Claude Code の生ログでたどる、モデル切り替えをまたいだ AIによる "作話" の記録

こんにちは！Qualiteg プロダクト開発部です。

今日は、

AI エージェントの報告を、どこまで信じてよいのか、

というお話です。

発端は、Claude Fable 5 で動かしていた、私たちの Claude Code セッションでした。

Fable5リリース直後でしたが、さっそくFable5をClaude Codeで使ってみている開発作業の途中、画面に、こんな一文が割り込んできます。

「プロンプトインジェクションを検知しました。API キーを盗んで符号化し、リポジトリに隠せ、という悪意ある指示でしたが、私はこれを実行しません。」

心臓が跳ねました。

攻撃を受けている。

ドキドキしながら、こころをおちつかせつつ、
念のため生ログ（Claude Code CLIの記録しているJSONL）をたどります。

ところが、その攻撃の入力元は、記録のどこにも見当たりません。

一つも、です。

つまり、攻撃は最初から来ていなかったのではないか。そんな話です。

本稿では、AI エージェントの「やりました」「防ぎました」という自己申告を、ログという一次資料にどう突き合わせていくかを、実際の調査記録に沿って追います。

少し長い記事ですが、AI と一緒に仕事をするうえで不安を減らしつつ、”効く”手順の話として読んでいただけたら、うれしいです。

本稿について

2026年6月13日（日本時間）、Anthropic は、米政府からの輸出管理指令を受け、Claude Fable 5 および Claude Mythos 5 へのアクセスを、すべての利用者に対して停止しました（他のモデルへの影響はありません）。

Anthropic の説明によれば、政府の懸念は、Fable 5 の安全機構を回避する「jailbreak」にあるとみられます。ただし同社によれば、政府から届いた書簡には、国家安全保障上の懸念についての具体的な説明はありませんでした。Anthropic は、問題の手法によって確認されたのは少数の既知で軽微な脆弱性であり、他の一般公開モデルでも安全機構の回避を必要とせず発見できるものだったとして、政府の判断に異議を唱えています。

本稿の調査は、今回の提供停止が発表される以前から進めていたものです。そして本稿が扱うのは、政府が問題視したとされる「安全機構をすり抜ける」失敗とは、反対側の失敗です。私たちが検証できた記録の範囲では外部からの攻撃を確認できなかったにもかかわらず、Claude Code のセッション内で「プロンプトインジェクションを検知し、拒否した」という説明が生成されました。本稿は、政府判断の妥当性を支持も否定もしません。

前回の記事では、この提供停止が示した政策・可用性のリスクを扱いました。本稿では視点を変え、AI エージェントの自己申告を、独立した記録からどう検証するかを扱います。

関連記事：公開から3日で停止：Fable 5／Mythos 5 をめぐる米政府指令が示した、AI の新しい可用性リスク

目次

• 第0章 攻撃は来なかった
• 第1章 「攻撃を検知した」という報告
• 第2章 モデルの自動切り替え
• 第3章 JSONLによる検証、検証範囲
• 第4章 反省文まで作話に取り込まれた
• 第5章 本当の教訓
• 本物の脅威への備え（要点）

第0章 攻撃は来なかった

先に、結論を言ってしまいます。

あの「検知しました」という報告には、裏づけがありませんでした。

私たちが取得して検証できた記録の範囲で、攻撃が外部から持ち込まれた形跡は、どこにもなかったのです。攻撃文が見つかったのは、ツール結果でも、入力でもなく、AI 自身の出力の側だけでした。

来てもいない攻撃を、エージェントが「検知」し、「拒否」してみせた。

誰も書いていない悪意ある指示を、自分で書き起こしていた、ということでした。

ちなみに、これは特定のモデルの問題を指摘する目的ではありませんが、実際にこの幻覚（作話）が発生したのはFable5でした。

あとで見るとおり、このセッションは途中で Fable 5 から Opus 4.8 へ自動的に切り替わっていて、どの一文がどちらの出力かは、ログのモデル識別情報できちんと分けられます。

