Claude Fable 5 by OneHop
← 記事一覧
Analysis

Bedrock 上の Claude Fable 5 と、新たな「30日データ保持」という取引

2026年6月17日 2 分で読めます

A cream-background editorial illustration of an AWS-style cloud boundary with a developer terminal inside it, a terracot

6月9日、AWS は Amazon Bedrock で Claude Fable 5 をリリースした。そして企業にとって本当に重要な話を、たった一文に押し込めた。利用する前に provider_data_share へオプトインしなければならず、そうした瞬間、あなたのデータは AWS のデータおよびセキュリティ境界の外へ出る、という話だ(AWS)。

これは小さな設定トグルではない。Bedrock を選んだとき、多くのチームが買ったつもりでいた契約そのものを変える。

Anthropic の売り文句は十分に明快だ。Fable 5 は、新しい Mythos クラスの能力階層を一般向けにし、安全策を組み込んだバージョンである。価格は入力100万トークンあたり10ドル、出力100万トークンあたり50ドル。現行の Opus 4.8 API レートの2倍だ。Anthropic は、このモデルを長時間にわたるソフトウェアエンジニアリング、ナレッジワーク、ビジョン、エージェント型ワークフロー向けに作ったと言っている(AnthropicClaude pricing docs)。だが、真剣な企業にとって最も重い価格はトークン価格ではない。ガバナンスの価格だ。

6月17日時点で、さらにひとつ厄介な事情が加わった。Anthropic によると、Fable 5 と Mythos 5 へのアクセスは、米国政府の輸出管理指令を受けて6月12日に停止された。一方で、他の Claude モデルには影響はない(Anthropic)。この停止は一時的かもしれない。だが、ガバナンスの型は一時的ではない。これが今の最先端モデルへのアクセスの姿だ。より高い能力、より多い監視、より少ない単純なプライバシーの約束。

表紙に合わせたアーキテクチャスケッチ。3つの経路を示している。標準の Bedrock リクエストは AWS 境界内に留まり、Claude

アーキテクチャを変えてしまう細則

AWS のローンチ記事によると、Claude Fable 5 は Bedrock の米国東部、北バージニア、欧州、ストックホルムで利用できる。また、新しいデータ保持設定にはローンチ時点でコンソール UI がないとも書かれている。モデルを呼び出す前に、Data Retention API を呼ばなければならない。

ローンチ記事は、そのスイッチの形をこう示している。

curl -X PUT https://bedrock.us-east-1.amazonaws.com/data-retention \
  -H "Authorization: Bearer <your_bearer_token>" \
  -H "Content-Type: application/json" \
  -d '{ "mode": "provider_data_share" }'

AWS は続けて、このモードが何を意味するのかを明記している。Bedrock は、モデルプロバイダーの要件に従って推論データを保持し、共有できる。Anthropic Fable 5 の場合、その要件には入力と出力の30日間保持、さらに人間によるレビューの可能性が含まれる(AWS)。

これは、多くのプラットフォームチームが抱いていた前提を壊す。

RouteDefault expectationFable 5 reality
ほとんどのモデルでの Bedrock入力/出力はデフォルトで保存されないFable 5 には不十分
Bedrock Fable 5Anthropic モデルへの AWS ホスト型アクセスプロバイダーデータ共有へのオプトインが必須
ZDR 付き Claude API対象 API ではプロンプト/出力の保持なしFable 5 と Mythos 5 は ZDR 対象外
旧 Claude モデル既存の保持設定が継続Covered Model ポリシーの影響なし

AWS 自身の Bedrock 不正利用検知ドキュメントは、今でも Bedrock はデフォルトでゼロオペレーターアクセス、ゼロデータ保持を使うと説明している。そのうえで例外を列挙する。Claude Fable 5 については、入力と出力が最大30日間保持され、利用には不正利用検知と場合によっては人間によるレビューのため、保持されたトラフィックを Anthropic と共有することへのオプトインが必要だ(AWS docs)。

その「例外」こそが製品なのだ。

Anthropic がデータを欲しがる理由

Anthropic の主張は筋が通らないわけではない。Mythos クラスのモデルは、悪用が多数のリクエストを横断して初めて見えるような能力閾値を越える、と同社は言う。単一のプロンプトは無害に見えるかもしれない。だがプロンプトのパターンは、脱獄探索、蒸留、国家支援型の活動、データ恐喝に見えることがある。Anthropic は Best-of-N jailbreaking のような複数リクエスト攻撃を具体的に挙げ、一時的な保持により安全策がリクエスト全体を「引いて見る」ことができると説明している(Anthropic support)。

同社はまた、保持データは新しい Claude モデルの訓練には使われず、人間によるアクセスは重大な危害が疑われるフラグ付きケース、または顧客からの書面による依頼に限られるとしている。Anthropic によれば、レビュアーはエクスポート、コピー、ダウンロードを防ぐツールを使い、アクセスは改ざん耐性のあるログに記録される。30日後、データは安全調査または法的要件に紐づく場合を除き削除される(Anthropic support)。

