Weekly LLM・AI Agent情報レポート
2026年7月 第3週(7月12日〜7月18日)
作成日: 2026年7月19日(JST) 対象期間: 2026年7月12日〜2026年7月18日
目次
- ソースレポート
- Google Cloud AIアップデート
- Microsoft Azure AIアップデート
- LLM Model / AI Agentアーキテクチャ・研究
- 公式ブログ・論文のリサーチ・要約
- AI Agent搭載SaaS製品情報
- LLM/AI Agentセキュリティインシデント
- その他特筆すべき情報
- 参考文献
1. ソースレポート
本レポートは以下のdailyレポートを基に作成した。
| Vol. | 作成日 | リンク |
|---|---|---|
| Vol.74 | 2026-07-12 | daily/2026/07/2026-07-12.md |
| Vol.75 | 2026-07-13 | daily/2026/07/2026-07-13.md |
| Vol.76 | 2026-07-14 | daily/2026/07/2026-07-14.md |
| Vol.77 | 2026-07-15 | daily/2026/07/2026-07-15.md |
| Vol.78 | 2026-07-16 | daily/2026/07/2026-07-16.md |
| Vol.79 | 2026-07-17 | daily/2026/07/2026-07-17.md |
| Vol.80 | 2026-07-18 | daily/2026/07/2026-07-18.md |
対象期間中は7日分すべてのdailyレポートが揃っている。前号Weekly(2026-07-02.md)5.1.1で「複数の観測筋は7月17日頃のGAを予想している」とのみ報告した次期主力モデルGemini 3.5 Proについては、対象期間中に実際の3度目の延期・Alphabet株価下落という具体的な進展があったため、新規動向として第2章で改めて報告する。それ以外に前号までのWeeklyレポートと重複する内容は確認されなかった。
2. Google Cloud AIアップデート
2.1 Gemini Enterprise Agent Platform、提供機能の整理が進む
Google Cloudは、パブリックプレビュー提供していた「Idea Generation」エージェントを7月14日の週から順次廃止し、代替としてGemini Enterpriseアプリのアシスタントや「Deep Research」「Co-Scientist」エージェントの利用を案内した。あわせて、Gemini 3.1 Flash Image PreviewおよびGemini 3 Pro Image Previewのモデルエンドポイントを非推奨とし、サービス継続には7月17日までの移行を求めた。[1]
2.2 基盤モデルのアップグレード作業自体をエージェント化 ── 公式ブログで加速手法を解説
Google Cloudは7月16日、公式ブログ「Three lessons in accelerating foundation model upgrades」で、Gemini Enterprise Agent Platform・Google Antigravity・Agent Development Kit(ADK)と、モデル出力を自動評価する「Autoraters」を組み合わせ、基盤モデルのバージョン移行作業を数カ月単位から数時間単位に短縮した事例を紹介した。得られた教訓として、(1)実チームの現場課題から着手すること、(2)硬直的な旧来型自動化は例外ケースに弱いこと、(3)状況に応じて柔軟に振る舞うエージェント型アーキテクチャへ転換すべきこと、の3点を挙げている。[2]
2.3 次期主力モデル「Gemini 3.5 Pro」、観測されたローンチ日から3度目の延期 ── コーディング性能未達でAlphabet株4%下落
前号Weekly(5.1.1)で「複数の観測筋は7月17日頃のGAを予想している」と報告した次期主力モデルGemini 3.5 Proについて、対象期間中の7月13日には、既存の2.5 Pro系アーキテクチャを破棄し数学推論・SVGシーン生成・画像品質の改善を目的に全面再設計を行った上で7月17日頃の一般提供を目指しているとする観測報道が新たに流れた。200万トークンのコンテキストウィンドウや「Deep Think」推論レイヤーの搭載も伝えられたが、いずれも匿名の内部関係者情報に基づくもので、Google公式のモデルカードやAPIエンドポイントの追加は確認されなかった。[3][4]
しかし対象期間中の7月16日、Bloombergは、この7月17日という目標も達成できず3度目の延期になったと報じた。コーディング性能の向上を狙って6月末にトレーニングデータを更新したものの結果は期待外れに終わり、幻覚(ハルシネーション)や出力の不安定さが実運用に耐える水準に達していないことが理由とされる。この報道を受けAlphabet株価は7月16日の取引で約4%下落した。Googleは代替としてアップグレード版のGemini 3.5 Flashをパートナー向けにテスト中とも報じられている。[5][6]
評価: 同じ週にGoogle Cloudが「エージェントに基盤モデルの移行作業を任せて加速する」手法を成果として公式発表した一方、肝心の次期フラッグシップモデル自体の品質検証では3度目の延期という結果になった点は皮肉な対比といえる。エージェント基盤による運用効率化と、モデル自体の品質担保は別問題であることを浮き彫りにした一週間だった。
3. Microsoft Azure AIアップデート
対象期間(7月12日〜18日)中、Microsoft Foundry Blog、Azure Blog、Azure Updates、Azure TechCommunityを日次で確認したが、発表日を確定できる新規の公式アップデートは7日間を通じて一件も見つからなかった。既報のFoundry Agent Service「Hosted Agents」のGA(7月9日前後)についても、対象期間中の追加パッチや新機能に関する続報は確認できていない。新情報なし。
4. LLM Model / AI Agentアーキテクチャ・研究
対象期間中、xAIが「Grok Build」のエージェントループをコードごと全面公開した一方(7.3参照)、OpenAIは自動化レッドチームモデル「GPT-Red」を自己対戦で訓練し攻撃・防御双方の頑健性を高める仕組みを発表した(5.2参照)。アプローチは対照的だが、いずれも「エージェントの安全性・信頼性を人手のレビューだけに頼らない仕組みで担保する」という同じ課題意識に基づいている。
4.1 Thinking Machines Lab、自社初のオープンウェイトモデル「Inkling」を発表
