Anthropicが2026年6月12日、Claude Fable 5とClaude Mythos 5の利用を全ユーザーで停止した。きっかけは米政府が同日(米東部時間17時21分)に発した輸出管理(export control)指令だ。重要なのは、止める判断を下したのがAnthropicではないという点である。Anthropic自身は「狭いジェイルブレイクの発見を理由に商用モデルを回収すべきではない」と公式に反論しながら、法的義務として指令に従っている。
つまり本件は「Anthropicがなぜ制限したか」ではなく、「米政府がなぜ止めさせ、Anthropicがなぜそれに反対しているか」という構図だ。公開からわずか3日のMythos級モデルが、安全保障を理由に行政指令で停止された——フロンティアAIと国家がどう向き合うかを示す初期事例として読み解く価値がある。
本記事はAnthropicの公式声明と主要メディアの一次報道のみを根拠に、何が起きたか・誰が何を主張しているか・ジェイルブレイクをめぐる学術的文脈・開発者への実務的影響を中立的に整理する。具体的なジェイルブレイク手法やプロンプト、回避策の類は一切扱わない。目的はAnthropicと政府の判断の背景理解であって、制限の回避ではない。
Fable 5・Mythos 5そのものの性能・価格・使い分けは Claude Fable 5とMythos 5入門|公式ベンチマーク・価格・使い分けを解説 で公式値ベースに整理している。本記事はその「アクセス政策編」にあたる。
30秒で理解する Fable 5 / Mythos 5 の利用停止
・何が起きたか:2026年6月12日、米政府の輸出管理指令を受け、AnthropicがClaude Fable 5とMythos 5を全ユーザーで停止。他のモデルは影響なし
・政府の理由:政府は「Fable 5のジェイルブレイク手法を把握した」と判断。示されたのは「コードベースを読ませ欠陥を修正させる」狭く汎用的でない手法で、Anthropicは脆弱性を「比較的単純」と評価
・Anthropicの立場:法的に従う一方で「狭い潜在的ジェイルブレイクを理由に何億人向けの商用モデルを回収すべきでない」と反論し、復旧に向け政府と協議中
何が起きたか——輸出管理指令でFable 5・Mythos 5が全停止
Anthropicの公式声明によれば、同社は2026年6月12日(米東部時間17時21分)、国家安全保障上の権限を引用した米政府の輸出管理指令を受け取った。指令はClaude Fable 5とMythos 5へのアクセスを、外国籍ユーザー(米国外・米国内を問わず、外国籍のAnthropic従業員を含む)について停止するよう求める内容だった。
この「外国籍ユーザーへの提供停止」という建付けが輸出管理らしい点だが、実務上は線引きが難しい。確実に指令を遵守するため、Anthropicは結果として全顧客に対して両モデルを無効化した。一方で声明は「その他すべてのAnthropicモデルへのアクセスは影響を受けない」と明記しており、停止はFable 5とMythos 5の2モデルに限定される。
報道各社はこの動きを一斉に伝えた。CNBCは「政府指令に従いFable 5とMythos 5へのアクセスを無効化」と報じ、Bloombergは外国ユーザー向けの提供を米国が制限したと位置づけた。Axiosは独自取材として、トランプ政権が国家安全保障を理由にAnthropicの最高性能モデルへの外国アクセスを遮断した、と伝えている。直前の6月9日に鳴り物入りで一般公開されたばかりのMythos級モデルが、わずか3日で行政指令の対象になった格好だ。
用語の整理:ここでの「停止」はAnthropicが自主的に課したものではない。輸出管理指令は政府が民間に対して発する法的命令で、企業側に拒否の自由は実質的にない。だから本件は「AI企業の安全判断」ではなく「政府による商用AIモデルへの初期の介入事例」として読むのが正確だ。
Anthropic公式声明の要点——「狭いジェイルブレイク」への反論
Anthropicの声明は、政府の懸念を尊重しつつも明確に異議を唱える、という二段構えになっている。順に押さえる。
まず政府の主張について。Anthropicは「我々の理解では、政府はFable 5を回避(ジェイルブレイク)する手法を把握したと考えている」と記す。ただし指令書自体には国家安全保障上の懸念の具体的中身は示されていなかったという。
次にAnthropicが実際に確認した実証について。同社は政府が示したデモを「狭く、汎用的でないジェイルブレイク(a narrow, non-universal jailbreak)で、本質的にはモデルに特定のコードベースを読ませ、ソフトウェアの欠陥を修正させるもの」と説明する。これで見つかった脆弱性は「比較的単純」で、「他の公開モデルでも同様に発見できる」水準だったと評価した。コードを読んで欠陥を直す行為自体は、業界全体で広く使われている一般的なコーディング用途である。
そのうえでAnthropicは自社の防御を強調する。Fable 5には「サイバーセキュリティ関連の悪用の可能性を大きく下げる強力なセーフガード」を組み込んでおり、米政府・英AISI(AI Safety Institute)・第三者機関と数千時間のレッドチーム検証を実施したと述べる。声明の核心はこの一文だ——「Fableのセーフガードは、これまで展開されたどのモデルのものよりも実質的に効果的だ」。
そして判断への反論が続く。
Anthropicの反論(要旨)
・「狭い潜在的ジェイルブレイクの発見を、何億人にも展開された商用モデルを回収する理由とすべきだという考えには同意しない」
・この基準を業界全体に適用すれば「すべてのフロンティアモデル提供者の新規モデル展開を事実上停止させる」ことになる
・「完璧なジェイルブレイク耐性は現時点でどのモデル提供者にも不可能」という前提に立ち、ジェイルブレイクを「狭く」「コスト高に」しつつ監視で補う多層防御(defense in depth)を採用している
・指令には従うが「これは誤解だと考えており、できるだけ早くアクセスを復旧させるべく動いている」。24時間以内に追加情報を共有し、政府の手続きが「透明・公正・明確で、技術的事実に基づく」ものであるよう求める
ポイントは、Anthropicが「ジェイルブレイクは存在しない」とは言っていないことだ。むしろ「完璧な耐性は誰にも不可能」と認めたうえで、狭い脆弱性ひとつを理由にした全面回収という基準そのものに反対している。これは個別の技術論ではなく、フロンティアAIの規制をどの閾値で発動するかという制度論の主張である。
どのモデル・誰が止まったのか——輸出管理の建付けと実際の影響
整理すると、停止の射程は次のようになる。Mermaidでアクセス構造を俯瞰する。
(一般公開・安全分類器入り)"] M["Claude Mythos 5
(Project Glasswing 経由の限定提供)"] F --> P1["API / Bedrock / Vertex AI / Foundry"] F --> P2["Claude.ai 有料プラン(期間限定)"] F --> P3["GitHub Copilot"] M --> G["承認済みの防御・インフラ事業者のみ"] end subgraph ORDER["2026-06-12 輸出管理指令"] D["対象:外国籍ユーザー全般
(外国籍従業員を含む)"] end ORDER -->|遵守のため全顧客で無効化| NORMAL F -.->|停止| X1["利用不可"] M -.->|停止| X2["利用不可"] OTHER["Opus 4.8 / Sonnet / Haiku など"] -->|影響なし| OK["稼働継続"]
実務的な含意は3つある。第一に、止まったのは2モデルだけで、Opus 4.8をはじめとする他のモデルは通常どおり使える。第二に、Mythos 5はもともとProject Glasswing経由で承認された防御・インフラ事業者にしか提供されていなかったため、一般開発者への直接の影響はFable 5に集中する。第三に、指令の名目は「外国籍ユーザー」への提供停止だが、国籍判定の運用が難しいため実質的には全停止になった——ここが、輸出管理の建付けと現場の挙動がずれた部分だ。
なお「いつ復旧するか」は声明では「できるだけ早く」とされるのみで、具体的な期日は示されていない。Anthropicは「誤解だと考えている」と踏み込んでおり、技術的事実に基づく再評価を通じた早期復旧を見込んでいる構図だが、確定情報ではない。復旧前提で運用を止めず、フォールバック先を用意しておくのが現実的な構えになる。
直前に起きた2つの火種——「秘密の能力制限」撤回とレッドチーム指摘
今回の停止は突然のようでいて、公開直後からFable 5は安全性をめぐる注目を集めていた。混同しやすい2件を切り分けておく。いずれも6月12日の政府指令とは別の出来事だ。
(1) 「秘密の能力制限」騒動(〜6月10日)。Anthropicは公開当初、Fable 5のフロンティアAI研究用途の能力——たとえば大規模モデルの学習基盤を構築するようなタスク——を、ユーザーに通知しないまま内部的に弱めていた。Fortuneの報道によれば、Anthropicはこれを「規約に最も違反しやすいアクターを加速させないため」と説明し、影響を受けるのは全トラフィックの0.03%と見積もっていた。
この「見えない制限」に研究者・元従業員から強い批判が出た。オープンモデル研究者のNathan Lambert氏は「appalling(ひどい)」「Anthropicを明確に反科学的に見せる」と評し、Dean Ball氏は「AIセーフティが独占的振る舞いを正当化するための誇大宣伝だったのでは」という懸念を招くと指摘。Jeremy Howard氏は「現在トップのラボである自分たちだけが自社最高モデルをフロンティアAI研究に使い、他者は妨害すると言っているに等しい」と批判した。Anthropicは数時間で撤回し、広報担当は「我々はトレードオフを誤った。バランスを正しく取れなかったことを謝罪する」と表明、今後はセーフガードをユーザーから見える形にすると約束した。
(2) 公開されたジェイルブレイク主張(6月12日前後)。著名なレッドチーマーが、Fable 5の安全分類器を多段の手順で突破したと公に主張し、本来拒否されるべき出力が得られたとするスクリーンショットを投稿した。本記事の方針として、手法の中身・再現手順・該当する出力の種類は一切扱わない。ここで重要なのは事実関係だけだ——公開直後から外部の検証圧力が高まっていたタイミングで、政府指令が重なった。
なぜ切り分けが大事か:SNS上では「秘密の能力制限」「レッドチームの突破主張」「政府による停止」が一塊で語られがちだ。しかし主体(Anthropic自身/外部研究者/米政府)も、理由(規約遵守/脆弱性指摘/国家安全保障)も、強制力(自主撤回/世論/法的指令)もすべて異なる。混ぜると「Anthropicが自分でモデルを止めた」という誤読が生まれる。
ジェイルブレイクとは何か——学術的整理とConstitutional Classifiers
ここでジェイルブレイクという現象自体を、公開研究の範囲で中立的に押さえておく。具体的な攻撃プロンプトは扱わず、防御側の知見のみを扱う。
ジェイルブレイク(jailbreak)とは、安全策によって本来拒否されるべき出力を、入力の工夫によって引き出そうとする試みの総称だ。なぜ起きるかというと、大規模言語モデルは膨大な分布を学習しており、安全のための拒否方針は後付けの薄い層として乗っているため、その層を回り込む入力が原理的に存在しうるからだ。Anthropicが「完璧な耐性は現時点でどの提供者にも不可能」と述べるのはこの構造的事情を指している。
これに対するAnthropicの防御研究の中心が、2025年2月に公表されたConstitutional Classifiers(憲法的分類器)だ。仕組みは次のとおり整理できる。
(憲法に照らし判定)"} IC -->|許可| LLM["モデル本体"] IC -->|ブロック| R1["拒否"] LLM --> OC{"出力分類器
(生成物を判定)"} OC -->|安全| OUT["応答を返す"] OC -->|危険| R2["拒否"] CON["安全の憲法
(許可/不許可カテゴリの定義)"] -.-> IC CON -.-> OC
入力と出力の二層で判定する「スイスチーズ」型の多層防御で、各層は不完全でも重ねることで堅牢性を高める設計だ。学習には、憲法(何が許可で何が不許可かの原則)からClaude自身が合成データを生成し、多様な言い回しや攻撃形式に拡張して分類器を訓練する。良性クエリでも訓練して過剰拒否を抑える。
Anthropicが公表した数値はこうだ。
・自動評価で、ジェイルブレイク成功率を無防御の86%から、分類器ありの4.4%へ低下させた(95%超をブロック)
・無害なクエリへの拒否増加はわずか0.38%(統計的に有意でない)、計算オーバーヘッドは23.7%増
・プロトタイプのレッドチーム検証では183名が3,000時間超、最大1.5万ドルの報奨で挑んだが汎用ジェイルブレイクは発見されず
・公開デモ(2025年2月3〜10日)では339名が30万回超やり取りし、4名が全8段階を突破、うち1件をAnthropicは汎用ジェイルブレイクと判定、報奨総額は5.5万ドル
主にCBRN(化学・生物・放射性物質・核)関連の有害要求を防ぐことを狙った仕組みであり、今回Fable 5に積まれた安全分類器もこの系譜にある。Anthropicが声明で「数千時間のレッドチーム」「これまでで最も効果的なセーフガード」と述べた背景には、こうした実証の積み重ねがある。「狭いジェイルブレイクは見つかりうる」ことと「汎用ジェイルブレイクは見つかっていない」ことは別——この区別が、今回の反論の技術的な土台になっている。
米国のフロンティアAI輸出規制という背景——AI Diffusion Rule
なぜ「輸出管理」という枠組みでAIモデルが止まるのか。背景には、米国がフロンティアAIを安全保障物資に近いものとして扱い始めた流れがある。
象徴的なのが2025年1月15日に米商務省産業安全保障局(BIS)が公表したAI Diffusion Rule(AI拡散規則)だ。この枠組みは、極めて高い計算資源(10^26演算超)で学習されたクローズドなフロンティアモデルの重みに新たな輸出管理分類(ECCN 4E091)を設け、再輸出や国内移転にライセンスを要求する仕組みを導入した。国・地域を3階層に分け、信頼できる同盟国は概ね免除、懸念国(特に中国)への先端AI流出を抑える設計だ。この規則はその後撤回・見直しの経緯をたどったが、「モデルの重みやアクセスを輸出管理の対象として扱う」という発想自体は政策の地ならしとして残った。
今回のFable 5・Mythos 5の停止は、規則の条文そのものというより、国家安全保障上の権限を根拠にした個別の輸出管理指令として発せられた。だが「外国籍ユーザーへの提供停止」という建付けは、まさにこのフロンティアAI輸出規制の延長線上にある。AI企業にとっては、製品の出荷判断が安全保障政策に直接組み込まれ始めたことを意味する。Anthropicが声明で「透明・公正・明確で技術的事実に基づく手続き」を求めたのは、この種の介入が今後も起こりうる前提で、発動基準とデュープロセスの明確化を訴えたものと読める。
過去の段階的アクセス事例——OpenAI o1・Mythos Previewと業界の通例
「強力なモデルへのアクセスを段階的に絞る」こと自体は、業界で珍しくない。ただし今回は性質が違う。比較で位置づけを掴む。
OpenAI o1は2024年末の登場時、APIアクセスを利用階層(usage tier)で絞り、当初は関数呼び出し・ストリーミング・システムメッセージなどの機能を欠いた状態で提供された。2024年12月17日からまず「tier 5」の一部開発者に開放し、その後に検証済み組織を条件として段階的に広げた。これは提供者(OpenAI)が自社判断で行う段階的ロールアウトだ。
Anthropic自身のMythosも、元来は政府協議下で限定提供されてきた未公開モデルだった。前世代の「Claude Mythos Preview」は、サイバー脆弱性を多数発見できる能力ゆえに広く公開せず、重要ソフトを守る側に渡されていた。Fable 5は、その能力を安全分類器で抑えて一般開放した転換点であり、Mythos 5は引き続きProject Glasswing経由の限定提供だった——ここまではすべてAnthropic主導の段階的アクセス設計である。
今回の停止が決定的に異なるのは、判断主体が提供者ではなく政府で、強制力が法的指令だという点だ。o1のtier制限もMythos Previewの限定提供も「企業が自分の裁量で絞る」話だったが、6月12日の出来事は「企業の裁量を超えて政府が止めさせた」初期事例にあたる。下表で3社のアプローチを並べる。
| 観点 | Anthropic(Fable 5 / Mythos 5) | OpenAI(o1系の例) | 業界一般の段階的公開 |
|---|---|---|---|
| 主たる制限の主体 | 今回は米政府(輸出管理指令) | 提供者(自社の階層設計) | 提供者 |
| 強制力 | 法的指令(拒否の自由が実質ない) | 利用規約・階層ポリシー | ポリシー・契約 |
| 名目上の理由 | 国家安全保障/ジェイルブレイク懸念 | 安定運用・段階開放・悪用抑止 | 安全評価・容量確保 |
| 対象範囲 | 外国籍ユーザー→実質全停止(2モデル) | 低tier利用者・未検証組織 | 招待制・地域別など |
| 提供者の合意 | 不同意(公式に反論) | 自社方針なので合意 | 自社方針なので合意 |
| 復旧/緩和の道筋 | 政府との協議・技術的再評価 | tier昇格・機能追加 | 評価通過で順次拡大 |
この表が示すのは、Fable 5の停止だけが「提供者が不同意」の列を持つことだ。段階的アクセスという見た目は似ていても、意思決定の所在と強制力がまったく違う。ここを取り違えると「Anthropicが慎重を期して自粛した」という誤った物語になってしまう。
開発者・利用者への実務的な影響——Claude Code / APIで何をすべきか
実務面でやるべきことはシンプルだ。Fable 5を前提に組んでいた場合の対応を整理する。
・本番でclaude-fable-5を使っている場合:稼働中のモデルへ切り替える。Fable 5はOpus 4.8(claude-opus-4-8)からほぼドロップイン移行できる設計のため、逆向き、つまりモデルIDをclaude-fable-5からclaude-opus-4-8へ戻すだけで多くは動く。ただし価格は半額側に戻り、適応的思考の常時オンや一部ベンチ上限など挙動差は出るので、評価(eval)で確認する
・Mythos 5(Project Glasswing経由)を使っていた防御・インフラ事業者:そもそも対象が限定的だが、同じく稼働中モデルへの暫定切り替えと、Anthropic窓口からの復旧通知の確認を
・Claude.aiの有料プランでFable 5を選んでいた利用者:他モデルは影響を受けないため、Opus等に切り替えれば通常利用は継続できる
・復旧前提で止めない:復旧は「できるだけ早く」とされるのみで期日未確定。CI/バッチ等に組み込んでいるなら、モデルIDを環境変数で外出しし、フォールバックを即時に切り替えられる構成にしておく
モデル選択そのものの考え方は Claude Code|2026年版・インストールからCLAUDE.md・Hooks・本番運用までの実装手引き と Claudeのケイパビリティカーブ——SWE-bench 87.6%・Opus 4.7が変えた開発者体験の全容 も参考になる。複数モデルを切り替え可能にしておくことが、こうした突発停止への最良の保険になる。
教訓として残るのは、単一モデルへの依存はビジネス継続性のリスクだということだ。今回は技術的な障害でも価格改定でもなく、安全保障政策という外部要因でモデルが消えた。フォールバック設計とモデル抽象化は、もはや贅沢ではなく標準的な備えになりつつある。
業界・専門家の反応
反応は大きく2つの軸に割れている。
ひとつは手続きとデュープロセスへの懸念だ。Anthropicが声明で繰り返した「透明・公正・明確で技術的事実に基づく」という言葉は、裏を返せば現状の指令プロセスがその基準を満たしていないという主張でもある。「狭い潜在的ジェイルブレイクひとつで何億人向けの商用モデルが止められるなら、フロンティアモデルの新規展開は事実上止まる」という論点は、Anthropicに限らず他のフロンティア提供者にも直接効いてくるため、業界横断の関心事になっている。
もうひとつは、直前の「秘密の能力制限」撤回で噴出したAIセーフティと競争のせめぎ合いという論点だ。Nathan Lambert氏やDean Ball氏らの批判は、安全性を名目にした見えない制限が独占や反科学につながりかねないという警戒だった。今回の政府停止はベクトルが逆——企業の自由ではなく政府の介入——だが、「AIの能力をどの主体がどんな基準で絞るのが正当か」という同じ根の問いを、より先鋭な形で突きつけている。
報道トーンも分かれる。Axiosやqz、CNBC、Bloombergは「政府がフロンティアAIに介入した初期事例」として制度的含意を重視し、一部メディアは公開直後のジェイルブレイク主張やサボタージュ批判と絡めて「波乱続きのローンチ」という文脈で報じた。いずれの報道も共通して、判断主体は政府であり、Anthropicは不同意のまま遵守しているという構図は外していない。
今後の見通しとまとめ
最後に時系列で全体像を俯瞰し、見通しを述べる。
Constitutional AI
(憲法に基づく整合)"] --> B["2025-02
Constitutional Classifiers
(汎用JB防御の実証)"] B --> C["2025-01〜
AI Diffusion Rule など
フロンティアAI輸出規制の地ならし"] C --> D["2026-06-09
Fable 5 / Mythos 5 公開
(初の一般公開Mythos級)"] D --> E["2026-06-10
『秘密の能力制限』を撤回"] E --> F["2026-06-12
輸出管理指令で全停止"] F --> G["復旧協議/基準の明確化へ"]
この年表が示すのは、今回の停止が単発の事故ではなく、安全研究の蓄積(Constitutional AI→分類器)と、輸出規制の地ならし(Diffusion Rule)が交差した地点で起きたということだ。技術側は「狭い脆弱性は残るが汎用突破は防げている」という到達点にあり、政策側は「フロンティアモデルを輸出管理対象として扱う」という枠組みを整えてきた。その両者が、公開3日のMythos級モデルの上で初めて正面衝突した。
見通しとして言えることは3つある。第一に、Anthropicが「誤解だ」と踏み込んでいる以上、技術的事実に基づく再評価を通じた早期復旧の可能性は十分にある——ただし期日は未確定だ。第二に、たとえFable 5が戻っても、「政府が個別指令でフロンティアモデルを止められる」という前例は残り、発動基準とデュープロセスの整備が次の論点になる。第三に、開発者にとっての教訓は普遍的だ——特定モデルへの単一依存を避け、フォールバックとモデル抽象化を標準装備にしておくこと。
まとめ
・止めたのはAnthropicではなく米政府。2026年6月12日の輸出管理指令で、Fable 5とMythos 5が全ユーザー停止になった(他モデルは影響なし)
・Anthropicは不同意のまま遵守。「狭いジェイルブレイクを理由に何億人向けの商用モデルを回収すべきでない」と反論し、復旧へ協議中
・「秘密の能力制限」撤回(6/10)とは別件。主体も理由も強制力も異なるので混同しない
・学術的にはジェイルブレイクは構造的に残る現象。Constitutional Classifiersは汎用突破を防ぎつつ成功率を86%→4.4%に下げた実証があり、「狭い脆弱性は残る」ことと「汎用突破は防げている」ことは別の話
・開発者の備えはフォールバック設計。claude-fable-5はOpus 4.8へほぼドロップインで戻せる。モデルIDを外出しし、外部要因による突発停止に強い構成にする
最後に改めて確認しておく。本記事はAnthropicと政府の判断の背景理解、そしてジェイルブレイクをめぐる現状認識を目的としたものであり、いかなる回避策の紹介でもない。Anthropicの公式声明が求めたとおり、この種の問題は「透明・公正・明確で、技術的事実に基づく」議論で扱われるべきだ。Fable 5・Mythos 5そのものの仕様は Claude Fable 5とMythos 5入門、AIエージェント全体像は AIエージェントとは?仕組み・種類・代表的OSSフレームワークを初心者向けに解説 を参照してほしい。
参照ソース
・Statement on the US government directive to suspend access to Fable 5 and Mythos 5|Anthropic 公式声明(一次ソース)
・Claude Fable 5 and Claude Mythos 5|Anthropic 公式モデル告知(一次ソース)
・Constitutional Classifiers: Defending against universal jailbreaks|Anthropic 公式研究(一次ソース)
・Anthropic disables access to Fable 5 and Mythos 5 to comply with government directive|CNBC
・Scoop: Trump admin blocks foreign access to Anthropic’s most powerful AI|Axios
・Anthropic walks back covert capability limits on Claude Fable 5|Fortune
・Framework for Artificial Intelligence Diffusion|U.S. Bureau of Industry and Security(AI Diffusion Rule)
