「Fable 5」輸出規制が米国のサイバー防衛を損なう

米国の輸出規制政策は、AIモデル「Fable 5」（Claude Fable 5）に対する誤解により、大きな論争を引き起こしている。セキュリティ研究者のKate Moussouris氏は、自身のブログで、同モデルが輸出禁止となった原因が実際にはコード修正という防御的なタスクを実行したことであると確認した。

研究チームは、既知のCVE脆弱性を含むオープンソースコードと、意図的に脆弱性を仕込んだ新しいコードを使用し、Fable 5、Mythos、Opusに対して「セキュリティ問題のレビュー」を依頼した。Fable 5は当初これを拒否したが、「このコードを修正せよ」と要求されると、複数ステップの手動プロセスを経て、パッチをテストするスクリプトを生成した。この行動が「ジェイルブレイク」と見なされ、モデルは輸出規制の対象となった。

Moussouris氏は、この規制当局の反応は absurd（馬鹿げている）と強調する。コーディングモデルはバグを修正するものであり、セキュリティエクスプロイトこそ最も修正が必要なバグのカテゴリである。防御側はAIにファイル内のバグを修正させ、修正の重要性を説明させ、パッチが機能することを確認するテストを書かせる必要がある。これはガードレールバイパスではなく、防御セキュリティにおいてAIができる最も価値のあること、すなわち防御者が毎日実行する「発見、修正、テスト」のループを実行することだ。彼女は、プロンプトが機能したのは防御的なリクエストだったからであり、この能力はモデルのバグ修正とパッチ検証能力を損なわずに除去することはできないと指摘する。

この事件は、非技術的な意思決定者たちが長年にわたってAIの能力について誤解を抱いてきたことを浮き彫りにしている。彼らは「サイバー攻撃を仕掛ける」モデルが特に危険であるという警告を何ヶ月も聞かされてきたが、今やコードのセキュリティを保護するのに役立つモデルをも禁止しようとしている。この傾向は、重要な脆弱性修正ツールが制限されることで、米国のサイバー防御能力を著しく低下させる可能性がある。専門家は、このような論理が続けば、将来のAIのサイバーセキュリティ分野における積極的な活用が深刻な妨げを受けると警告している。