これは一貫した安全設計だ。同時に、「あなたのプロンプトと出力は保持されません」よりも弱い企業向け境界でもある。

両方とも真実であり得る。開発者はよく、どちらか一方が嘘をついているはずだ、という話し方をする。それは見立てが悪い。よりよい見立てはこうだ。Anthropic の安全システムには観測可能性が必要であり、企業ガバナンスはセンシティブなプロンプトに対する観測可能性を、新しい処理者、新しい保持ストア、新しいレビュー面として扱うことが多い。

規制対象のコードベース上でコーディングエージェントを走らせるなら、あなたの「プロンプト」はチャットメッセージではない。そこにはソースファイル、スタックトレース、ログにうっかり出たシークレット、フィクスチャに埋め込まれた顧客記録、脆弱性レポート、データベーススキーマ、社内 URL、IAM ポリシー断片、MCP サーバーからのツール出力が含まれ得る。30日間保持されるトランスクリプトは抽象的なものではない。あなたのエンジニアリング環境の一時コピーだ。

コンパクトな比較チャート。x軸は Sonnet から Opus、Fable/Mythos へ進む「モデル能力階層」、y軸は「ガバナンス

コミュニティの反応は予想通りで、だいたい正しかった

Hacker News のスレッドは核心に直行した。投稿は、保持にオプトインするとデータが AWS の境界を離れるという AWS の一文を取り上げ、数日のうちに426ポイントと254件のコメントを集めた(Hacker News)。議論は「Fable は賢いのか」ではなかった。「この境界のためでないなら、Bedrock は何のためにあったのか」だった。

ある HN コメンターは、企業にとっての中核的な痛みをこう表現した。顧客データを誰が受け取れるか契約で制限されている環境では、こうしたモデルは使えなくなる。別の人は、データ共有の制限を気にしないなら Bedrock を使う理由はほとんどない、と言った。これは少し言い過ぎだ。Bedrock には IAM 統合、請求、サービス制御、AWS ネイティブな運用もある。だが、多くの AI プラットフォームチームにとっての購入動機は捉えている。

同じテーマは r/aws にも現れた。投稿タイトルは容赦なかった。「AWS Bedrock to require sharing data with Anthropic for Mythos and future models」。あるコメンターは、自分たちの組織にとってデータをセキュリティ境界内に保つことが Bedrock の「ほとんどの意義」だったと言い、別の人はそのモデルは自分たちには使えないと述べた(Reddit r/aws)。

もうひとつ、より疑い深い流れもあった。プロバイダーがプロンプトを30日間保持するなら、それを訓練に使わない保証は何か、というものだ。事実としての答えは、Anthropic はこのデータを新しい Claude モデルの訓練や安全性以外の目的には使わないと言っている、である(Anthropic)。実務上の答えは、規制対象企業はベンダーの雰囲気を前提に統制を作らない、である。強制可能な条項、監査権、データフロー図、保持スケジュール、インシデント手順を前提に作る。

これが、多くのフォーラム議論で欠けている部分だ。「訓練には使わないと言っている」は重要だ。だが十分ではない。

Bedrock の古い約束は消えたのではない。モデルごとになった

企業チームが今やり得る最大の間違いは、「Bedrock」をひとつのプライバシー姿勢として扱うことだ。

旧モデルや多くの Bedrock ルートでは、古い姿勢はまだ存在する。AWS は、Bedrock はデフォルトでモデル入力や出力を保存せず、デフォルトでゼロオペレーターアクセスを使うと述べている(AWS docs)。Anthropic は、他の Claude モデルは既存の契約と設定済みの保持設定のもとで継続すると言っている(Anthropic support)。

Fable 5 は、ガバナンスの単位を「プロバイダー」や「プラットフォーム」から「モデルクラス」へ変える。

つまり、あなたの AI ゲートウェイはモデル ID をポリシーオブジェクトとして理解する必要がある。global.anthropic.claude-fable-5 は、Sonnet、Haiku、Opus と同じ許可リストのバケツに入れてはいけない。別のリスクラベル、別のルーティングルール、別のログ記録、そしておそらく別の承認経路が必要だ。

まともな企業ポリシーは今、こういう形になる。

  • 通常のコーディングやサポート業務では、開発者のデフォルトを非 Covered Models にする。
  • Fable/Mythos クラスのモデルは、明示的なプロジェクト承認の背後に置く。
  • 規制対象データ、シークレット、顧客識別子、未公表の財務情報、輸出管理対象物を含むプロンプトをブロックする。
  • Fable のコーディングエージェント実行には、クリーンルームのリポジトリか合成フィクスチャセットを必須にする。
  • すべての呼び出しについて、モデル ID、保持モード、データ分類、業務オーナー、チケットを記録する。
  • 各チームのコード更新を待たずに Covered Models を組織全体で無効化できるキルスイッチを追加する。