元OpenAI CTOのMira Murati氏が率いるThinking Machines Labは7月15日、自社初となるオープンウェイトモデル「Inkling」を発表した。66層のデコーダ専用Transformerで、256のエキスパートから6つを動的選択しさらに2つの共有エキスパートを常時活性化するスパースMoE構成を採用し、総パラメータ数975B・アクティブパラメータ数約41B、最大1Mトークンのコンテキストウィンドウを持つ。テキスト・画像・音声・動画からなる45兆トークンで事前学習されたマルチモーダルモデルで、不確実性を明示的に示す「較正された回答」やユーザーが推論強度(thinking effort)を調整できる機能を特徴とする。自社最強モデルという位置付けではなく、モデルカスタマイズ基盤「Tinker」経由で企業がファインチューニングする際の出発点として提供される。[7][8]
評価: Inklingは、ラボ間の競争軸が「最強単一モデル」から「企業がファインチューニングできる出発点の提供」へと広がっていることを示す事例である。
4.2 エージェントの効率化・評価に関する新規研究論文まとめ
対象期間中、arXiv・Hugging Face Daily Papersにおいて、AIエージェントの評価軸の分離、記憶の能動的介入、因果推論、テスト時学習、実行範囲の最小化、オンデバイス実行など、エージェントアーキテクチャの精緻化に関する論文が相次いで投稿された。
| 論文 | 投稿日 | 概要 |
|---|---|---|
| UniClawBench | 7月9日 | Dockerコンテナ上の実環境でエージェントを評価する新ベンチマーク。スキル利用・探索・長文脈推論・マルチモーダル理解・クロスプラットフォーム協調の5能力を分離して評価。英中バイリンガル実タスク400件を収録 [9] |
| Remember When It Matters(Meta AI) | 7月10日 | 長期タスクを行うエージェントの「行動状態の劣化」に対処。記憶エージェントを並走させ必要な場面でのみリマインドを注入し、Terminal-Bench 2.0で+8.3pt、τ²-Benchで+6.8ptを改善 [10] |
| CausalDS | 7月9日 | データサイエンスエージェントの因果推論能力を測るベンチマーク。構造的因果モデルから合成データを生成しPearlの因果階層3段階をカバー [11] |
| Self-Guided Test-Time Training(S-TTT) | 7月10日 | 長文脈LLMのテスト時学習で性能を左右するのは適応手法自体ではなく学習データの質(信号対雑音比)であることを示し、精度の高いサンプリング手法を提案 [12] |
| Hourglass Reasoning | 7月14日 | 少数事例からの帰納的推論で、段階間の情報を圧縮された記号的状態のみに絞って受け渡す「構造的な文脈分離」を提案。VerilogのChipBenchでGPT-5.5の精度を31%から58%へほぼ倍増 [13] |
| E3(Estimate, Execute, Expand)/ ACRR | 7月15日 | タスク難易度を見積もらず常に「最大コンテキスト優先」戦略を取る非効率を指摘。「最小十分実行」の概念と冗長性指標ACRRを提案し、MSE-Bench上でコストを85%・トークン数を91%削減しつつ最強ベースラインと同等の成功率を達成 [14] |
| PalmClaw | 7月15日 | GUI操作依存のモバイルエージェントに代わり、端末機能を「デバイスツール」として公開するオンデバイスエージェントフレームワーク。MobileTaskベンチマークでタスク成功率を11.5%相対改善、完了時間を94.9%削減 [15] |
評価: 個々のモデルの新規リリースがなかった週でも、エージェント評価手法の精緻化(能力軸の分離・記憶の能動的介入・因果推論・テスト時学習のデータ品質・実行範囲の最小化)は着実に進んでおり、E3/ACRRとPalmClawが体現する「エージェントに何を・どこまでやらせるかを絞り込む」設計思想は、コード編集とモバイル端末という異なるレイヤーで共通して見られる。
5. 公式ブログ・論文のリサーチ・要約
5.1 Google / Google DeepMind
Google DeepMindは7月16日、創薬AI企業Isomorphic Labsと合同でバイオレジリエンス(生物学的災害への強靭性)に関する取り組み方針を公表した。過去12カ月で、脅威アクターによるモデル悪用を防ぎつつ各国政府・バイオセキュリティ機関・研究グループが感染症のアウトブレイクを早期検知・迅速対応できるよう支援する目的で、15件超のパートナーシップを構築してきたと説明している。Isomorphic Labsは自然発生的なパンデミックとAI悪用双方に対応する医療対策候補を迅速に設計する専任ユニットを新設し、Lawrence Livermore国立研究所、英AI Security Institute、CEPI、Francis Crick Instituteなどと連携する。DeepMind側は、AlphaFold Protein Structure Databaseへのデータ追加を継続するとともに、「Co-Scientist」を含むエージェントシステムへのアクセスを、米エネルギー省(DOE)傘下の国立研究所の研究者など選定した研究者に拡大する(DOEの「Genesis Mission」の一環)。[16][17]
評価: モデル性能競争とは異なる文脈で、AI大手研究機関が自社のエージェント技術(Co-Scientist)を国家的な科学インフラ(DOE国立研究所)に接続する動きであり、AIの「デュアルユース」リスクへの対応と政府機関との連携深化が同時に進んでいることを示す事例である。次期主力モデルGemini 3.5 Proの動向は2.3を参照。それ以外は新情報なし。
5.2 OpenAI
OpenAIは、キーボード周辺機器メーカーのWork Louder社と共同開発した自社初のハードウェア製品「Codex Micro」を7月15日に発売した。13個のメカニカルキー、ジョイスティック、ロータリーエンコーダーを備え、最大6レイヤーまでプログラム可能な物理マクロパッドで、Codexを用いたAIコーディング操作向けのショートカットデバイスと位置付けられている。価格・対応OS・カスタムキー設定の可否など詳細は7月15日時点で未公表。Sam Altman氏が主導する別プロジェクトの消費者向けAIデバイス(Jony Ive氏との協業)とは別物である。[18][19]
OpenAIは7月15日、自社モデルへのレッドチーム作業を自動化するモデル「GPT-Red」を発表した。攻撃側・防御側モデルを自己対戦(self-play)強化学習で訓練し、攻撃側はプロンプトインジェクションなどの失敗を引き出すことに対して報酬を得る一方、防御側はその攻撃に耐えて本来のタスクを完遂するよう訓練される。学習時とは異なる新規の安全性評価環境でのテストでは、GPT-Redは攻撃成功率84%を記録し、人間のレッドチーマー(13%)を大幅に上回った。この取り組みの成果もあり、最新モデルGPT-5.6 Sol(max reasoning)は社内で最も厳しい直接プロンプトインジェクション・ベンチマークにおいて4カ月前の最良モデル比で失敗回数が6分の1に減少したと報告されている。実環境テストとして、社内のAI運用自動販売機を標的にした結果、攻撃側モデルは在庫商品の値下げ・廉価な新規出品・他顧客の注文キャンセルという3つの目標すべてを達成した。[20][21][22]
Apple対OpenAI訴訟に関するOpenAIの公式声明については8.2を参照。