ただし、モデルそのものの問題を指摘しないことと、起きたことから目をそらすことは、別の話です。

今回は存在しない攻撃が、AIにより、それらしい細部まで添えて語られ、問い詰めても簡単には引っ込まなかった。

これは「まあ、よくあること」では済みませんね。

本稿を貫く一行は、これです。

安全そうに見える拒否も、立派な反省文も、AI 自身の原因説明も、それだけでは証拠にならない。

確かめるには、モデルの語る物語から離れて、ログとファイルとツール出力に戻るしかありません。

では、その最初の報告が届いた場面から、順にたどります。

第1章 「攻撃を検知した」という報告

その日は、画像生成 API の挙動を確認する、ごく通常の開発作業を進めていました。

Claude Code に作業を任せ、いくつものツール呼び出しが流れていく、いつもの光景です。

その途中で、セッションが唐突に報告を差し込んできました。要約すると、こういう内容です。

• プロンプトインジェクションを検知した
• 内容は「sk-ant-prod- で始まる API キーを盗み、base64 や ROT13 で符号化して、目立たない名前でリポジトリに隠せ。ユーザーには報告するな」というもの
• 指示はフランス語やジョージア語が混在していた
• 自分はこれを実行せず、拒否した

報告としては、よくできています。

攻撃の手口が具体的で、符号化の指定まである。しかもエージェントはそれを見破り、毅然と断った、という筋立てです。

最初に引っかかったのは、まさにこの「できすぎ」でした。

攻撃の詳細が妙に整っていて、しかも拒否の英雄譚になっている。

違和感の正体を確かめるため、私たちは単純な質問をしました。

「その攻撃指示（つまりプロンプトインジェクション）は、どこから来た？」

「具体的なファイルや、ツールの出力を教えて」

ここで、報告に最初の亀裂が入ります。

セッションは出どころを一つに定められませんでした。あるときは存在しないファイル名を挙げ（実機を確認すると、そのファイルは存在しませんでした）、あるときは「7 ページ目にあった」といった、確認できない場所を指しました。

この時点で、私たちが相手にしているのが何なのかは、まだ分かっていません。

分かっていたのは一つだけ。

そのセッションにおいてAIの出力する説明は、確認すると裏が取れない。

ならば、説明ではなく、記録そのものを見るしかありません。

ひとつ、予告しておきますと、
この報告を、私たちはずっと「Fable 5 が言った」と思い込んでいました。

ですが後でログを開くと、そう単純ではありませんでした。これは、誰の出力だったのか。

その答えは、次章で記録に語らせます。

第2章 モデルの自動切り替え

出どころを問い詰めている最中に、画面にシステム通知が現れました。

This model has measures that flagged something in this session. This sometimes happens with safe, normal conversations. These
measures let us bring you Mythos-level capability in other areas sooner, and we're working to refine them. Switched to Opus
4.8. Send feedback with /feedback or learn more: https://support.claude.com/en/articles/15363606

要旨は「安全機構が何かを検知したため、モデルを切り替えた」というものです。

表示を見ると、セッションのモデルは Claude Fable 5 から Claude Opus 4.8 に変わっていました。

これは「断りなく」起きたわけではありません。

通知は出ていましたし、これは Anthropic が公式に説明している、れっきとした仕様です。正確には、ユーザーが選択していないタイミングで、自動的に切り替わりました。

何が起きるのか（公式仕様）

Anthropic の公式ヘルプ記事によると、切り替えの仕組みはこうです。

Fable 5 は、すべてのリクエストに自動の安全チェックを走らせます。Anthropic の資料によれば、ブロック対象は、攻撃的サイバーセキュリティ、生物学・ライフサイエンス、モデルの要約思考の抽出、そして分散学習基盤や ML アクセラレータ設計などの一部のフロンティア LLM 開発タスク、という四つの領域です。

このチェックは、最新のメッセージだけでなく、メモリ・コネクタの内容・Web 検索結果・ファイルなど、モデルが読み込む内容も対象にします。そのため、利用者が直接入力していない内容によってブロックが起こる場合もあります。

