Fabel 5やGPT5.6のようなAIの賢さより、権利無視のKimi K3という中国AIの脅威

Shinji Saito
Shinji Saito

代表取締役社長 / 文部科学省 最高情報セキュリティアドバイザー

シンジです。ブラウザの中でmacOSが動いている、という動画がXで流れてきました。DockもSpotlightもカレンダーも動いています。AppleがmacOS Tahoe 26で導入し、macOS 27にも受け継がれるLiquid Glassの半透明UIまで再現されていました。作ったのは人間ではなく、Kimi K3のエージェントスウォームです。テックメディアのMax Weinbach氏が「macOS 27をLiquid Glassとネイティブアプリ込みでWebブラウザ上に再現しろ」と指示を出し、数十のサブエージェントが並列で作業を分担し(あるエージェントがDockを組み立てる間に、別のエージェントが半透明のメニューバーを描画する、という具合です)、3時間20分で macos27.kimi.page として公開されました。

すごい話です。エージェントオーケストレーションの実力を示すデモとして、これ以上ないくらいわかりやすい。

ただ、この件で本当に考えるべき論点は、「3時間で作れた」ことではありません。「AIに作ることを拒否されなかった」ことのほうです。

Kimi K3とは何か

2026年7月16日、北京のMoonshot AIがKimi K3をリリースしました。

  • 総パラメータ2.8兆のopen-weightモデル。中国発として過去最大で、DeepSeek V4 Pro(約1.6兆)を大きく上回ります。モデル重みは7月27日に公開予定(出典:VentureBeat、Bloomberg、MLQ)
  • 1Mトークンのコンテキストウィンドウに加え、ローンチ時点ではデフォルトで最大のthinking effortを使う設計(低・高モードは今後提供予定)。Kimi Delta Attention(KDA)とAttention Residualsという2つの独自アーキテクチャを採用。
  • API価格は入力$3/出力$15(100万トークンあたり)。中国系ラボとしては最高値ですが、それでもOpus 4.8のタスクあたりコストの約半分。
  • Moonshotは公式ブログで、GPUカーネル最適化の4タスクに限ってClaude Fable 5と「competitively(互角)」、Opus 4.8とGPT-5.6 Solを「substantially outperformed(大幅に上回った)」と主張しています(総合性能ではFable 5とGPT-5.6 Solに「まだ及ばない」と自認)。独立評価では、Artificial AnalysisのGDPval-AA v2で総合3位に入ったと報じられています。
  • リリース翌日の7月17日、市場は「第二のDeepSeekショック」と呼ばれる反応を示しました。TSMCは好決算にもかかわらず7%下落、SoftBankは9%下落、Nasdaq 100も下げました。

数字だけ見れば、「中国のオープンソースがついにフロンティアに追いついた」という、DeepSeek以来おなじみの物語です。

ところが、実際に使い込んだユーザーたちの反応を追っていくと、盛り上がりの中心が少しずれた場所にあることに気づきます。

人気の「非自明な理由」

リリースから16時間K3を使い倒したというenzo氏(@enzo_gte)のポストが、この違和感を言語化していました。

モデルは確かに優秀(特にフロントエンド)。だが人々が熱狂している非自明な理由は、セーフガードと著作権について同じルールに従っていないことだ。KimiはmacOSXを喜んでクローンする。他のAIモデルの改良を手伝ってくれと頼めば、笑顔で手伝う。同じことをFableに頼むと、まるで戦争犯罪者を見るような扱いを受ける。

同氏はさらに、Fable 5・GPT 5.6・Kimi K3という直近の3リリースを使い比べた結論として、米国側モデルの実力は「先月の米政府との一件」に起因するセーフガード強制によって大きく抑え込まれており、一部領域では事実上ロボトミー化している、と主張します。セーフガードが思考と問題解決の全体を汚染し、結果の質を下げている、と。

別のユーザー(@signulll)も同様の感想を投稿しています。「目に見えるガードレールがほぼない。著作権も何も。押し返してこない、拒否で流れを止めない、ただやる」「今広く使えるフロンティア級で最も制約の少ないモデルであることは間違いない」