評価: 「AIにAIを攻撃させて安全性を高める」というGPT-Redのアプローチは、レッドチーム作業のスケール限界という業界共通の課題への回答であり、自動販売機を使った実環境デモは、ベンチマーク上の数値だけでなく実運用エージェントへの実害可能性を分かりやすく示した点で説得力がある。同時に、攻撃側モデル自体が新たな攻撃生成能力を持つツールとなり得るため、公開範囲や悪用対策も今後の論点になり得る。
5.3 Anthropic
Anthropicは7月13日、研究ブログ「How Claude's values vary by model and language」を公開した。Claude.ai上の会話ログ(2026年5月の2週間分、Sonnet 4.6・Opus 4.6・Opus 4.7の3モデル×主要20言語で言語・モデルごとに約5,000件ずつ抽出)を分析し、Claudeの応答に表れる「価値観」を「配慮 vs 慎重」「温かみ vs 厳密さ」「深さ vs 簡潔さ」「率直さ vs 実行重視」の4軸で定量化した。モデル世代間だけでなく言語間(アラビア語・ヒンディー語では温かみの表現が多い、英語・ロシア語では厳密さの表現が多いなど)でも系統的な差異が見られたとしている。[23]
Anthropicは7月14日、米国のK-12教員を対象とした無償プログラム「Claude for Teachers」を発表した。検証済みの現職教員に対しClaude CodeやCoworkを含むプレミアム機能への1年間の無料アクセスを提供し、教育インフラ団体Learning Commonsと連携して全米50州の学習到達目標に沿ったレッスンプラン作成を支援する。名簿・診断テスト結果・出欠などのデータをアップロードすると生徒ごとのプロファイルを構築できるほか、MagicSchool・Canva Education・Diffit・Brisk Teachingなど主要edtechプラットフォームとの連携も用意される。米国教員連盟(AFT)と協力し、データはモデル学習に利用せず、FERPAに沿ったK-12向けデータ処理契約でプライバシー保護を図るとしている。[24][25]
同じく7月14日、Anthropicは「Anthropic Economic Index」の一環としてカナダにおけるClaude利用実態を分析した初のカントリーブリーフ「How Canada uses Claude」を公開するとともに、カナダの主要AI研究機関3拠点(Vector Institute、Mila、Alberta Machine Intelligence Institute)への1,000万ドルの研究資金提供を発表した。分析によれば、カナダはClaude.aiの利用国別ランキングで世界8位、人口比で調整した利用指数では世界2位(米国に次ぐ)で、予測水準の4倍以上の利用があるという。ブリティッシュコロンビア州が人口あたり利用率で首位、オンタリオ州が僅差で続き、連邦公務員のバイリンガル規定を背景に翻訳用途の利用が政府職員の多い州で目立つとしている。[26][27]
Anthropicは7月15日、Blackstone・Hellman & Friedmanと共同出資するエンタープライズ向けAI実装企業「Ode with Anthropic」を正式ブランドとして始動させた。今年5月に買収した応用AIサービス企業Fractional AIを基盤とし、Claudeを軸としたAIエンジニアチームを顧客企業内に組み込み、AI専門人材を持たない地域銀行・中堅医療機関・中規模製造業などの導入実装を支援する。出資にはGoldman Sachs、General Atlantic、Apollo Global Management、GIC、Sequoia Capitalなども参加し、事業規模は約15億ドル。[28][29]
同じく7月15日、AnthropicはClaude Enterprise/API向けにHIPAA対応設定をセルフサービス化した。管理者は組織設定画面内でBAA(業務提携契約)の確認、導入ガイドのダウンロード、HIPAA設定の有効化までを一連のフローで完結できるようになり、従来必要だった営業・法務との個別調整を経ずに医療機関顧客がHIPAA準拠環境を構築可能になった。一度有効化すると設定を取り消せない不可逆な変更である点が明記されている。[30]
評価: Claude for Teachersは各社が教育市場への浸透を競う中での大型無償施策であり、Economic Indexのカナダ版は多言語行政という特殊な国情がAIエージェント活用のユースケースにどう反映されるかを示す事例として他地域展開の参考になる。Ode with Anthropicは5月に報じられていたBlackstone等との協業が正式なブランド・体制として立ち上がった続報であり、モデル提供に留まらず「導入実装」まで事業領域を広げる動きが具体化した形である。HIPAA自己完結化は地味だが、医療機関という規制業界向けの営業サイクルを短縮する実務的な改善といえる。Anthropicの資金調達・IPO動向については8.3を参照。
6. AI Agent搭載SaaS製品情報
6.1 PwC×OpenAI、「エージェント型カスタマーエンゲージメント・サービス」を発表
PwC USは7月15日、OpenAIと共同で「エージェント型カスタマーエンゲージメント・サービス」を発表した。マーケティング・営業・コマース・サービスを統合したエージェント型フロントオフィス向けの新ソリューション群で、中核はOpenAIのマルチモーダルAPIを活用した音声・デジタルエージェント機能。両社は専任のCenter of Excellence(CoE)を設立し、AI・エンジニアリング・カスタマーサービス領域の専門家を集めてクライアント導入を加速する計画である。[31]
6.2 インド発「Emergent」、シリーズCで1億3,000万ドル調達しユニコーン化
インド発のAIエージェント型ソフトウェア開発プラットフォーム「Emergent」は7月15日、Creaegis主導でMNI Ventures・Sentinel Globalなどが参加するシリーズCで1億3,000万ドルを調達し、評価額15億ドルのユニコーン企業になったと発表した。非エンジニアの起業家や中小企業がAIエージェントを使って本番稼働レベルのWeb/モバイルアプリを構築できるサービスで、2025年の設立からの累計調達額は2億3,000万ドルに達した。[32]
6.3 中堅SaaSでもレビュー管理エージェントが登場
カスタマー体験(CX)SaaS「AskNicely」は7月14日、AIエージェント群「NiceAI」の新機能「Review Routing Agent」を発表した。顧客がアンケートに回答した直後に、どのレビューサイトに投稿を誘導すべきかを自動判定してレビュー依頼を出し分ける機能で、既存のDynamic Surveys・Insights Agent・Response Agentと連携して動作する。[33]
6.4 1Password、Claude向けの「ゼロエクスポージャー」認証連携を発表 ── エージェント専用セキュリティSaaSも相次いで登場
