Opus 4.7のサイバーセキュリティガードレール強化が正当な研究を阻害 — Cyber Verification Programへの登録を推奨

Summary

Claude Opus 4.7はサイバーセキュリティ能力に対する差分訓練（differential training）を初めて適用したモデルであり、攻撃的サイバーセキュリティ能力を意図的に削減し、自動フィルタリングで禁止・高リスクなサイバーリクエストを検出・ブロックする。しかしGitHub Issue #50162で報告されたように、このフィルタリングがバグバウンティプログラムのスコープ内で認可された正当なセキュリティ研究まで阻害する問題が発生。モデルがプログラムガイドラインを取得し「認可された研究」と正しく判定した後に、API レベルのフィルタで次のターンがブロックされるという矛盾した動作が報告された。約15件の進行中サブミッションが影響を受けた事例もある。Anthropicは正当なセキュリティ研究者向けにCyber Verification Programを新設し、検証済み研究者にはフィルタリングが緩和されたバージョンへのアクセスを提供。ただし検証要件（公開CVE・カンファレンス登壇実績等）が初期キャリア研究者を排除するとの批判もあり、HackerOne/Bugcrowdのペイアウト履歴等のより低摩擦な検証方法が求められている。Hacker Newsでも「フィルタリングが厳しすぎてOpus 4.6より使えない」との反応が広がっている。