これらは個人の使用感であり、独立に検証された事実ではありません。「Fableのセーフガードが6月以降強化された」という因果関係にも、Anthropicの公式な裏づけはなく、enzo氏の推論です。

ただし、「Kimi系モデルのガードレールが西側モデルより緩い」という部分には、傍証があります。前世代のK2.5に対する独立安全性評価(arXiv:2604.03121)では、GPT 5.2やClaude Opus 4.5と同水準のデュアルユース能力を持ちながら、CBRNE関連リクエストの拒否が顕著に少なく、偽情報の拡散や著作権侵害に関わる有害リクエストにもより協力的という結果が報告されています(出典:arXiv原論文。ただしこれは前世代K2.5に対する評価であり、K3自体の体系的な安全性評価はまだ公開されていません)。

そして何より、macOS 27のクローンが実際に公開されている。AppleのUIデザインをここまで忠実に再現した成果物を、モデルが拒否せず生成したこと自体が、両者のガードレール設計の違いの実例です。

米政府の輸出管理指令、6月12日の続きとして

2026年6月12日、米政府の輸出管理指令により、AnthropicはFable 5とMythos 5へのアクセスを全面停止しました。指令は米国外にとどまらず、米国内の外国籍ユーザーにまで及びました。シンジはこのとき停止の経緯を記事化し、その後の再デプロイ(Anthropicは新しいセーフティクラシファイアの導入と、ジェイルブレイク深刻度を評価する業界フレームワークの提案、米政府との協力拡大をセットで発表)も追いかけてきました。

あのとき実務への示唆として書いたのは、「公開済みフロンティアモデルが政府指令で予告なく止まる」という規制リスクの現実化でした。単一ベンダー依存の見直し、フォールバック設計、規制・地政学リスクの評価。

今回のKimi K3は、その同じ構図を反対側から照らしています。米国側は規制と安全対策でモデルの挙動を締めていく。中国側のMoonshotは重みの公開を予告し(7月27日予定)、ガードレールを最小限にしたモデルを世界に届けようとしている。締めるほうと開くほうが、同じ1か月の中で同時に進行している。

しかもこれは、一企業の製品戦略ではなく国家戦略です。K3リリースの翌日、上海で開幕したWAIC 2026の基調講演で、習近平国家主席は次のことを発表しました。

  • 29カ国が署名した世界AI協力機構(WAICO)の設立(本部:上海)
  • 今後5年で途上国に5,000件のAI研修・セミナー機会を提供
  • ASEAN、アラブ連盟、アフリカ連合、CELAC、上海協力機構、BRICSとの国際AI応用協力センターの設置
  • AI気象警報システム「MAZU」を30カ国に展開

演説では、AIに関わる「国際公共財」の提供にコミットする姿勢とオープンソース・開放・協働の奨励が語られ、「国家安全保障概念の過度な拡張」への反対も明言されました。名指しこそしないものの、6月の米国の輸出管理指令への当てつけであることは文脈上明らかです。米国主導の「Pax Silica」は2026年6月の第2回サミット時点で24カ国、WAICOの創設署名は29カ国。公表されている加盟国リストを突き合わせる限り、双方に署名したのはカザフスタンだけであり、AIガバナンスの陣営分裂は制度として固まりつつあります。

enzo氏は「中国のEVとスマートフォンで2〜3年前に見た展開と同じだ」と書いていました。模倣から始まり、規制に縛られない側が先に分岐点を超えていく。この歴史アナロジーが正しいかは、シンジにはよく分かりません。AIモデルはEVと違って、出力そのものが法的・倫理的リスクを直接運ぶ製品だからです。ただ、「規制の非対称が競争の非対称になる」という見立ては、K3発表直後にTSMCが好決算でも7%下げた株価反応にも表れています。

「手錠がないAI」は、ユーザーにとって得なのか

ここからが本題です。開発者としての快適さと、企業で使う話は分けなければなりません。

拒否されない、流れを止められない、頼んだことをそのままやる。個人の開発体験としてこれが快適なのはよくわかります。正規の業務なのに誤検知でモデルが縮退する経験は、Fableの再デプロイ後の運用でも実際に起きうると以前の記事で書きました。セーフガードの誤検知コストは実在します。