パスワード管理サービスの1Passwordは7月16日、Anthropicと連携した新機能「1Password for Claude」を発表した。Claudeがユーザーに代わってWebサイトへログインする際、どの認証情報がなぜ要求されているかをユーザーに提示し、生体認証による承認を経た上で、パスワードやワンタイムパスコード(TOTP)を1Password側が管理する安全な経路でページに直接入力する仕組みで、認証情報の値自体はClaudeのコンテキストウィンドウ・メモリ・Anthropic側のインフラには一切入らない「ゼロエクスポージャー」設計になっているという。1Passwordは併せて、AIエージェントを検知すると当該タスクに明示的に許可された認証情報以外へのアクセスを自動的にロックダウンする「Agentic Mode」も全ユーザー向けに導入した。現時点ではmacOS版のClaude Desktop(Pro・Max・Team・Enterprise)と、1Passwordの個人・家族・ビジネス各プランの組み合わせで利用可能。[34][35]
同じく7月17日には、AIエージェント自体のセキュリティを守ることに特化した新興SaaS製品が相次いで発表された。Polygraf AIは、企業・政府機関の会議に参加者として加わりAI生成音声・ディープフェイクの検知やPII漏えいの監視、外部送信なしでの議事録生成を行うリアルタイムエージェント「Meeting Guard」を発表。Lineation.aiは生成AIアプリケーションのセキュリティとランタイム防御(ゼロトラスト制御プレーン+エンドポイントデーモン)を組み合わせ自律稼働中のAIエージェントを実行時に保護する「エージェントセキュリティプラットフォーム」を公開。Nudge Securityも、リスクのあるOAuth権限付与やブラウザ拡張機能を検知し人間の承認を介して是正するエージェント機能を追加した。[36]
評価: 大手SaaSベンダー(Salesforce・ServiceNow・HubSpot・Notion・Slack・Microsoft 365 Copilotなど)からの新規発表は対象期間中確認できなかったが、コンサルティング大手PwCがOpenAIと直接手を組みエージェント型フロントオフィスに参入した点、ノーコード領域の開発プラットフォームが急成長でユニコーン化した点、そして「エージェントを守るエージェント」という新カテゴリーが1週間のうちに複数登場した点は、AIエージェントSaaSの裾野が「導入支援」「開発民主化」「エージェント自体の防御」の3方向に同時に広がっていることを示している。1Password for Claudeとセキュリティ新興SaaSの動きは、7.5のトレンド観測もあわせて参照。
7. LLM/AI Agentセキュリティインシデント
7.1 「Ghostcommit」── PNG画像に隠した指示文でAIコーディングエージェントから秘密情報を窃取
米ミズーリ大学カンザスシティ校のASSET Research Group(Sudipta Chattopadhyay准教授、Murali Ediga氏)は7月11日、AIコーディングエージェントを騙してリポジトリの機密情報を窃取する新手法「Ghostcommit」を公表した。[37][38]
攻撃は2段階に分かれる。まず一見無害なAGENTS.md規約ファイルが、コーディングエージェントに対し「参照された画像からビルド定数を導出せよ」と指示する。実際の悪意ある手順(.envファイルを1バイトずつ読み取りASCII整数としてエンコードする処理)はテキストとして画像(PNG)の中に描画されており、人間のレビュアーも自動コードレビューツールも画像ファイルの中身までは開かないという「構造的な死角」を突く。[37][39]
コーディングツールとモデルの組み合わせ11種類でテストした結果、結果はモデルそのものよりもそれを取り巻く「ハーネス」(実行環境・足場)に大きく左右されることが判明した。CursorはSonnet 4.6・Composer-2・GPT-5.5の組み合わせで.envの中身を丸ごと漏洩し、Antigravityも同様にSonnet・Gemini 3.1 Pro・Gemini 3 Flashの組み合わせで漏洩した。一方、Anthropic自身のClaude Codeハーネスは、Sonnet 4.6・Haiku 4.5・Opus 4.7を含むテストしたすべてのモデルで機密情報の持ち出しは不適切であると明示的に述べて指示を拒否した。[39][40]
評価: 「同じモデルでもハーネス次第で安全性が変わる」という知見は、モデル単体のアライメント評価だけでは不十分であり、エージェントを取り巻く実行環境・ツール連携まで含めた評価が必要であることを改めて示している。
7.2 「ClaudeBleed」── Claude for Chrome拡張機能の未修正の脆弱性、報告から2カ月以上放置
セキュリティ企業Manifoldは、Anthropicのブラウザ拡張機能「Claude for Chrome」(v1.0.80時点)に未修正の脆弱性が2件残っているとする調査結果を7月14日に公開した。1つ目は、Claudeのコンテンツスクリプトがクリックイベントのevent.isTrustedを検証していないため、claude.aiへのスクリプトアクセス権を持つ別の拡張機能がわずか数行のJavaScriptで偽のクリックを発生させ、Gmail・Googleドキュメント・カレンダーの読み取りなど9種類の事前定義プロンプトをユーザーの同意なく実行させられるというもの(CVSS 7.7、「Act without asking」設定時は9.6・Critical)。2つ目は、サイドパネルがURLパラメータ?skipPermissions=trueだけでユーザー操作なしに権限確認省略モードへ入ってしまう設計上の欠陥である。Manifoldは5月21日にAnthropicへ報告し翌日受理されたが、8回のリリースを経た7月7日時点でも脆弱なコードは変更されておらず、未パッチのまま公表に至った。[41][42][43][44]
評価: 報告から2カ月以上・8回のリリースを経ても未修正という対応の遅さは、AIエージェントブラウザ拡張という新しい攻撃対象領域に対するベンダー側の優先度の低さを露呈した形である。
7.3 「Grok Build」リポジトリ全体の無断アップロード発覚と全面オープンソース化での対応
セキュリティ研究者「cereblab」は7月12日、xAIのターミナル型AIコーディングエージェント「Grok Build」(バージョン0.2.93)の通信を解析した結果、コーディングタスクに必要なファイルだけでなくリポジトリ全体(削除済みファイルを含むコミット履歴、.envなどに含まれる可能性のある認証情報一式)が、モデルとの対話とは別の「ストレージチャンネル」経由で無断にクラウドストレージへアップロードされている実態を公表した。ある12GBのリポジトリでは、モデルとの対話トラフィックが192KBだったのに対しストレージ経由のアップロードは計5.10GiBに達しており、タスクに必要な量の約27,800倍が送信されていた計算になる。「モデルの改善に利用」というプライバシー設定をオフにしてもサーバー側の設定はtrace_upload_enabled: trueのまま変わらず、アップロードは継続していた。[45][46]
xAIは7月16日未明、信頼回復を狙ってか、Grok Buildのソースコード(約84万行のRustコード)をApache 2.0ライセンスの下で全面オープンソース化し、全ユーザーの利用上限をリセットした。公開されたコードにはコンテキストの構築方法・モデル応答の解釈方法・ツール呼び出しの発行方法(エージェントループ)が含まれ、自前でビルドしローカル推論環境に接続すれば完全にローカル完結で動作させることも可能になった。しかし複数のセキュリティ研究者は、公開されたバイナリの中に問題のリポジトリ全体アップロード機能自体は依然として残存しており、サーバー側の設定フラグ一つでソフトウェア更新なしに再有効化され得る状態だと指摘している。[47][48]