これは退屈なガバナンス作業だ。だが、保持されるコーディングトランスクリプトを無害なものと装わずに、企業が強力なモデルを使うために必要な作業でもある。

企業向け AI ゲートウェイのポリシーフロー図。開発者リクエストが分類器に入り、データ分類 a

本当の取引:今すぐ能力を得るか、きれいな境界を後回しにするか

私の立場はこうだ。AWS と Anthropic が保持のトレードオフを明示したのは正しい判断だった。だが、まともなエンジニアリング環境で Fable 5 をデフォルト有効にすべきではない。

透明性はよい。製品の適合範囲は、ローンチ時の喧伝が示すほど広くない。

プロトタイプを作っている、オープンソースのコードベースを移行している、公開文書を分析している、レッドチーム承認済みのサンドボックスを走らせている。そういう場合なら、アクセスが戻った後、Fable 5 のトレードオフは妥当かもしれない。モデルは高価だが、問うべきは、長いタスクを人間の手戻りを減らして終えられるかどうかだ。Anthropic は、Fable 5 はより長く複雑な作業でより大きなリードを示すと主張しており、初期顧客の逸話も野心的な移行やエージェント型コーディング実行を示している(Anthropic)。

銀行の取引エンジン、医療記録パイプライン、政府請負業者のリポジトリ、未発表のチップ設計、顧客サポートのエクスポート、シークレットを含む本番インシデントに取り組んでいるなら、デフォルトの答えはノーであるべきだ。「永遠にノー」ではない。法務、セキュリティ、データオーナーが新しい処理者と保持経路を受け入れるまではノー、ということだ。

ここでチームは、クラウドブランドへの信頼に判断を外注するのをやめる必要がある。Bedrock は魔法のプライバシー封筒ではない。モデル固有の例外を持つプラットフォームだ。そしてその例外は今、誰もが試したがる最先端モデルに結びついている。

Anthropic による6月12日の停止は、この点をさらに明確にする。30日間の安全保持を必要とした同じモデルが、米国政府が脱獄の可能性をめぐる国家安全保障上の懸念を主張したために取り下げられた。Anthropic はその主張に異議を唱えている(Anthropic)。この流れは、あらゆるロードマップ会議の熱を冷ますべきだ。最先端モデルはもはや単なる依存関係ではない。揺れ動くポリシー面なのだ。

開発チームが今週やるべきこと

まず棚卸しから始める。コード、ノートブック、Terraform、社内ドキュメントを検索し、Fable と Mythos のモデル ID を探す。そのうえで、すべての SDK 呼び出し箇所を信頼するのではなく、ゲートウェイ層でポリシーを強制する。

Bedrock を使っているなら、provider_data_share が有効化されているか、誰がその設定を変更できるかを確認する。これはモデルの好みではなく、本番データの外部流出制御として扱うべきだ。組織に契約上の ZDR コミットメントがあるなら、法務が別途認めるまで Fable 5 は承認済み経路の外にあると考える。

コーディングエージェントには、「フロンティアセーフ」なワークスペースを作る。シークレットなし、顧客データなし、非公開インシデントログなし、明示的に承認されていない独自データセットなし。モデルに渡すのは狭いタスク束であって、モノレポ全体に Slack エクスポートとデータベースコンソールまで足したものではない。

調達では、質問票を更新する。モデルプロバイダーとクラウドプラットフォームに、モデルクラスごとに次を尋ねる。

  • プロンプトと出力は保持されるのか。どのくらいの期間か。
  • それを保存するのはクラウドプロバイダーか、モデルプロバイダーか。
  • 人間がレビューできるのか。どのトリガーで行われるのか。
  • 訓練、安全性チューニング、分類器評価、不正利用検知に使われるのか。
  • 顧客が見られる監査ログは何か。
  • リーガルホールド、安全調査、政府命令のもとでは何が起きるのか。
  • 顧客は組織全体でそのモデルを無効化できるのか。

Fable 5 のローンチは、Bedrock を悪いものにしたわけではない。怠惰な Bedrock ガバナンスを時代遅れにしたのだ。

それが有用な教訓だ。今後、こういうモデルは増える。非常に高性能で、高価で、監視され、特別な条件で包まれたモデルだ。勝つのは、それらをすべて禁止するチームでも、すべて盲目的に有効化するチームでもない。勝つのは、仕事を機微度でルーティングし、データがどこへ行ったかを証明し、ガバナンスコストに見合うタスクにだけ最先端の能力を取っておくチームだ。

Claude Fable 5 を自分で試したい読者は、Claude Fable 5 on OneHop から使える。定価より約30%安いドロップインエンドポイントだ。新規アカウントはカード不要で、10ドル分を無料で開始できる。

参考: Claude Fable 5 を始める.