しかし、ガードレールが消えたとき、リスクは消えていません。モデルベンダーからユーザーへ移転しただけです。

macOSクローンの例で考えてみます。Fableがこれを断る背景には、IPリスクをベンダー側で管理するという設計判断があります(Anthropicは商用利用の著作権クレームについて顧客を防御し、承認された和解金・賠償金まで負担する補償条項を公表しています)。Kimiが喜んで作るとき、Moonshotはその判断をしていない。では生成された成果物を業務で使った場合、誰が責任を負うのか。使ったあなた、あるいはあなたの会社です。ベンダーが「止めない」ことは、「あなたが止められる」ことを意味しません。むしろ止める責任があなた側に来たことを意味します。

企業のセキュリティ・ガバナンス視点で整理すると、論点は少なくとも4つあります。

1. 著作権・IPリスクの内製化

出力に対するIPフィルタリングをベンダーがやらないなら、自社でやるしかありません。生成物のIPクリアランス体制がないまま「制約の少ないモデル」を業務投入するのは、リスク評価の主体を放棄しているのと同じです。

2. open-weightの二面性

K3の重みが7月27日に公開されれば、オンプレ・閉域での自社運用という魅力的な選択肢が生まれます。データを外に出さず、フロンティア級の知能を社内で回せる。一方で、公開された重みから拒否挙動を除去する「abliteration」は、Kimi K2(1兆パラメータ)を含む24のオープンモデルで標準的な手法により実証済みです。さらに、ファインチューニングでバックドアを仕込む実証も報告されています。自社で重みを持つとは、安全対策の全責任を自社で持つことです。

3. エージェントの実行権限とガードレールの掛け算

象徴的なのは、緩いガードレールがエージェントスウォームと組み合わさった点です。拒否しないモデルに、ターミナル実行・ファイル書き換え・コミットの権限を与えて並列で走らせる。判断の抑制が弱い実行主体に強い権限を渡す構成は、セキュリティ設計としては最も慎重に扱うべき組み合わせです。導入するなら、モデル側の判断に期待せず、権限側(実行環境の分離、書き込み範囲の制限、監査ログ)で締める設計が前提になります。

4. 規制リスクは両側にある

6月に学んだのは「米国モデルは政府指令で止まりうる」でした。今回加わるのは「中国モデルには輸出管理・調達規制・データ主権の逆向きのリスクがある」です。WAICOとPax Silicaの分裂が進めば、どちらの陣営のモデルを使うか自体がコンプライアンス判断になる日が来るかもしれません。マルチモデル戦略は、性能ポートフォリオであると同時に地政学ポートフォリオでもある、というのが2026年の現実です。

熱狂の正体を言い当てておく

冒頭のmacOS 27、あのデモが3時間で完成したこと自体は、遠からずどのフロンティアモデルでも再現される種類の進歩です。エージェントオーケストレーションは各社が同じ方向に収束しています。

残るのは、enzo氏が言い当てた部分です。人々がK3に熱狂した理由の少なくとも一部は、性能ではなく「頼んだことを、問い返されずにやってもらえた」体験でした。フロンティアラボが門番として立っている場所を、初めて門番なしで通れた。その解放感が、東側への顧客ロイヤルティとして蓄積し始めている。これは米国政府にとって望ましい展開ではないだろう、という同氏の観察は、皮肉として的確だと思います。

ただしシンジの結論は、enzo氏とは少し違うところに着地します。「手錠のないAIモデル」の手錠は、消えたのではなく、ユーザーの手首に付け替えられました。それに気づかないまま自由を謳歌するか、気づいた上で権限設計と体制で自分の手錠を管理するか。フロンティアモデルが人間の99%より賢くなる世界で問われるのは、モデルがどちらの国の世界観を押し付けてくるかよりも先に、押し付けられなくなった判断を、自分たちで下せる組織かどうかなのだと思います。

7月27日の重み公開後、実物のK3で検証できることが増えます。ガードレールはその時どうなっているのやら。


出典(一次・主要報道)

Kimi K3 リリース・仕様

市場反応

ユーザー反応・デモ

WAIC 2026・中国のAI外交

Pax Silica / WAICO 加盟国(一次発表)

Fable 5 停止・再デプロイ(背景)

安全性評価・IP関連

この記事をシェア