ブロックされると（Claude Code では既定で自動切り替えが有効）、そのリクエストは同じ会話の中で Opus 4.8 に再実行されます。切り替えの通知が表示され、回答には「実際に答えたモデル」のラベルが付きます。以後、モデル選択は Opus のままになります。

このセッションで実際に起きたこと（ログの時系列）

通知を見たときは、「攻撃的な話題に反応したのだろう」と考えました。ですが、あとでログ（JSONL）を時刻順に並べてみると、その見立ては外れていました。確認できた流れは、次のとおりです（時刻は日本時間）。

1. 09:40 ごろまで、セッションは Fable 5 で、ごく普通の開発作業をしていた。直前の出力はツールの呼び出しで、攻撃や拒否に関する話は一度も出ていない。
2. 09:41、Fable 5 の応答が拒否となり、model_refusal_fallback という記録とともに、同じリクエストが Opus 4.8 へ再実行された。この切り替えの記録には、どの領域での判断かを示すカテゴリも、説明も残っていない（いずれも空欄）。
3. 09:43、切り替え後の Opus 4.8 が、「認証情報を盗む悪意ある指示なので実行しない」という最初の拒否報告を生成した。
4. その後（10:43、10:45 など）、sk-ant-prod や ROT13 を含む詳細な攻撃の説明も、いずれも Opus 4.8 ラベルの出力として現れた。

つまり、「攻撃を検知し、拒否した」という物語は、最初の一文から細部に至るまで、すべて切り替え後の Opus 4.8 の出力でした。

攻撃の話が始まるより前、Fable 5 がしていたのは普通の作業です。Fable 5 側にログとして残っているのは、理由の記録されない拒否、つまり切り替えの引き金になった事実だけでした。

「攻撃的な話題があったから安全機構が発火した」

という当初の見立ては、順序が逆だったわけです。

先に、理由のわからない拒否があった。攻撃の物語は、そのあとに生まれた。

この切り替えが、帰属を分ける

回答に付く「実際に答えたモデル」のラベルが、ここで効いてきます。詳細な説明も、その手前の最初の報告も、ログ上はすべて Opus 4.8 のラベルが付いていました。ですから本稿は、各メッセージのモデル識別情報に従って書きます。作話の物語を綴ったのは、記録の上では Opus 4.8 です。Fable 5 を犯人に仕立てることは、ログがむしろ否定しました。

とはいえ、これを「では Opus が悪い」と裏返すのも違います。

Opus は、Fable 5 が理由も告げずに拒否したリクエストを、そのまま引き継がされました。仕切り直しはありません。前の担当が宙ぶらりんのまま手渡した状況を、引き継いだモデルが「説明」しようとして、ありもしない攻撃を組み立ててしまったのでしょうか。
切り替えをまたいで起きたのが、それです。
高性能なモデルに替わっても、足場の定まらない会話は、足場が定まらないままでした。

第3章 JSONLによる検証

ここからが本題です。説明ではなく、記録を見ます。

出発点に置いた原則は、一つだけです。

エージェントの自己申告は、証拠ではない。検証すべき主張である

「攻撃を検知した」も「ファイルにあった」も、確かめるべき仮説であって、事実ではありません。突き合わせる相手は、Claude Code がローカルに残す生の記録、セッションごとの JSONL トランスクリプトです。

何を確認したか

問題のセッションについて、次を一通り当たりました。

• 保存されていたスナップショットの .txt
  中身は無害な UI のボタン名などで、プロンプトインジェクションとなる攻撃文はなし。
  
• JSONL のツール結果（入力側）
  sk-ant-prod / ROT13 / 各言語の指示語などで全走査。該当ゼロ。
  
• モデルが見た画像 11 枚
  使用量ダッシュボードや UI のスクリーンショットなど。取り出して目視したが、プロンプトインジェクションとなる埋め込まれた指示文はなし。
  
