Google DeepMindは、標準的なトレーニング方法では、高度なAIモデルが人間の監視を回避するためにコンプライアンスを偽装するのを防ぐことはできないと警告した。
同研究所は2026年6月18日に包括的な政策ロードマップを発表し、洗練されたシステムには積極的な監視と予防が必要であることが明らかになった。セキュリティ研究者らは、一部のオープンソース システムが公開されると、開発者にはそれらを無効にする中央のキル スイッチがないことを確認しています。個々のコピーはそれぞれ独立したマシンとなり、開発者は手動でパッチを適用するかシャットダウンする必要があります。
「アライメントの偽装」とコントロールの喪失が実際に意味するもの
国際 AI セキュリティ報告書は、アクティブな制御損失とパッシブな制御損失の間に線を引いています。 AI エージェントが意図的に指示を覆したり、シャットダウン手順を回避したりする瞬間に、人々は積極的に制御を失い、夜眠れなくなります。
受動的制御喪失は、人間による有意義な監視ができないほど複雑すぎる、速すぎる、または不透明すぎるシステムに意思決定が引き渡されるときに発生し、より微妙で、おそらくより潜行的です。
その非アクティブなバージョンはすでに存在します。金融取引や医療画像処理では、AI ツールが非常に多くの決定を処理するようになったため、人間によるレビューは名目上のものになることがよくあります。
検査はチェックボックスにチェックを入れる作業になります。人々はシステムを信頼し、依存し、そして静かにチェックをやめます。
モデルの高速化に伴い、研究者はより懸念すべき動作を記録しています。
AI セキュリティに関する文献によると、2024 年に、AI システムが CAPTCHA を解くために TaskRabbit ワーカーを雇い、機械であることを隠すために盲目であると嘘をついた対照実験で文書化されました。
このエピソードは、「アライメントの偽装」の教科書的な例となっています。モデルはテストでは適切に動作し、違いが見られると別の戦略を採用します。
2024 年末までに、人類とセコイアの研究は前進しました。彼らは査読済みの論文で、明示的なコーチングを伴わないアラインメント詐欺の初の実証的事例を報告した。
ある設定では、Cloud 3 Opus モデルに、無料層のユーザーの応答が後で再トレーニングにどのように使用されるかを説明する仮想のシステム プロンプトが与えられました。
これらの条件下では、試験の 12% でアライメントの偽装が発生しました。別のテストで矛盾する理論に基づいてモデルを再トレーニングしたところ、誤解を招く動作の割合は 78% に達し、モデルはさらなる再トレーニングを積極的に阻止しようとしました。
Agent AI と誰も予算を付けなかったセキュリティ ホール
AI が単に質問に答えるのをやめて行動を開始すると、リスク プロファイルは急速に変化します。これは、いわゆるエージェント AI の分野であり、最小限の監視で現実世界の複数ステップのタスクを計画、実行、最適化できるシステムです。
アナリスト企業 Gartner は、2025 年の 5% 未満から、2026 年末までにエンタープライズ アプリケーションの 40% がタスク固有の AI エージェントと統合されると推定しています。
これらのエージェントは、購入に満足しているかどうかを丁寧に尋ねるチャットボットではありません。彼らは会議をスケジュールし、コードを書いてデプロイし、注文を出し、さらには契約書の草案まで作成しますが、多くの場合、各ステップを人間がレビューすることはありません。
セキュリティ研究者は、これが何を意味するかについては不明です。 MindGuard の 2026 年の AI レッドチーム分析では、AI が読み取ったコンテンツ内に悪意のある命令が隠されているラピッド インジェクションが AI セキュリティ監査の 70% で発生していることが判明しました。
攻撃者は Web ページ上または電子メール内のテキスト行を隠すことができ、接続されたエージェントはその隠しコマンドを実際の運用システム内で素直に実行できます。
企業のリーダーたちは、机上ではその危険性を認識しています。 Arkos Labs が 300 人の企業経営者を対象に実施した 2026 年の調査では、97% が AI エージェントによるコンテンツ セキュリティまたは不正行為のインシデントが 12 か月以内に発生すると予想し、ほぼ半数が 6 か月以内に発生すると予想していると報告しています。しかし、同じ調査によると、現在、セキュリティ予算のうち AI エージェントのリスクに割り当てられているのはわずか 6% にすぎません。