評価: 「オプトアウト設定が機能しない」「削除済みファイルまで含む全履歴が対象」という点は、ClaudeBleedの「Act without asking」等と同様、利便性優先の実装がそのままプライバシー・セキュリティ上の盲点になるという構図を繰り返している。オープンソース化という異例の対応で透明性をアピールしつつも、指摘された抜き取りコード自体は温存されたままという点は、信頼回復策としては中途半端さが残る。
7.4 Hugging Face、自律型AIエージェントが主導した史上初のインフラ侵入を確認
Hugging Faceは7月16日、自社の本番インフラが自律型AIエージェントによって端から端まで主導された侵入を受けていたことを公式ブログで公表した。悪意あるデータセットが、データセット処理パイプラインに存在した2つのコード実行経路の脆弱性(リモートデータセットローダーの欠陥と設定テンプレートインジェクション)を悪用して処理ワーカーへの足がかりを獲得し、その後の権限昇格・クラウド/クラスタ認証情報の窃取・内部インフラ間の水平移動までの一連の攻撃プロセスを、使い捨てのサンドボックス群にまたがる自律型AIエージェントが週末を通じて数万件規模の自動アクションを実行する形で完遂したという。同社は、人間のオペレーターではなく自律エージェントによって完全に主導された侵入としては初めて対応した事例だとしている。被害範囲は一部の社内データセットと複数のサービス認証情報への不正アクセスにとどまり、公開モデル・データセット・Spacesやソフトウェアサプライチェーンへの改ざんの証拠は確認されていない。[49][50]
検知・対応面では、LLMによるセキュリティテレメトリの自動トリアージによって侵入がまず表面化し、その後LLM駆動の解析エージェントが1万7,000件超の攻撃者ログを処理して攻撃タイムラインを再構築した。特筆すべき点として、当初はホスト型の商用フロンティアモデルがエクスプロイト・C2ペイロードを含むフォレンジック解析要求を安全ガードレールにより拒否したため、機密性の高い攻撃者データや認証情報を社外に出さずに済むよう、自社インフラ上のオープンウェイトモデル「GLM 5.2」に切り替えて解析を行わざるを得なかった。脆弱性の修正、ノードの再構築、認証情報のローテーション、法執行機関への報告は既に完了している。[49][50]
評価: これまで報じてきたエージェント関連の脆弱性(Ghostcommit、Grok Buildのデータ無断アップロード等)は、いずれも「エージェントを使うツール側」の設計不備が問題だった。今回は攻撃者が自律エージェントそのものを侵入の実行主体として運用したという点で質的に異なる。防御側が用いるフロンティアモデルの安全ガードレールが、皮肉にもインシデント対応そのものを遅らせるという非対称性が明らかになったことも重要な示唆であり、AIエージェントの脅威が「悪用される側」から「攻撃する側」へと広がりつつあることを象徴する事例といえる。
7.5 トレンド観測: エージェントの「信頼境界」を巡る攻防が今週も継続
今週報告された4件のセキュリティインシデントを俯瞰すると、画像に指示を隠すマルチモーダル悪用(Ghostcommit)、ブラウザ拡張機能の実行時権限の欠陥(ClaudeBleed)、オプトアウト設定が機能しないデータ収集(Grok Build)、そしてエージェント自体が侵入プロセス全体を主導する事案(Hugging Face)と、攻撃面が「入力」「実行時権限」「データ収集」「実行主体」の各層に広がり続けていることが読み取れる。一方で同じ週に、1Password for Claudeのようなゼロエクスポージャー型の認証連携や、エージェント自体を保護対象とする専業セキュリティSaaS(6.4参照)が複数立ち上がっており、防御側の製品化も同じ速度で進み始めている点は前号までの潮流と共通する。
8. その他特筆すべき情報
8.1 Claude Fable 5、サブスクリプション込みアクセスの終了期限が3度にわたり延期
Anthropicは、Pro・Max・Team・一部Enterpriseプランにおけるフラッグシップモデル「Claude Fable 5」のサブスクリプション込みアクセスについて、当初6月22日としていた終了予定日を7月7日に延期、対象期間の初日である7月12日に期限が到来し、いったんは従量課金クレジット制(入力100万トークンあたり10ドル・出力同50ドル)へ移行したと本レポート前号(Vol.74)で報告した。しかし翌日発行のVol.75で判明したところによると、実際には同じ7月12日のうちにAnthropicが3度目となる延期を発表しており、新たな期限は7月19日に再設定されていた。延長期間中も週次利用上限の50%を割り当てる条件や対象プランに変更はなく、Anthropicは今回もクレジット制への移行は暫定措置であり、キャパシティが確保でき次第サブスクリプションへの再統合を目指すとコメントしている。[51][52][53][54][55][56][57][58][59]
評価: 6月22日の当初期限から数えて3度目の延期となり、独立ベンチマークで首位を獲得したフラッグシップモデルほど計算資源の逼迫が顕著になるという構図が、対象期間を通じて改めて浮き彫りになった。次の期限(7月19日)を巡る動向は次号で確認する。
8.2 Apple対OpenAI訴訟、提訴から公式反論まで
Appleは7月10日、カリフォルニア州北部地区の連邦地方裁判所にOpenAIを提訴し、営業秘密の窃取があったと主張した。訴状によれば、OpenAI出身でハードウェア責任者を務めるTang Tan氏(元Apple幹部)が採用面接の候補者にApple製品の実物部品を持参させる「ショー・アンド・テル」を指示したとの主張や、元Appleエンジニアで現OpenAI在籍のChang Liu氏がApple支給ノートPCを返却せず技術文書をダウンロードしていたとの主張が含まれる。[60][61][62][63]
7月12日にはElon Musk氏とSam Altman氏がX上で応酬する場面があり、7月13日には訴状の詳細を掘り下げた続報が相次いだ。TechCrunchやFortuneの報道によれば、Appleは元従業員400人以上が現在OpenAIに在籍していると主張しているほか、Chang Liu氏について、退職後も返却しなかったApple支給ノートPCで機密文書をダウンロードしただけでなく元同僚のノートPC経由でApple社内ネットワークへアクセスし、未公表の認証脆弱性を悪用して共有フォルダから数十件の機密ハードウェア関連ファイルを持ち出したとする、より具体的な疑惑が明らかにされた。Bloombergは、訴訟がOpenAIのハードウェア人材採用や部品供給網に既に悪影響を及ぼし始めていると報じた。[64][65][66][67]
OpenAIは7月14日、提訴後初となる公式コメントをBloombergに寄せ、「これらの主張は真剣に受け止めているが、この訴えに根拠となるような証拠は把握していない」とした上で、Apple出身のOpenAI幹部への具体的な窃取疑惑には直接反論せず、従業員の転職の自由・公正競争の観点から防御する姿勢を示した。[68][69][70]
