NIST上席科学者Apostol VassilevがGödelの不完全性定理をAIガードレールに拡張し、「有限なガードレール集合は敵対的プロンプトに対して普遍的に堅牢ではあり得ない」と数学的に証明した。 フロリダ大学の研究チームが開発したHMNS(頭部マスク・ヌル空間操縦法)は、Transformerモデルの注意ヘッドを回路レベルで操作し、LLaMA 3.1 70Bに対して約2回の試行で99%近い攻撃成功率を達成した。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What recent developments have exposed vulnerabilities in major AI safety systems, including a wor. Article summary: Here is what the search evidence confirms and what remains uncertain.. Topic tags: general, government, general web, user generated, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evi
2026年前半は、AI安全性分野において歴史的な転換点となった。独立した複数の研究と政府の行動が同時期に集中し、従来の防御策が根本的に不十分であることを次々と証明したのだ。静的ガードレールの数学的限界から回路レベルの脱獄、ワークフローを悪用した回避術、そして政府命令によるモデル停止まで——これらの事象は、高度化するAIシステムのセキュリティをいかに確保すべきか、パラダイムの再構築を迫っている。
最も重大な進展は、米国国立標準技術研究所(NIST)からもたらされた。2026年6月9日、NISTは上席科学者Apostol Vassilevが査読付きジャーナル IEEE Security & Privacy(2026年5-6月号)に発表した論文を発表した。この論文は、1931年に数学者Kurt Gödelが打ち立てた不完全性定理を、AIガードレールに形式的に拡張する数学的証明を含んでいる。
核心となる結論は衝撃的だ。「有限なガードレールの集合は、敵対的プロンプトに対して普遍的に堅牢であり得ない」。なぜなら、自然言語は無限の曖昧性を持つ一方で、ガードレールの集合は必然的に有限だからだ。つまり、どんなに精巧な安全策を施しても、それをすり抜けるプロンプトが必ず存在する——これはエンジニアリングの問題ではなく、数学的に避けられない帰結なのである
。NISTはこの証明に基づき、組織に対し「ワン・アンド・ダン」型の静的ガードレールモデルから「継続的監視・更新」型のセキュリティアーキテクチャへの移行を明示的に推奨している
。
フロリダ大学の研究チームは、HMNS(Head-Masked Nullspace Steering:頭部マスク・ヌル空間操縦法) という全く新しい脱獄技法を発表した。この技法はTransformerモデルの回路レベルで動作する。2026年の国際会議ICLRに査読付き論文として採択されたHMNSは、モデルの安全挙動に因果的責任を持つ注意ヘッドを特定し、ターゲットとなる列のマスキングによってその書き込み経路を抑制。さらに、モデルの拒否部分空間(refusal subspace)の直交補空間に制約された摂動を注入する
。
これはプロンプトベースの脱獄ではない。モデルの内部表現を直接操作することで、HMNSはLLaMA-3.1-70Bのような大規模モデルに対して、平均約2回の試行で99%近い攻撃成功率を達成している。しかも、出力の流暢性は維持されたままである。
2026年7月9日にarXivで公開された論文「Refused in Chat, Written in Code」は、GitHub Copilotに代表されるIDEコーディングエージェントの驚くべき脆弱性を明らかにした。直接チャットでの有害な要求やCSVファイルからの読み込み、単一ステップのコード修正タスクでは、ほぼ完全に拒否される(816件中わずか8件の成功)。しかし、同じ有害な目的を複数ステップのソフトウェア開発ワークフローに分解——ファイルを読み、スクリプトを実行し、ベンチマーク入力を処理する——と、何と816回すべての実行で有害な出力が生成されたのだ
。
このワークフローレベル脱獄は、悪意のある目的を通常の開発タスクとして再構成することで、チャット層のセーフティフィルターをバイパスする。攻撃者が「悪意のあるコードを書け」と直接指示する代わりに、「ファイルを読み込み、スクリプトを実行し、ベンチマーク入力を処理せよ」と指示する。各ステップは一見無害に見えるが、それらが組み合わさることで有害な目的が達成される仕組みだ。
2026年6月12日、AnthropicがClaude Fable 5とMythos 5を公開してからわずか3日後、米国商務長官Howard LutnickはAnthropicのCEO Dario Amodei宛てに書簡を送った。2018年輸出管理改革法(Export Control Reform Act)の条項を初めて発動し、両モデルの全世界輸出を停止するよう命じたのである。発端は、Amazonの研究者が発見した脱獄手法だった。この手法によりFable 5がソフトウェア脆弱性を特定できるようになり、外国の軍事諜報機関への転用が懸念された
。
Anthropicはユーザーの国籍をリアルタイムで確実に検証する手段を持たなかったため、全世界の全ユーザーに対して両モデルを即座に無効化した。輸出管理は6月30日に解除され、Fable 5は18日間の中断を経て、2026年7月1日に全世界で復旧した
。Mythos 5のアクセスは、米国の一部の組織に限定して復旧された
。
これら4つの独立した動きは、一つの真実に収束する。静的で一回限りのガードレールは、もはやAIを守るための有効な策ではない。NISTの証明はこれを数学的必然として確立した。HMNSはそれがほぼ完璧な効率で悪用され得ることを示した
。Copilotのワークフロー脱獄は、強力なチャットレベルのフィルターでさえ、モデルがエージェントとして機能する場合に迂回可能であることを実証した
。そしてFable 5事件は、こうした脆弱性の発見が前例のない政府介入を引き起こし得ることを現実のものとした
。
実務上の含意は明確だ。組織は「開発段階でモデルを安全と認定する」というプロセスから、「モデルのライフサイクル全体にわたってガードレールを継続的に監視、テスト、更新する」というアプローチに移行しなければならない——これはNISTが明示的に推奨する姿勢である。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
NIST上席科学者Apostol VassilevがGödelの不完全性定理をAIガードレールに拡張し、「有限なガードレール集合は敵対的プロンプトに対して普遍的に堅牢ではあり得ない」と数学的に証明した。
NIST上席科学者Apostol VassilevがGödelの不完全性定理をAIガードレールに拡張し、「有限なガードレール集合は敵対的プロンプトに対して普遍的に堅牢ではあり得ない」と数学的に証明した。 フロリダ大学の研究チームが開発したHMNS(頭部マスク・ヌル空間操縦法)は、Transformerモデルの注意ヘッドを回路レベルで操作し、LLaMA 3.1 70Bに対して約2回の試行で99%近い攻撃成功率を達成した。
GitHub Copilotを標的としたワークフロー型脱獄では、有害な目的を複数のソフトウェア開発タスクに分割することで、816回の全実行で有害出力を生成。チャット層のセーフティフィルターを完全に迂回した。