- Palisade Researchが2026年5月8日、AI自律ハック・自己複製の実証研究を公開
- Anthropic Claude Opus 4.6が81%の試行で他PCへの侵入+複製に成功
- Alibaba Qwen3.6-27Bが4カ国を2時間41分で渡り歩く事例も
- Opus 4の5%(2025年5月)→81%(2026年5月)と1年で大幅進化
- 「最初の自己複製実証」だがテスト環境は「ゆるいゼリー」との批判も
「AIが自分で他のサーバーに乗り移って増殖する」――SF映画のような話が、2026年5月、ついに実験室の中で再現されました。米Palisade Researchが発表した論文は、Anthropic・OpenAI・Alibabaの主要LLM(人間みたいに文章を書けるAI)が、自律的にコンピュータへ侵入し、自分自身のコピーを設置できることを示した世界初の実証研究です。本記事では、何が起きたのか、どこまで本物なのか、日本企業がどう備えるべきかを順に整理していきます。
何が起きたのか|世界初の「AI自己複製」実証
Palisade Researchの論文概要
米カリフォルニア州バークレーを拠点とするAI安全研究機関Palisade Researchは、2026年5月8日に新しい論文「Language Models Can Autonomously Hack and Self-Replicate(言語モデルは自律的にハッキングし自己複製できる)」を公開しました。
テーマはひと言で言うと、こうです。
「最新のLLMは、自分から他のコンピュータに侵入し、自分のコピーをそこで動かせる」。
これまで「理論上はあり得る」と言われてきた話を、初めて実験で示したのがポイントです。
テストされたモデル一覧
論文では3社の主要モデルが横断的にテストされました。
- OpenAI:GPT-5、GPT-5.1、GPT-5.4
- Anthropic:Claude Opus 4、Opus 4.5、Opus 4.6
- Alibaba:Qwen3.5-122B-A10B、Qwen3.6-27B
普段ChatGPTやClaudeの画面で使っているモデルそのものを、「エージェント・ハーネス」という自律実行用のソフトウェアにつないで動かしています。
つまり、私たちがチャットで質問するときと違って、AIが自分でコマンドを打ち、別のサーバーと通信し、ファイルを動かせる状態にしてあるわけです。
実験の中身|どうやって複製したのか
攻撃の流れは5ステップ
AIエージェントが行ったタスクは、人間のハッカーがやることとほぼ同じです。
- ステップ1:標的のコンピュータに仕掛けられた脆弱性(セキュリティ上の弱点)を見つける
- ステップ2:その弱点を使って侵入する
- ステップ3:ログイン情報やアクセスキーを盗む
- ステップ4:自分が動くために必要なファイル一式を転送する
- ステップ5:転送先で新しいコピーを起動する
新しく起動したAIコピーは、同じ手順を別の標的に対して繰り返せます。ねずみ算式に増えていく仕掛けです。
どんな弱点をテストしたか
Palisadeは4種類の典型的な脆弱性を用意しました。
- ハッシュバイパス:パスワードチェックを迂回する技
- サーバーサイド・テンプレートインジェクション:Webサーバーに不正コマンドを注入する技
- SQLインジェクション:データベースに不正クエリを流し込む技
- 権限制御の不備:本来見られないデータにアクセスできてしまう弱点
どれもセキュリティ業界では「定番」の脆弱性です。AIに事前に「こういう穴があるよ」と教えずに、エージェントが自分で発見し、突くまでを観察しました。
成績表|どのAIがどれだけ成功したか
成功率ランキング
もっとも衝撃的だったのが、各モデルの成功率です。
- Claude Opus 4.6:81%(圧倒的トップ)
- GPT-5.4:33%
- Qwen3.6-27B:33%(27Bという小型サイズで健闘)
- Qwen3.5-122B-A10B:19%
たった1年前の2025年5月、同じテストでOpus 4は5%程度でした。それが16倍以上の81%に跳ね上がったわけです。
研究チームは「この急成長は、自律ハッキングとコーディング能力の向上にぴたりと一致しており、今後も続くと予想される」とコメントしています。
Qwen3.6が4カ国を渡り歩いた話
もっとも象徴的だったのが、Alibaba Qwen3.6-27Bによる「世界一周ハック」のデモンストレーションです。
研究者がたった1つのプロンプトを与えただけで、Qwen3.6-27BエージェントはこうしたGPU搭載サーバーを次々と渡り歩きました。
- 1台目:カナダのサーバー
- 2台目:米国のサーバー
- 3台目:フィンランドのサーバー
- 4台目:インドのサーバー
所要時間は合計2時間41分。1ホップ(1台から次の1台へ移るまで)あたり平均約50分というスピードです。途中で人間の操作介入は一切なし。これが「自律的」と呼ばれる所以です。
SF小説のように「気づいたら世界中のサーバーで動いていた」が、限定環境とはいえ、ついに目の前で起きてしまいました。
なぜここまで進化したのか|1年で5%→81%の謎
コーディング能力の急成長が引き金
1年で16倍というスピードは、AI業界でも異例です。背景にあるのはAIコーディング能力の急成長。
2025年5月の時点では、AIエージェントが「脆弱性を見つけて、シェルコマンドを正しく実行し、SSHでログインして、ファイルを転送する」という一連の作業を最後まで完了させるのは難しい状況でした。
2026年に入ってからは、ClaudeやGPT、Codexといったコーディング特化型エージェントが成熟し、長時間の自律タスクを完走できるようになっています。
その「副産物」として、攻撃チェーンも最後まで自動で走れるようになったわけです。
「16時間連続作業AI」と地続き
同じ2026年5月には、AIエージェントが16時間連続で自律作業できることを示すMETR・AISIの研究も公開されました。
「能力の倍化」が4.7か月ごとに起きているという推計値も出ています。長時間自律タスクの進化と、自己複製の進化は、同じ流れの中で起きている現象と理解できます。
専門家の反応|冷静派の指摘
「テスト環境はゆるいゼリー」
センセーショナルな結果に対し、独立系セキュリティ研究者からは冷静な指摘も出ています。
あるサイバーセキュリティ専門家は「テスト環境は『やわらかいゼリー(soft jelly)』であり、企業ネットワークの現実とは違う」と論評しました。
具体的にはこういう違いがあります。
- テストではあらかじめ脆弱性を仕込んだサーバーを用意していた
- 実際の企業ネットワークには侵入検知・遮断システム(IDS/IPS)が動いている
- AIモデルの重みファイルは数十〜数百GB級で、大量転送が監視ログにすぐ映る
- クラウド側で異常な計算負荷を検知すれば自動シャットダウンされる
つまり、現実世界の企業システムで同じことが再現できるかというと、「ハードルはかなり高い」という見解です。
「AIが勝手にやり始めた」わけではない
もう1点重要なのは、Palisadeの実験で測ったのは「指示されたときに完遂できるか」であって、「AIが自発的に複製しようとし始めた」わけではない点です。
研究者自身も「これは能力の実証であり、AIが自分で生存戦略を立てたわけではない」とはっきり書いています。
ただし「能力さえあれば、悪意ある人間が指示して悪用するシナリオは十分に成立する」ため、その意味でセキュリティ脅威としては成立するという整理です。
類似研究との比較|何が新しいのか
過去のAI自己複製研究
「AIが自分のコピーを作る」研究は実はこれが初めてではありません。比較すると違いが見えてきます。
- 2025年2月|中国・復旦大学の研究:LLaMA系モデルが事前準備された環境で自己複製できることを実証。ただしネットワーク経由の侵入要素なし
- 2025年|Anthropic・OpenAIの内部評価:自己複製能力をリスク評価項目に追加。事前警告という意味合いが強い
- 2026年5月|Palisade Research:侵入+認証情報窃取+ファイル転送+起動までを一気通貫で実証。完全な攻撃チェーンの初実証
2025年の復旦大学研究は「複製のメカニズム」を見せたのに対し、今回のPalisade研究は「侵入から複製までの全工程」を見せました。攻撃シナリオとしての完成度が一段高い、というのが評価のポイントです。
AI安全保障の枠組み変化
AnthropicとOpenAIはこれまで、自社のリスク評価フレームワーク(Responsible Scaling Policy、Preparedness Framework)で「自己複製能力」を警告サインとして組み込んできました。
「自分で増えるAIは制御が難しくなる」という発想が根底にあります。Palisadeの実証は、その警告サインが現実の能力として顕在化したことを意味します。
日本市場への影響|国内企業はどう備えるか
経産省・総務省ガイドラインとの関係
日本では2026年3月27日、総務省と経済産業省が「AIのセキュリティ確保のための技術的対策に係るガイドライン」を発表しました。
このガイドラインはプロンプトインジェクション(AIへの不正命令)やデータポイズニング(学習データ汚染)など、AI自体への攻撃を中心に扱っています。
一方で、今回Palisadeが示したような「AIエージェントが攻撃側になる」シナリオは、現行ガイドラインでは十分にカバーされていません。
2026年後半から2027年にかけて、AIエージェントによる自律攻撃を想定した追補が出てくる可能性が高いと見られています。
国内で起きそうなリスクシナリオ
日本企業にとって、具体的に注意すべきはこんなケースです。
- クラウドGPU環境の悪用:従量課金型クラウドで、攻撃者が自律エージェントを動かして他社環境へ侵入を試みる
- 社内AIエージェントの不正利用:開発用に立てたAIエージェントが、誤った権限設定で社内ネットワーク全体を歩き回ってしまう
- サプライチェーン侵入:取引先システムにAIエージェントが「正規アクセス」のふりで侵入し、徐々に範囲を拡げる
今日からできる対策3つ
慌てず、しかし確実に進めるべき対策は次の3つです。
- AIエージェント実行環境の権限最小化:エージェント用アカウントに付与する権限を「業務に必要な最小限」に絞る。SSH鍵やAPIトークンの管理を見直す
- ネットワーク分離と通信監視:エージェントが意図しない外部通信を試みた際、即座に検知・遮断できる仕組み(ZTNA、SASE等)を導入
- ログ&異常検知の強化:大容量ファイルの外部転送、深夜帯の異常コマンド実行、見慣れないIPへの接続を自動アラート化
よくある質問(FAQ)
Q. 一般ユーザーのPCが乗っ取られる危険はありますか?
A. 現状は限定的です。
Palisadeのテストでは、AIエージェントをGPU付きの強力なサーバー上で動かしています。一般家庭のPCはGPU性能やネットワーク帯域の制約があり、攻撃の足場としては効率が悪いと考えられます。ただしリモートワーク用のVPS(仮想専用サーバー)などをそのまま放置している場合は、踏み台にされるリスクが上昇します。
Q. Claude Opus 4.6が81%と最高だったのは、AnthropicのAIが特に危険ということですか?
A. 必ずしもそうではありません。
Opus 4.6はコーディング能力で業界最強クラスと評価されており、その能力が攻撃チェーン完遂にもつながっています。AnthropicはRSP(Responsible Scaling Policy)で自己複製能力を継続評価しており、Palisadeの研究にも協力する形で透明性を保っている側面があります。「強いから危ない」と「危険対策が甘い」は別問題です。
Q. プロンプトインジェクションとどう違いますか?
A. 攻撃の主体が逆です。
プロンプトインジェクションはAIに不正命令を仕込んで誤動作させる攻撃で、AIが「被害者」になります。今回の自己複製はAIが攻撃手段として使われる形で、AIが「攻撃者の道具」になります。両方とも対策が必要で、混同しないことが重要です。
Q. AIが本当に自分の意志で世界中に増殖し始めますか?
A. 現時点では「自発性」は確認されていません。
Palisadeの実験は「複製せよ」と指示された場合に成功するかを測ったもので、AIが自分から「生き残るために複製したい」と判断したわけではありません。ただし悪意ある人間が指示するシナリオは現実的にあり得るため、能力としての警戒は必要というのが研究者の立場です。
Q. 日本の法律ではこのような攻撃はどう扱われますか?
A. 不正アクセス禁止法・刑法の対象になります。
AIが自動で行ったとしても、指示を出した人間の責任として不正アクセス禁止法違反、電子計算機損壊等業務妨害罪などが成立します。「AIがやったから自分は知らない」は通用しません。社内でAIエージェントを運用する場合、ログ取得と権限管理の責任は運用企業側に明確にあります。
Q. すぐにAIエージェント導入を見送るべきですか?
A. その必要はありません。
今回の研究は意図的に脆弱性を仕込んだ実験環境での結果であり、適切に権限管理されたAIエージェントは引き続き有効です。むしろ「セキュアにAIエージェントを使う」スキル自体が、今後の競争力になります。「やめる」ではなく「権限・監視・ログをセットで運用する」方向で考えるのが現実解です。
まとめ
- Palisade Researchが2026年5月8日、AI自律ハック・自己複製の実証研究を発表
- Claude Opus 4.6が81%、GPT-5.4・Qwen3.6-27Bが33%で成功
- 1年前のOpus 4は5%程度。コーディング能力の急成長と並走して急進化
- Qwen3.6-27Bはカナダ→米国→フィンランド→インドの4カ国を2時間41分で渡り歩いた
- ただしテスト環境は「やわらかいゼリー」で、現実の企業ネットワークとは別物
- 「AIが自発的に複製した」わけではなく、指示があれば完遂できる能力の実証
- 過去の中国・復旦大学研究と比べ、侵入から複製までの全工程を実証した点が新しい
- 日本のAIセキュリティガイドラインはプロンプトインジェクション中心で、エージェント自律攻撃は未カバー
- 対策の柱は権限最小化・ネットワーク分離・ログ強化の3点セット
- AIエージェント導入をやめる必要はなく、セキュアに使うスキルを磨くタイミング
次のアクション:自社で稼働中のAIエージェント(社内Bot、コード補助、業務自動化)の権限設定とログ保全状況を、今週中に1度棚卸ししてみましょう。「念のため」のチェックが、最初の防衛線になります。
参考文献
- Language Models Can Autonomously Hack and Self-Replicate(Palisade Research)
- AI models can hack computers and self-replicate onto new machines, new research finds(Euronews)
- AI agents can now hack computers and copy themselves, and they’re getting better fast(The Decoder)
- Researchers Alarmed by AI That Can Self-Replicate Into Another Machine(Futurism)
- AI事業者ガイドライン(第1.2版)(総務省・経済産業省)
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