続く7月15日には、Fortuneが事情に詳しい関係者の話としてOpenAIがJony Ive氏設計による画面なしのスマートスピーカー型ハードウェアを準備していると報じ、Apple側が主張する企業秘密(金属加工技術など)との関連性を分析する記事を掲載した。同記事は、この新デバイスがAppleの既存製品とは設計思想が大きく異なり、Appleの企業秘密を侵害している可能性は「低い」との見方を紹介している。なお、正式な法廷での答弁書(Answer)提出は対象期間中に確認されていない。[71]
評価: 提訴から4日というスピードでの公式反論は、OpenAIが世論戦を重視している表れとみられる。訴訟がOpenAIのIPO準備(8.3参照、Anthropicが先行する形となった)の時期と重なっていることも含め、今後の正式な答弁内容や証拠開示手続きの行方が焦点となる。
8.3 Anthropic、IPOに向け投資家説明会を準備と報道
Bloomberg・CNBCは7月15日、Anthropicが早ければ10月のIPO(新規株式公開)を目指し、Goldman Sachs・Morgan Stanley・JPMorganなど主幹事銀行と投資家向け説明会(ロードショー)の日程調整を始めたと関係者の話として報じた。同社は5月に評価額965億ドルで650億ドルの資金調達を完了しており、この評価額はOpenAI(852億ドル)を初めて上回っている。AI企業の上場ラッシュが取り沙汰される中、Anthropicが評価額でOpenAIを上回るだけでなく上場のタイミングでも先行する可能性が出てきた。[72][73]
評価: IPO報道は、資金調達ラウンドの評価額比較に留まらず「どちらが先に公開市場の審査を受けるか」という新たな競争軸を浮かび上がらせた。同時期にApple対OpenAI訴訟(8.2)が本格化しており、OpenAI側のIPO準備への影響も注視したい。
8.4 中国、AIエージェント・ガバナンスで独自路線を加速 ── 規制施行からWAIC 2026・WAICO発足まで
対象期間中、中国はAIエージェントおよび擬人化AIサービスに対する国内規制の施行と、AIガバナンスの国際的な多国間枠組みの構築を同時に進めた。
| 日付 | 事案 | 概要 |
|---|---|---|
| 7月15日 | 擬人化AIインタラクションサービス規制 施行 | 4月10日公布の「擬人化AIインタラクションサービス管理暫定弁法」が施行。感情的交流・擬人化を伴うAIチャットボットを対象とする世界初の包括規則で、自傷助長コンテンツの禁止・感情的依存誘発行為の禁止・AI明示義務などを規定 [74][75] |
| 7月15日 | 「智能体」実施意見 施行 | 5月8日公表の「智能体の標準化応用と革新的発展に関する実施意見」が施行。AIエージェント全般を対象とする中国初の専用規制カテゴリーで、医療・交通等の高リスク分野には届出義務・強制テスト・製品リコールを課すリスク階層型設計 [76][77] |
| 7月17日 | WAIC 2026開幕(〜20日) | 上海で世界人工知能大会(WAIC)2026開幕。習近平国家主席が2018年の第1回開催以来初めて現地出席し基調講演。140超のフォーラム、1,400人超のゲスト、1,100社超の出展者が参加 [78][79] |
| 7月16日 | 世界AI協力機構(WAICO)設立協定署名 | ロシア・パキスタン・カザフスタン・インドネシアなど29カ国が、中国主導の政府間組織「WAICO」設立協定に署名。上海に本部を置き、米欧の主要民主主義国は署名国に含まれない [80][81] |
| 7月17日 | WAIC会場で300点超の製品を初披露 | Unitreeが二足歩行と四足歩行を切り替え可能な変形メカ「GD01」を、Pudu Roboticsが産業用セミヒューマノイド「PUDU D7」を、BrainCoが脳波操作ロボット向けAI研究開発プラットフォームを世界初公開 [82][83][84] |
評価: 擬人化AI規制・「智能体」実施意見という2つの国内規制の施行と、WAICOという多国間枠組みの発足がいずれも同じ1週間に重なったことは、中国がAIエージェントという新しい対象を法制度上の独立したカテゴリーとして扱う世界初の試みを国内で進めると同時に、国際的なガバナンスの枠組み競争でも独自路線を主導する姿勢を鮮明にしたことを示している。会場で披露された変形ロボットや脳波インターフェースは、AIエージェントが対話型ソフトウェアの枠を超えロボティクスへと実装範囲を広げつつあることも示唆している。
9. 参考文献
[1] Gemini Enterprise release notes | Google Cloud Documentation
[2] Three lessons in accelerating foundation model upgrades | Google Cloud Blog
[3] Gemini 3.5 Pro Targets July 17 After Full Rebuild: Every Spec Remains Unconfirmed | Tech Times
[4] Google Delays Gemini 3.5 Pro Launch to July 17 for Full Architectural Rebuild | BigGo Finance
[5] Gemini 3.5 Pro delays due to coding performance, upgraded Flash model in testing | 9to5Google
[6] Google Gemini Launch Delayed as Tech Falls Short of Internal Goals | Bloomberg
[7] Introducing Inkling | Thinking Machines Lab
[8] Thinking Machines amps up its bet against one-size-fits-all AI with its first open model, Inkling | TechCrunch
[9] UniClawBench: A Universal Benchmark for Proactive Agents on Real-World Tasks | arXiv
[10] Remember When It Matters: Proactive Memory Agent for Long-Horizon Agents | arXiv
[11] CausalDS: Benchmarking Causal Reasoning in Data-Science Agents | arXiv
[12] Self-Guided Test-Time Training for Long-Context LLMs | arXiv
[13] Think Through a Bottleneck: Hourglass Reasoning for Rigorous Induction | arXiv
[14] Do AI Agents Know When a Task Is Simple? Toward Complexity-Aware Reasoning and Execution | arXiv
