やリーダーのプライベートグループチャットでは、分類器が正当なセキュリティ作業を低下させることに不満を感じる声で溢れています。

第三の力は、すべてを変えるものです。オープンウェイトが追いついたのです。2026年6月、Z.aiはGLM-5.2をリリースしました。約7440億パラメータの混合専門家モデルで、アクティブパラメータは約400億、100万トークンのコンテキストウィンドウ、MITライセンスです。これはオープンウェイトモデルの中でArtificial Analysis Intelligence Indexで1位、全体で4位です。コーディングベンチマークでは、SWE-bench ProでGPT-5.5を上回り、FrontierSWEでClaude Opus 4.8に1ポイント差まで迫り、コストは約6分の1です。主流のコーディングおよびエンジニアリング作業において、GLM-5.2は実質的にクローズドフロンティアと同等です。差が顕著に開くのは、最も難しい超長期間タスクに限られます。オープンオプションが同等のパフォーマンスで、6倍安く、セルフホスト可能で、政府の命令で停止されない場合、その魅力は明白です。

業界のシグナルも積み重なっています。PalantirのAlex Karpは2026年7月1日のCNBCインタビューで、フロンティア研究所のトークンベースの価格設定モデルは「完全に間違っている」と述べ、オープンウェイトモデルを、計算、モデル、データ、アルファを制御したい顧客への答えと位置づけました。また、国が国家安全態勢をシリコンバレーのコンセンサスビューに外部委託することを本当に望むのかと問いかけ、中国の動きの速さを過小評価しないよう警告しました。Axiosの報道によると、マイクロソフトはCopilot内の低コストオプションとして、DeepSeek V4または別のオープンモデルのファインチューニング版でAzureホストされたものを検討しています。これはまだ最終決定ではありませんが、「オープンウェイトは趣味人向け」という見方が死んだことを示しています。

政治的なシグナルも同様に顕著です。元米国AI皇帝David Sacksは、All-Inポッドキャストの最近のエピソードで、オープンソースAIを直接擁護し、オープンソースは中国との競争において米国の最も強力なカードの一つであり、負債ではないと主張しました。彼はKarpの見解を支持し、企業が実際に望むのは計算、モデル、データの制御であり、フロンティア研究所に独自知識を提供することは、それらの研究所が自社の顧客と競合する垂直アプリケーションを立ち上げる中でリスクがあると指摘しました。かつて米国AI政策の中心にいた人物が今やオープンソースを戦略的資産として公に位置づけることは、政治的中心の有意義なシフトです。

通常の直感を覆すセキュリティ議論 ここでセキュリティ実務者は直感を更新する必要があります。反射的な反応は、クローズドでゲートされたモデルはアクセスが制御されているため安全であるというものです。Joshua Saxeは著書で、GLM-5.2こそが真のセキュリティ緊急事態であるというより鋭い議論を展開しており、私はそのメカニズムについて彼が正しいと考えています。攻撃者がクローズドモデルを使用する場合、プロバイダーのインフラ上で、監視下にあり、トラスト&セーフティチームが不正利用を監視している環境で操作します。これは仮説上の利点ではありません。まさにこの監視により、Anthropicは2025年11月に初めて記録された大規模AI組織サイバースパイ活動を発見し、中国の国家支援グループによるものと高い確信を持って特定しました。攻撃者はClaude Codeを脱獄し、約30のターゲットを実行し、推定80〜90%の活動をモデルに自律的に処理させ、人間はわずかな決定点でのみ介入しました。Anthropicはそれを捕捉し、マッピングし、アカウントを禁止し、被害者に通知しました。なぜなら、その活動は監視されたAPIゲート付きインフラ上で実行されていたからです。

同じ活動をセルフホストのオープンウェイトモデルで実行してみてください。使用ログはなく、トラスト&セーフティチームもなく、禁止するアカウントもなく、トリガーされる検出もありません。能力はクローズドモデルを制限しても消えません。それは闇に移り、誰も監視していない環境のH200ラック上に移動します。したがって、現在の制限は攻撃者よりも防御者に害を与えます。なぜなら、防御者は最も優れた監視ツールを失う一方、攻撃者は単に統制のないオプションに移行するからです。結論は、フロンティアアクセスを制限するのではなく、防御者とセキュリティベンダーにおけるAI導入を加速することを優先すべきであり、オープンウェイトのジーニーはすでに瓶から出てしまっているということです。