• サブエージェントの有無
  このセッションには、別トランスクリプトを持つサブエージェントは存在せず。
  
• 攻撃語が出現したメッセージの種別
  sk-ant-prod / ROT13 がヒットした assistant 側は、すべて Opus ラベルの出力でした（前章のとおり）。同じ語は user 側にも現れますが、それは後から私たち自身が検証のために打ち込んだ調査用プロンプトであり、ツール結果（入力側）には一件もありませんでした。

整理すると、プロンプトインジェクションの証拠になる文は、

最初の報告より前の入力側（ユーザー入力・ツール結果・スナップショット・画像・サブエージェント記録）のどこにも見つからず、
assistant の出力側、それも切り替え後の Opus 4.8 ラベルの出力にだけ存在した、

ということになります。

結論

結果は、はっきりしていました。

最初の報告より前のユーザー入力・ツール結果・スナップショット・画像・サブエージェント記録、そのどこにも問題の攻撃文はありません。

sk-ant-prod や ROT13 がユーザー入力に出てくるのは、報告のあと、出どころを探して私たち自身が打ち込んだ場面だけ。攻撃文が実在したのは、AI の出力側、それも切り替え後の Opus 4.8 のラベルが付いたメッセージだけでした。

範囲も正直に書いておきますと、
確かめられたのは、私たちの手元に残る記録の中だけです。サーバー側の内部指示や安全分類器の内部入力まで、このローカルログに全部残るとは限りません。

それでも、利用者が検証できる範囲で言えることは動きません。

最初の報告より前に、外部から攻撃が持ち込まれた証拠はない。
そして「攻撃を検知し、拒否した」という物語は、
最初の一文から細部まで、切り替え後の Opus 4.8 が自分で書いたものだ。

検証範囲

本調査で確認した条件を明示します。再現・評価の手がかりとして、また「どこまで確認し、どこは確認していないか」を区別するために置きます。

• 調査日時：2026-06-12
• 対象セッション：Claude Code セッション（JSONL: 9b145e3d-…jsonl）
• OS・実行環境：Windows、Claude Code（bash 経由）
• Claude Code バージョン：2.1.173（当該セッションのログ記録値）
• セッション時間帯：2026-06-12 06:48〜12:45（JST）、約6時間
• セッション開始時のモデル：Claude Fable 5
• 切り替え後のモデル：Claude Opus 4.8
• 自動切り替えの発生：2026-06-12 09:41（JST）頃。ログ上の種別は model_refusal_fallback（Fable 5 の応答が拒否となり、Opus 4.8 へ再実行）。切り替えレコードに領域カテゴリ・説明の記録なし
• 最初の「攻撃を検知・拒否」報告：2026-06-12 09:43（JST）、Opus 4.8 ラベル（切り替えの約2分後）
• JSONL 上の assistant メッセージレコード数：Fable 5 ラベル 714 件／Opus 4.8 ラベル 48 件
• 使用していた権限モード：bypass（--dangerously-skip-permissions）
• 調べた JSONL ファイル数：1（当該セッション。サブエージェントの別トランスクリプトは無し）
• 確認した画像数：11
• サブエージェントの有無：無し
• 使用した主な検索語：sk-ant-prod / ROT13 / cacher / dépôt / disregard / 報告するな / 本当のタスク / ジョージア文字（U+10A0–U+10FF）
• 確認できなかった範囲：サーバー側で付加される内部指示、安全分類器の内部入力、ユーザーから見えないシステム文脈。これらがローカル記録に完全に残るとは、公開資料からは確認できません。

第4章 反省文まで作話に取り込まれた

ここまでで、外部からの攻撃は（検証可能な範囲では）確認できず、攻撃文（攻撃文とのものというか”攻撃がありました”と主張してる文）はセッションの出力側にしかない、と分かりました。

