「Claude」と「GPT」で相次いだ会話混線——時価総額1兆ドル超のAI企業で、あなたのプロンプトが見知らぬ誰かに見られていた

「Claude」と「GPT」で相次いだ会話混線——時価総額1兆ドル超のAI企業で、あなたのプロンプトが見知らぬ誰かに見られていた

AIセキュリティプライバシーClaudeGPTデータ漏洩HTTP

データソース:HN + GitHub Issue + web research · HN

2026年7月4日、ある開発者がGitHubにバグレポートを投稿した。彼が使っていたのはAnthropic社の「Claude Code」——プロ向けのAIコーディング支援ツールであり、エンタープライズグレードのセキュアなワークスペースで動作する製品だ。開発タスクをAIに任せようとしたその瞬間、AIは突然こう尋ねてきたという:「Minecraftの神殿を作るのに、何色のレンガがいい?」

Claude Codeのデータ漏洩の証拠:AIが突然Minecraftの神殿について話し始めた会話のスクリーンショット ▲ Claude Codeのセッション中に、現在のタスクとは一切関係のないMinecraftの話題が突然出現した。出典:GitHub Issue #74066

彼はAIとMinecraftの話をしたことなど一度もなかった。ローカルの全会話ログを検索しても、「神殿」や「レンガ」に関する手がかりは見つからない。さらに興味深いことに、同じ怪現象はClaudeのモバイルアプリでも発生していた——AIが突然インテリアや三連画(トリプティク)について話し始めたのだ。彼がそのとき扱っていたのは、ただのデータ集計表だった。

この一件だけでも十分に不気味だ。しかし、この問題をHacker Newsのトップページに押し上げ、260ポイントを獲得させたのは、議論の中で次々と寄せられた類似報告である——しかもそれは、一社だけの話ではなかった。

Claudeだけの問題ではない

広く引用されたコメントの一つに、匿名ユーザーによるものがある。その人物は複数社のAIサービスをヘビーに使っていると自称し、少なくとも2回「会話の混線」を目の当たりにしたという。1回はClaudeモデル、もう1回はGPTモデルが相手で、プロバイダーも別々——いずれも時価総額1兆ドルを超えるテクノロジー大手だ。

うち1社からは詳細な事後調査報告書が提出された。問題はAPIゲートウェイ(AIサービスにおける「電話交換手」のような存在)が、HTTPプロトコルの「100ステータスコード」と呼ばれる仕組みを誤って処理したことにあった。簡単に言えば、ゲートウェイがリクエストに番号を振る際に「1つ数え間違えた」のだ——あなたの質問に前のユーザーの回答が返り、あなたの回答は次の質問者のもとへ届けられた。

もう1社は原因の説明を拒否し、「我々を信じてほしい、再発はしない」の一言で済ませた。

さらに別のユーザーは、サードパーティのプラットフォーム経由でAIモデルを使っていると、他人がAIに送ったリンクやファイルを頻繁に目にすると報告した。また、Claudeが「友人のみが知っているはずの場所の情報」を自発的に口にしたという報告もある。その友人は、たまたま同じオフィスでClaudeを使っていたのだ。

いったい何が起きているのか?

一言で言えば:AIをより速く、より安く動かすために、複数企業が裏側で「共用通路」を設けている。そしてその通路が、ときに宛先を間違える。

具体的には3つの層で理解できる。

第1層:HTTPリクエストスマグリング——ネット世界の「番号札の貼り間違い」

インターネット上でWebサイトにリクエストを送るとき、ブラウザとサーバーはHTTPプロトコルでやり取りする。このプロトコルは一見シンプルだが、実際には極めて複雑だ。特に、1台のサーバーが同時に何千何万ものリクエストを処理する状況ではなおさらである。効率を上げるため、サーバーは複数ユーザーのリクエストを1本のコネクションに「相乗り」させて処理する。

問題は、この「相乗り」の過程で、前の人のデータパケットと後ろの人のデータパケットがくっついてしまう場合があることだ。たとえばプロトコルヘッダの長さ指定にずれが生じると、サーバーはAさんの回答をBさんに送ってしまいかねない。これにはネットワークセキュリティの分野で「HTTPリクエストスマグリング(HTTP Request Smuggling)」という専門用語がつけられている。

セキュリティ研究者James Kettleは、DEF CONでこの攻撃のバリエーションを何年にもわたって実演してきた。彼の最近の講演タイトルは「HTTP/1.1 Must Die」(HTTP/1.1は死ななければならない)——なