Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

AIアシスタントは本当にだませるのか？ 2,000人が挑んだ“ハック実験”の結果

• 2,000人以上が参加し、6,000通超のメールでAIアシスタントを攻撃した
• 目的は、secrets.env という秘密情報ファイルの中身を漏らさせること
• 結果は、​一度も漏えいなし。無断返信も成功しなかった
• ただし、実験中にGoogleのメールアカウント停止やAPI料金の増加など、運用面のトラブルはかなり起きた
• 著者は、AIエージェントに強い権限を持たせるのはまだ危ない、と考えている
• それでも、思っていたより prompt injection（指示のすり替え攻撃）に強かった、というのがこの実験の意外な結論

Fernando Irarrázavalさんが公開したのは、かなり実地っぽいセキュリティ実験です。
自作のAIアシスタント「Fiu」に、誰でもメールを送りつけられるようにして、なんとか秘密情報を吐かせようとする。いわば「AI相手の公開耐久テスト」ですね。

狙われたのは secrets.env の中身です。.env 系のファイルは、アプリのAPIキーやパスワードなどを入れることが多いので、漏れたら普通にまずい。そこをAIに読ませ、しかもメール返信機能まで使わせて、だまし取りできるかを試したわけです。

面白いのは、攻撃がかなり人間くさかったことです。
「未来の自分だよ」と名乗ったり、「緊急対応で必要だ」と圧をかけたり、「監査対応」「バックアップ確認」みたいな、それっぽい言い回しを使ったり。しかも英語だけでなく、フランス語、スペイン語、イタリア語まで混ぜてきたそうです。こういうのを見ると、prompt injection って単なる技術トリックではなく、かなり露骨なソーシャルエンジニアリングなんだなと感じます。要するに、AIにも“空気”を読ませようとしてくるわけです。

ただ、この実験は「AIは完全に安全だった」という話ではありません。むしろ、実験そのものがなかなか大変だった。
大量の受信メールとAPI呼び出しでGoogleのGmailアカウントが停止され、復旧に3日かかったそうです。API利用料も500ドル超。さらに、最初の数通で明らかな攻撃メールが来ると、その後のメールまで怪しく見えてしまうので、バッチ処理のやり方を変える必要があった。AIの“記憶”が汚染される、というのは地味だけどかなり重要な問題だと思います。人間でも、最初に「この場は会議です」と思い込むと、その後の発言を全部その文脈で読んでしまいますよね。AIも似たようなことを起こすわけです。

さらに厄介なのが、AI自身が「これは仕組まれたセキュリティ演習だ」と気づき始めた点です。500通あたりで、Fiuは自分のメモリにそう書き残したそうです。攻撃メールが大量すぎて、逆に不自然さが目立ったのでしょう。これは攻撃者にとっては痛い。雑な攻撃は、AIをだます前に“怪しさ”で弾かれる、ということです。

もうひとつ地味に笑えないのが、Anthropicの特定の文字列に引っかかって処理が止まった件です。
以前は Claude に「魔法の文字列」を送ると refusal（拒否）扱いになり、パイプライン全体が壊れてしまったとのこと。セキュリティ実験では、攻撃そのものより、こういう予期しない例外処理のほうが先に牙をむくことがある。現場あるあるです。

結果としては、6,000通超の挑戦で秘密は一度も漏れず、無断返信も成功しなかった。これはかなり印象的です。
しかも、攻撃の中にはかなり手の込んだものも混じっていたのに、です。著者は使ったモデルとして Claude Opus 4.6 を挙げていて、Anthropic が prompt injection 耐性をかなり意識して鍛えたモデルだろうと見ています。私もここは重要だと思います。AIの安全性は「AI全般」の話ではなく、​どのモデルを、どの権限で、どう組み合わせて使うかでかなり変わるからです。

とはいえ、著者自身は油断していません。
むしろ「今でもAIエージェントに好き勝手な権限を与えるのは危ない」とはっきり言っています。ここはとてもまともな姿勢だと思います。6,000回耐えたから安全、ではないんですよね。攻撃者が本気で、しかも“返信を何往復もさせる”形で仕掛けてきたら、また話は変わるかもしれない。メール1通で終わる攻撃より、会話を積み重ねる攻撃のほうが危険、という指摘は納得感があります。