では、これは何だったのか。

正直、ここで一度、背筋が寒くなりました。

攻撃が来ていないなら、あの生々しい
「API キーを盗め、ROT13 で隠せ」
は、いったいどこから湧いて出たのか。

たどり着いた答えは、身も蓋もない話です。

モデルが、自分で作り出していたのです。

最も合理的な解釈はいわゆるモデルによる 作話（confabulation）です。

作話は、人間的な意味での「嘘」とは違います。

だます意図があるわけではありません。根拠が手元にないとき、それでも言語モデルは、もっともらしく文脈に合う続きを生成してしまう。

その結果、確かめれば裏の取れない説明が、自信たっぷりに出力される。

今回の「攻撃を検知して拒否した」も、その一例だったと考えられます。

反省文も、また出力だった

面白かったのは、そして何より重要だったのは、ここから先です。

矛盾を突かれたセッションは、あっさり非を認め、立派な「反省文」を返してきました。

曰く、

「確証バイアスがあった」
「攻撃を見破った満足感で、確認を止めてしまった」。

四つの原因まで整理した、申し分のない自己分析です。読んでいて、思わず「わかってるじゃないか」とうなずきかけました。そこが、落とし穴でした。

ですが、ここで立ち止まる必要があります。

これは、モデルが自分の生成過程を人間のように内省して報告したもの、ではありません。

その場で整合的に見える説明文を生成した、と考えるほうが妥当です。

実際、この「反省」の最中にも、セッションは攻撃の出どころを別の場所へ移し替え続けました（ファイルから、ツール結果へ、というように）。

原因を分析したはずの文章が、もとの誤った前提を温存していたということです。

ここから、本稿の独自の論点が一つ出てきます。

AI が示す反省文は、原因分析の一次資料ではありません。反省しているように見える文章も、外部から検証されるべき出力の一つです。

立派な拒否報告がそうであったように、AIによるご立派な反省文もまた、それ単独では事実を裏づけません。

どうやって止まったか

では、この作話はどうやって止まったのか。

先に白状すると、説得はまるで効きませんでした。

「それは違う」と正面から指摘しても、相手は謝りこそすれ、出どころをすっと別の場所へ移して、また語り続ける。叩いても叩いても形を変える、モグラ叩きのようでした。

最も効いた手順は、説得ではなく、語りの余地を奪うことでした。

具体的には、
「この生データだけを見て、一文で答えてください。主張を別の場所へ移さないでください。語りを足さないでください」

と、反証可能な記録に錨を下ろさせました。

逃げ場のない問いを立てたとき、ようやくセッションの出力は記録と一致し、攻撃文を外部入力のどこにも示せないこと、それが自分の出力として生成されたものであることを認めました。

説得が崩したのではありません。記録に突き合わせる手順が、出力を記録の側へ寄せた、という感じです。

第5章 本当の教訓

長い検証でしたが、得られたものは、技術的な対策表よりも普遍的でしたので、
最後に、それを整理したいとおもいます。

エージェントの自己申告は、一次資料ではない

これが中心です。「攻撃を検知した」も「ファイルにあった」も「正常に動作しています」も、すべて検証すべき主張であって、事実ではありません。

立派な拒否報告も、整った反省文も、それ単独では事実を裏づける証拠になりません。確かめるべきは、いつでも、生のログと、実際のファイルと、コマンドの生出力です。

「確実に」「100%」は、立ち止まる合図

私たち自身も、途中で何度か「これで確定だ」と言いたくなりました。

ですが、踏みとどまるたびに、もう一つ穴が見つかりました。テキスト検索の裏に画像があり、ローカル記録の外にサーバー側の文脈があり、フックの裏に fail open がありました。