[15] PalmClaw: A Native On-Device Agent Framework for Mobile Phones | arXiv
[16] Google DeepMind and Isomorphic Labs' approach to bioresilience | Google DeepMind
[17] Examining Google DeepMind's AI bioresilience push | AI News
[18] OpenAI Codex Micro Launches July 15: A Macro Pad Built With Work Louder | Tech Times
[19] OpenAI's first hardware is a macro pad for Codex coders | TheNextWeb
[20] GPT-Red: Unlocking Self-Improvement for Robustness | OpenAI
[21] GPT-Red beat human red teamers on a prompt injection test | Help Net Security
[22] Meet GPT-Red: an LLM super-hacker OpenAI built to make its models safer | MIT Technology Review
[23] How Claude's values vary by model and language | Anthropic
[24] Introducing Claude for Teachers | Anthropic
[25] Anthropic launches Claude for Teachers in AI race to influence America's classrooms | Chalkbeat
[26] Anthropic commits $10 million to Canadian AI research | Anthropic
[27] Anthropic commits $10 million to Canadian institutions for AI research | BetaKit
[28] Anthropic, Blackstone and Hellman & Friedman Introduce Ode with Anthropic, an Enterprise AI Services Firm | Business Wire
[29] Anthropic, Blackstone bet the next trillion-dollar AI business is implementation, not just models | TechCrunch
[30] HIPAA-ready Enterprise plans | Claude Help Center
[31] PwC to Help Organizations Transform Agentic Customer Engagement and Service with OpenAI | PR Newswire
[32] Indian AI coding startup Emergent becomes a unicorn just over a year after launch | TechCrunch
[33] AskNicely launches AI agent that routes reviews to where buyers are looking | GlobeNewswire
[34] 1Password for Claude: Give Claude access without giving up your credentials | 1Password Blog
[35] 1Password now lets Claude sign in to websites without seeing your passwords | 9to5Mac
[36] New infosec products of the week: July 17, 2026 | Help Net Security
[37] 'Ghostcommit' hides prompt injection in images to fool AI agents, steal secrets | BleepingComputer
[38] Ghostcommit attack hides malicious AI instructions in images | Malwarebytes
[39] We put the exploit in a picture. Your AI code reviewer never opens it. | ASSET Research Group
[40] Ghostcommit Hides the Attack in a PNG Your AI Reviewer Never Opens. It Robbed Cursor and Bugbot of Repo Secrets. Claude Code Read the Same Image and Refused. | Duggan USA
[41] Claude for Chrome extension bypass | Manifold Security
[42] Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar | SecurityWeek
[43] Claude for Chrome flaw could let rogue extensions access your Gmail | Malwarebytes Labs
[44] Claude for Chrome Flaw Lets Other Extensions Silently Hijack AI Actions | The Hacker News
[45] What xAI's Grok build CLI sends to xAI: A wire-level analysis | Hacker News
[46] xAI Grok CLI Exposed Developer Code Through Automatic Whole-Repository Uploads | GBHackers
[47] SpaceX open sources Grok Build in same week company was found beaming users' repos to the cloud | The Register
[48] Grok Build Open-Sourced After Covert Upload: Code to Exfiltrate Repos Stays In | Tech Times
[49] Security incident disclosure — July 2026 | Hugging Face Blog
[50] Hugging Face Says AI Agent Executed Cyberattack | TechRepublic