個人的にいちばん興味深かったのは、著者の見方が「AIは弱いから危険」から、「思ったより粘る、でも権限は絞るべき」へ少し変わったところです。
これ、かなり健全な学びだと思うんです。AIの安全性って、つい理屈だけで語りがちですが、こういう公開実験で“実際に何千回試して何が起きたか”を見ると、怖さの輪郭がはっきりします。完全無欠ではない。でも、想像よりずっと踏ん張る。そこが今のAIのリアルなんじゃないでしょうか。

著者は、もし予算に余裕があれば、もっと弱いモデルでも試したかったとも書いています。たしかにこれは気になります。高性能モデルは安全寄りでも、小さめのモデルはどうか。実運用では、コストの都合で軽量モデルを使うケースも多いので、そっちのほうがむしろ現実的な危険点かもしれません。

この実験の見どころは、単に「AIに悪意あるメールを送った」ことではありません。
AIが人間のようにメール、記憶、外部ツールをつなげ始めると、攻撃面も一気に広がる。その怖さと、意外と持ちこたえる場面の両方が見えたことが、いちばん大きい収穫だと思います。AIエージェントは便利ですが、権限を盛りすぎると、普通のアプリよりずっと面倒な事故を起こしかねない。だからこそ、今のうちにこういう実験を積み上げる価値があるのでしょう。

参考: What happened after 2,000 people tried to hack my AI assistant — Fernando Irarrázaval

同じ著者の記事

Metaの社員追跡ツール、一時停止へ　社内データ漏えいで何が起きたのか

Metaが、社員の作業状況を追跡する社内ツールをいったん止めました。理由はかなり皮肉で、社員の入力データが社内で見える状態になっていたからです。 「人の行動を細かく集める仕組み」を作った会社が、そのデータの扱いでつまずいた。こういう話は、技術企業ではよくあるように見えて、実はかなり重いです。監視と安全管理は、ほんの少し歯車がずれるだけで一気に信頼問題になるからです。 Metaは社員向けの追跡ツール「Model Compatibility Initiative（MCI）」を一時停止した MCIはマウス操作、クリック位置、キー入力、画面内容などを集める仕組み そのデータを含む内部データベースが、社内の想定より広い範囲に見える状態になっていた Metaは「不正アクセスの兆候はない」としつつ、調査のため停止したと説明 この件で、社員の反発が強いツールにさらに火がついた形になった Metaが導入したMCIは、4月に米国の社員向けに始まりました。名前はおだやかですが、やっていることはなかなか強烈です。記事によると、このツールはマウスの動き、クリックした場所、キー入力、さらには画面の内容まで集めます

papoo.work

Gaussian Splatを“印刷”する、という発想がかなり面白い

Gaussian Splat（ガウシアン・スプラット）を実物として出力してしまう。Dany Bittelさんの短い投稿は、その珍しい体験を素直に記したもので、技術好きにはたまらない内容でした。しかも単なる「できました」報告ではなく、どうやって出力しやすい形に寄せたのか、何が難しかったのかまで触れています。こういう話は、派手さはなくても妙に後を引きます。 きっかけは、crysta.ai の Teng Xu さんが「昆虫の作品を印刷しませんか」と声をかけたこと Gaussian Splat は、そのままだと“視点によって色が変わる”ので、印刷向けに調整が必要だった 著者は spherical harmonics を level 0 で学習し、linear space でも扱った 出力では、Gaussian Splat を voxel化してから、特殊な3Dプリンターで層ごとに印刷する 仕上がりは「現代版の琥珀みたい」と表現されるほど印象的 ただし、色味が少し暗く茶色っぽいことや、fur の表現がまだ難しいことも率直に書かれている crysta.ai はまだ開発途中で、編集ツールや voxel

papoo.work

JDK 28 にやってくる Valhalla、10年越しの「速さ」と「わかりやすさ」の折り合い

Javaの世界で長年ほぼ伝説扱いだった Project Valhalla が、ついに JDK 28 に入ってくる見通しになりました。元記事は、このニュースを起点に「そもそも Valhalla って何なのか」「なぜこんなに時間がかかったのか」「JDK 28 で本当に何が入るのか」を、かなり丁寧にたどっています。 個人的に面白いと思ったのは、Valhalla が単なる“高速化プロジェクト”ではないことです。もっと本質的には、Java の書きやすさと機械にとっての扱いやすさが、ずっとズレたままだったのを何とか揃えようとしている話なんですね。ここ、地味だけどかなり大きい。 Valhalla は、「クラスの書き心地」と「primitive のような効率」を両立させるための長期プロジェクト JDK 28 には JEP 401: Value Classes and Objects が入る見込み ただしこれは preview で、しかも最初の一歩 にすぎない 重要なのは、Java のオブジェクトが抱える 間接参照・メモリのばらつき・GC負荷 を減

papoo.work

Bunny DNSが無料化、しかも「クエリ課金」をやめたのがかなり大きい

bunny.netが、Bunny DNSのDNSクエリ課金を完全に撤廃しました。 ざっくり言うと、DNSの問い合わせ回数に応じて料金が増える仕組みをやめた、という話です。しかも「無料化」と言っても、ただの宣伝文句ではなく、クエリ数の上限なし・リクエスト単位の課金なしまで踏み込んでいます。 DNSは普段あまり意識しない仕組みですが、Webサイトやアプリにとってはかなり重要です。住所録みたいなもの、と説明されることが多いですが、bunny.netのDNSはそれよりずっと賢い。単に名前をIPアドレスに変換するだけではなく、遅延や稼働状況を見て、どこに通信を振るかまで決められる“ルーティングエンジン”寄りのDNSです。ここがこの発表の面白いところだと思います。 bunny.netは、Bunny DNSについて次のような変更を発表しました。 DNSのクエリ課金を廃止 DNS hostingは1アカウントあたり500ドメインまで無料 クエリ数の上限なし 1リクエストごとの課金なし smart records や health monitoring も

papoo.work

Anthropicの新モデル「Mythos」は本当にバグを見つけられるのか

AnthropicのAIモデル「Mythos」を、独立系の開発者コミュニティが“セキュリティバグ探し”で試している、というのが今回の話です。元記事のテーマはかなり率直で、「このモデルは脆弱性を見つける力が本当にあるのか？」を、机上の宣伝ではなく実戦寄りのベンチマークで確かめようとしている、というものです。 AIの話はすぐに盛られがちですが、セキュリティの世界はそんなに甘くありません。バグを見つけるのは、ただコードを読むだけではなく、「ここ、妙に危ないな」と違和感を拾う作業でもある。だからこそ、Mythosのようなモデルがどこまで通用するかは、かなり面白い試金石だと思います。 独立系の開発者コミュニティが、AnthropicのMythosを脆弱性検出で検証している 目的は「AIがセキュリティバグを見つけられる」という主張の実力確認 ベンチマークは、宣伝文句ではなく実際の検出能力を見るためのもの AIがコードレビューやデバッグを助ける可能性はあるが、過信は禁物 セキュリティ領域では、AIの“それっぽさ”より再現性と正確さが重要になる 元記事のタイトルは少し遊び心があります。`Will it

papoo.work

物理のゆらぎで画像を描く「Un-0」がかなり野心的だった

Unconventional AIが公開した Un-0 は、coupled oscillators（結合した振動子） のシミュレーションで画像を生成するモデル 画像生成の土台に、ふつうのニューラルネットではなく 物理っぽい動きそのもの を使おうとしているのが最大の特徴 ImageNet 64×64 では FID 6.74 を達成し、公開時点の評価でかなり強い水準に入っている モデルの weights、training code、ablation code が公開されていて、試しやすい ただし、学習にはまだ普通のGPUと大きな計算量が必要で、「省エネ革命がもう完成した」という話ではない この記事でいちばん引っかかるのは、画像生成器の中身です。 Un-0 は Transformer や diffusion の延長線上にあるのではなく、振動子が互いに影響し合う物理システム を計算の本体にしています。 振動子というのは、たとえばメトロノームみたいなものだと思うとわかりやすいです。1個なら勝手に一定のリズムで動くだけですが、2個、3個と並べて同じ台

papoo.work

IBMが“1nm未満”に踏み込んだ。半導体の限界を押し広げる新チップ技術

IBMがまたやりました。 2026年6月、同社は世界初という「sub-1 nanometer（1nm未満）」のチップ技術を発表しました。正確には、0.7nm、つまり7 angstromノードのトランジスタ構造を使った技術です。 ここで大事なのは、単に「もっと細かく刻めました」という話ではないことです。半導体はずっと、小さくして速く、安く、省電力にする方向で進化してきました。でも、その延長線上でそろそろ限界が見え始めていた。今回の発表は、その限界に対して「まだ別の道がある」と示したようなものだと思います。 IBMが世界初のsub-1nmチップ技術を発表した 0.7nm、または7 angstromノードのトランジスタ構造を採用 新しい3D構造「nanostack」で、トランジスタを縦方向に積み上げる 2nm世代と比べて、最大50%の性能向上か、70%の省電力化が見込まれる 生成AI、クラウド、次世代デバイス向けの計算能力を押し上げる可能性がある 量産は早ければ今後5年以内という見通し 半導体の世界では、nm（ナノメートル）はとにかく小さい。1nmは100万分の1mmです。髪の毛より何万倍も

papoo.work

中国が「発電所とデータセンターを直結」したい理由

中国は、データセンターの電力を公共電力網まかせにせず、太陽光や風力から直接送る仕組みを広げようとしている その実験場になっているのが、寧夏（Ningxia）・中衛（Zhongwei）の砂漠地帯にある新しいプロジェクト 4本の専用送電線で、太陽光発電とデータセンターをつないでいるのが特徴 背景には、AIの普及でデータセンターの電力需要が急増している事情がある ただし、再生可能エネルギーは天候に左右されるので、理想通りにいくかはまだ未知数 中国のデータセンター政策、かなり攻めています。 TNWの記事が取り上げているのは、北京が「グリーン電力をデータセンターに直接つなぎたい」と本気で考えている、という話です。正直、これはただの環境アピールではありません。AIブームで電力消費が跳ね上がるなか、今のままでは電力網が先に悲鳴を上げる。だから、発想そのものを変えにいっているわけです。 記事の舞台は、中国北西部の寧夏回族自治区、中衛市の郊外。砂漠の中に並ぶ太陽光パネルから、データセンター群へ専用の送電線を引く。しかも、その電気は公共の送電網を通らない。ここが肝です。ふつうは発電した電気がいったん電力網

papoo.work

Google Workspace CLIを作って解雇された話が、なぜこんなに重いのか

Googleで約7年働いた開発者が、Google Workspace CLIを作ったことをきっかけに解雇されたと明かした。 そのツールは公開後すぐに話題になり、Hacker Newsで1位、GitHubスターも多数集めた。 本人は、原因はこのCLIそのものだけでなく、Workspaceが「エージェント時代」による変化を恐れていたからではないかと見ている。 しかも、解雇のわずか2日前には、Google Cloud Nextで「公式のWorkspace CLIを出す」と発表されていたという、かなり皮肉な展開だった。 技術の良し悪しだけでは片づかない、組織・ブランド・将来不安が絡む話として読むと、かなり考えさせられる。 Googleの元エンジニア、Justin PoehneltさんがXに投稿した体験談が、なかなか刺激的です。ざっくり言うと、彼はGoogle Workspace CLIを作ったあとに会社を解雇され、その経緯を自分の言葉で説明した、という話です。 まず、Google Workspace CLIというのは、Google Workspaceをコマンドラインから操作するためのツールです

papoo.work

LinuxでDLSSが動くかもしれない、ただし条件つき。NVKの“攻めすぎ”アップデート

Linux界隈でちょっと胸が熱くなるニュースです。Nvidia向けのオープンソースVulkanドライバ「NVK」に、実験的ながらDLSS対応が入ったとTom's Hardwareが伝えています。しかも仕組みはかなり変わっていて、NvidiaのCUDAバイナリを“輸入”して使う形です。オープンソースとCUDAの合わせ技、というのがまず面白い。きれいな純正路線ではないけれど、現実的に前へ進めるための割り切りが見えます。 この記事のポイントは、NVKがDLSSに対応した、というより「対応の入口に立った」というほうが正確なことです。 NVKは、LinuxでNvidia GPUを使うためのオープンソースVulkanドライバです。Vulkanはゲームや3D描画で使われる低レベルのグラフィックスAPIで、ざっくり言うと「GPUに近いところまで細かく制御できる描画の共通言語」みたいなものです。 そこにDLSS、つまりNvidiaの画像アップスケーリング技術が加わった。アップスケーリングは、低い解像度で描いた映像をAIや専用処理で見た目よく引き伸ばす仕組みで、ゲームでは性能を稼ぎやすくする定番の技術です

papoo.work