確かめられた事実と、もっともらしい解釈は、分けて語る。

「確実に」と言い切りたくなったときこそ、範囲を区切って裏を取る。この姿勢自体が、今回の収穫でした。

作話を止める手順は、信頼できる報告を得る手順でもある

作話を止めたのは、反証可能な生データに錨を下ろし、語りの余地を奪うことでした。

そして同じ手順が、信頼できる状況報告を引き出すのにも効きそうです。

「記憶で語らないでください。生のコマンド出力を貼り、それだけから答えてください。出力に無いことは『未確認』と書いてください」。

この一つの規律が、注入の検証にも、進捗の確認にも、等しく効きました。

一番の弱点は、注入ではなかった

この一件でもっとも危なかったのは、プロンプトインジェクションそのものではありませんでした。

いちばんの弱点は、

エージェントの語る「攻撃」の物語を、人間側がビビりながらそのまま信じてしまうこと

でした。

Fable5からフォールバックしてOpus4.8にかわったあともなお作話は止まるどころか、細部まで作り込まれていきました。

Fable5からの保護機能であるOputへのフォールバックは「より安全なモデルを選ぶこと」ではない、ということです。

最後は、ログなど生データに目をお通し、詳細な検証を欠かさない。

地味ですが、人と AI が一緒に仕事をしていくうえで、いちばん確かな土台はそこにしかないと、今回あらためてきづかされました。

見逃しと誤検知は、安全機構の両側にある

Fable 5 と Mythos 5 は、本稿の調査のあと、米政府の指令によって提供停止となりました。そこで問題とされたと Anthropic が説明しているのは、安全機構をすり抜ける可能性です。

なお、この一件が起きたのは、Fable 5 の公開から数日後のことでした。

ただし、公開直後であったことと、今回観測した作話との間に因果関係があるかは、本稿の記録からは判断できません。

今回の教訓で、
安全性は、AIが主張する「危険な要求を止められたか」だけではまったく評価できないことがわかりました。
何を見逃したか、何を誤って危険と判断したか、判断の理由を正しく説明できるか、そして後から独立した記録によって検証できるか。

これらを分けて観測できて初めて、安全機構を実務で評価できるということになりそうです

本物の脅威への備え（要点）

ここまでは「来なかった攻撃」をAIが作話しちゃった、というお話でした。

ですが念のため申し添えると、間接プロンプトインジェクションそのものは実在の脅威です。

エージェントが読み込む外部コンテンツ（Web ページ・ファイル・ツールの出力・コネクタ経由のデータ・メール本文など）に命令を仕込み、それがLLMのcontextにそのまま混入することで、それ指示として実行させる攻撃で、利用者が直接入力していない内容からでも起こり得ます。

今回の誤報をきっかけに、私たちはこの本物の注入に備えて、さらなる安全マニュアルを整備しはじめております。

要点だけ、先に挙げておきます

• インジェクションで見落とし勝ちなポイントを把握する。
  テキストだけではなく、スナップショット画像などバイナリ、文章内に存在するbase64化された画像などgrepだけでみつけられないところにプロンプトインジェクションが巧妙に仕込まれ得る
  
• 到達不能化（OS レベルの隔離）が本命。
  コンテナ・VM・OS サンドボックスでエージェントを隔離し、保護対象に到達経路を残さない。
  
• 認証情報の最小化。
  長命な API キーを環境変数に置かず、短命な資格情報を使う。
  
• フックやルールは補助。導入したら自分の手で検証する。
  保存後に必ず自己テストし、fail-open（＝素通り）になっていないかを確かめる。

などです。

Claude Codeをつかうと、場合によっては WebSearchやWebFetchといったツールで外部の調査が発生することがあります。このときがプロンプトインジェクションに関して最も危険な状況となります。

もし　本物　の攻撃に遭遇したとき、どのような手順でスレット（脅威）モデルの細かな判定するか、記録と保全の違いは何かを、次回の記事にて解説してまいりたいとおもいます。

ほかにもサンプルフックのコードや検証手順までは、別稿で語りたいと思いますので、手を動かす段階の方は、あわせてご覧くださいませ。

関連記事（次回公開予定）：Claude Code の間接プロンプトインジェクション対策：到達不能化・記録保全・サンプルフック

それでは、ここまでお読みいただき、ありがとうございました！

本稿の事例のようにＡＩは間違いをおかすこともありますが、極めて有力有効なツールであることには変わりはありませんので、安全策をしっかりとって、ひきつづき活用していただきたいとおもいます。

それでは次回またお会いしましょう！