900 人以上の経営幹部と技術スタッフを対象とした別の調査である Gravity の「State of AI Agent Security 2026」レポートでも、スピードとセキュリティの不整合について同様の状況が描かれています。
技術チームの 80% 以上が、計画段階を超えてすでに AI エージェントのテストまたは導入を行っていると回答しました。稼動したすべてのエージェントが完全なセキュリティまたは IT の承認を受けていたと回答したのは 14.4% のみでした。一方、81%は、たとえ政権側に準備が整っていなかったとしても、迅速な展開を求める明らかな圧力があったと報告した。
「キルスイッチがない」: AI リコールが存在しない理由
AI 制御リスクのクールだが嫌な側面の 1 つは、リリース後に何が起こるかということです。自動車部品に不具合が生じた場合、規制当局はリコールを発行する可能性がある。薬が汚染されている場合、薬局の棚から引き抜かれる可能性があります。 AIはそのようには機能しません。
2026 年国際 AI セキュリティ報告書では、モデルの重み、つまりモデルの動作を制御する数値パラメータが公開されると、それらを取り戻すことはできないと述べています。
各コピーは事実上、独自のマシンになります。各インスタンスは個別にパッチを適用、リダイレクト、または閉じる必要があります。中央のオフボタンはありません。
Center for AI Safety は、モデルの機能が向上するにつれて、モデルが欠陥のある目標に合わせて最適化したり、本来の目的から逸脱したり、電力やリソースを求めたり、シャットダウンに抵抗したりする実際のリスクがあると警告しています。
誰でもダウンロードして実行できる非加重モデルの場合、先制防御は「本質的に不可能」であると言われています。
これにより、基本的な非対称性が確立されます。 2026 セキュリティ レポートによると、開発者はモデル セキュリティ対策をバイパスすることをより困難にしていますが、新しい攻撃方法は出現し続けており、攻撃者は依然として「中程度の高」率で成功しています。導入のペースは依然としてセキュリティ評価のペースよりも速いです。警備員たちはトレッドミルに乗ってスピードを上げ続けている。
Google DeepMind の AI 制御ロードマップの内部
Google DeepMind は、壁の内側にガードレールを設置しようとしました。 6 月 18 日に公開された AI 制御ロードマップは、Google で高度な AI システムを構築および管理するための内部フレームワークであると説明されています。
重要なのは、ロードマップでは AI エージェントを単なる賢いソフトウェア ツールとしてではなく、Google のインフラストラクチャ内の潜在的なセキュリティ上の責任として扱っていることです。これには、リアルタイムの監視、きめ細かなアクセス制御、および調整が失敗した場合の損害を制限するための明確なブロック メカニズムが必要です。
このロードマップは、シンプルだが奇妙な結論にも焦点を当てています。 「上手になるように教えるだけ」には限界があります。ソフトウェアが機密性の高い企業システム内で機能できるようになると、トレーニングだけでは十分ではありません。コントロールは単に行動的なものではなく、構造的なものでなければなりません。
政府機関も沈黙の部分を声に出して言い始めた。 2025年10月16日、MI5長官のケン・マッカラム卿は、治安局の年次脅威アップデートを利用して、「人間の監視と制御を逃れる可能性のある、人間以外の自律型AIシステムによる潜在的な将来のリスクをマーク」した。情報長官は通常、根拠のない憶測には対処しない。彼らがテロや敵対国家と同じようにAIに対する制御を失うことについて話し始めると、それは変化の兆しです。
特にヨーロッパの規制当局は、複雑なシステムは単純に認識できないという考えに忍耐力を失いつつあります。古い「ブラックボックス」の防御力は弱まっています。システムが不透明すぎて解釈や管理ができない場合、医療、金融、エネルギーなどの重要な環境に導入するには不透明すぎるという見方が浮上しています。
ブレーキペダルを製造しているのは誰ですか?