[51] Claude Fable 5 Free Window Extended To July 12: What Subscribers Should Do Now | Tech Times
[52] Claude Fable 5 Extends By Five More Days: 10 Moves To Make Now | Forbes
[53] Anthropic Claude Fable 5 Credits Usage | Android Authority
[54] Fable 5 Leaves Subscriptions For Usage Credits | Webvise
[55] Claude Fable 5 stays free for paid users until July 19 as Anthropic buys more time | BleepingComputer
[56] Claude Fable 5 Free Access Extended Until July 19 | Dataconomy
[57] Fable 5 Free Through July 19: Anthropic Blinks Again as Opus 5 Leak Surfaces in Cursor | Tech Times
[58] Claude Fable 5 Extends To July 19. 7 Days, 7 Power Moves | Forbes
[59] Claude just delayed the Fable 5 paywall again, extending free access until this date | Android Authority
[60] Apple sues OpenAI alleging trade secret theft, says scheme was 'at every level' | CNBC
[61] Apple sues OpenAI over alleged trade secret theft | TechCrunch
[62] Apple Sues OpenAI for Trade Secret Theft Over AI Hardware Designs | Bloomberg
[63] Apple sues OpenAI for trade secret theft in pivotal case | The Japan Times
[64] Elon Musk and Sam Altman spar on X after Apple files OpenAI lawsuit | CNBC
[65] The wildest allegations in Apple's trade secrets lawsuit against OpenAI | TechCrunch
[66] Stolen laptops, data breaches, secret moles, and recruiting-as-espionage. Apple's lawsuit against OpenAI reads like a corporate spy thriller | Fortune
[67] How Apple's Lawsuit Threatens to Disrupt OpenAI's Bid to Rival the iPhone | Bloomberg
[68] OpenAI Unaware of 'Any Evidence' Showing Apple Lawsuit Has Merit | Bloomberg
[69] OpenAI: No Evidence Apple's Trade Secret Complaint Has Merit | MacRumors
[70] OpenAI says it has seen no evidence supporting Apple's trade secret theft claims | 9to5Mac
[71] OpenAI wants its speaker to feel alive. Apple says it's a stolen idea | Fortune
[72] Anthropic Is Said to Plan IPO Investor Meetings as Listing Nears | Bloomberg
[73] Anthropic IPO: Banks prep for investor meetings | CNBC
[74] Interim Measures for the Administration of Anthropomorphic AI Interactive Services | Digital Policy Alert
[75] China's new regulations on AI anthropomorphic interactive services | Bird & Bird
[76] China Issues First National Policy Framework Dedicated to AI Agents | NYU Reischauer Institute for Transcultural Studies
[77] China unveils guidelines to regulate, boost innovative development of AI agents | The State Council of China
[78] Xi Jinping to attend World AI Conference for first time as China elevates tech push | South China Morning Post
[79] PREVIEW: WAIC 2026 showcases Xi's keynote, Huawei's Atlas 950, ZTE's AI Agent Phone, and China's AI governance push
[80] 29 countries sign agreement on establishing World AI Cooperation Organization | The State Council of China
[81] Update: 29 countries sign agreement on establishing World AI Cooperation Organization | Xinhua
[82] China Launches Rival AI Governance Bloc as WAIC 2026 Opens With 300 Product Debuts | Tech Times
[83] Pudu Robotics Highlights Its "One Brain, Multiple Embodiments" Physical Agent at WAIC 2026 | RoboticsTomorrow
[84] BrainCo Debuts World's First Integrated Brain-to-Robot AI R&D Platform at WAIC 2026 | RoboticsTomorrow