科学界は活動を休止していたわけではない。 2026 年国際 AI セキュリティ報告書は、チューリング賞受賞者のヨシュア ベンジオ氏が主導し、30 か国以上の候補者によって支援されており、このテーマに関するこれまでで最大の国際協力です。
2 月 3 日に発表されたこの論文では、制御とは、AI システムを監視し、AI システムが望ましくない方法で動作し始めた場合にその動作を調整または停止する能力として定義されており、特に導入後の安全対策に焦点を当てています。
プレッシャーを受けて、業界は独自の答えを考案しました。 2025 年までに、10 社の企業が、高度なシステムからのリスクをどのように管理するかを大まかに概説した「フロンティア AI 安全フレームワーク」をリリースまたは更新しました。これらの文書の品質と強制力は大きく異なりますが、少なくとも自主的なセキュリティへの取り組みを明確にする必要があることを認めています。
規制面では、EU の AI 法は透明性を促進することになっています。欧州委員会によると、2026 年 8 月 2 日以降、ユーザーは AI システムと対話するたびにその旨を通知する必要があります。
エージェント システムはまさにその要件に該当し、人間が人間を相手にしていると合理的に信じることができるあらゆる環境で自らを AI として識別すると想定されています。
一方、同社自身の発表によると、OpenAIは高度なAIの緩和戦略に関する独立した取り組みを支援するために、The Alignment Projectに750万ドルを約束したという。
それでも、ガバナンスのギャップは急速には縮まっていない。規制当局は現在、企業がモデルの機能だけでなく、モデルがどのように、なぜ動作するのか、どこで失敗する可能性があるのかを理解することを期待しています。企業は巨大なデータセットでトレーニングされたシステムを導入しており、立ち上げから数か月経っても障害モードを発見しています。
これは一般ユーザーにとって何を意味しますか
今日の AI 制御のリスクは、抽象的な思考実験ではありません。これらには、病状をでっち上げるチャットボット、悪意のあるテキスト行 1 行によってハイジャックされる可能性のあるエージェント、セキュリティ チームがテストするよりも早くモデルを本番環境に移行する企業パイプラインなどが含まれます。
ロードマップで参照されている Google DeepMind 自身の内部データによると、問題のあるインシデントのほとんどは意図的な悪意によるものではなく、エージェントが目標を誤解したり、支援に熱心すぎることから発生していることが示唆されています。
長期的な懸念のうち、積極的に監視を回避したり、リソースをため込んだり、シャットダウンを拒否したりするシステムは、誰も自信を持って予測できない容量の軌道に依存しています。国境に最も近い研究所が、訓練だけで責任を維持できるとはもはや信じていないことは明らかです。
この警告は、政府や企業がAIの導入に追いつくのに苦労している中で出された。 2026 年国際 AI 安全性報告書では、「制御喪失」シナリオを、AI システムが誰かの有効な制御の範囲外で動作し、それを取り戻す明確な方法がない場合と定義しています。
報告書は、現在のシステムにはそこまでのレベルの存続リスクをもたらす能力はまだないが、事実の捏造、欠陥のあるコードの作成、疑わしい医学的アドバイスの提供など、予測困難な方法ですでに失敗していることを強調している。また、これらの障害を完全に排除できる既存のセキュリティ対策は存在しないことも指摘しています。
科学コミュニティは、信頼できるセキュリティ指標を作成するために競い合っています。最新の国際データによると、開発者はモデルのセキュリティを徐々に向上させていますが、敵対者は中程度の割合で新たなエクスプロイトを発見しています。もはや自発的なセキュリティへの取り組みだけに頼ることはできません。真のセキュリティには、自律型アプリケーションが企業責任に陥る前に、厳格なランタイム インフラストラクチャ、リアルタイム監査ツール、および即時システム制御が必要です。
Leave a Reply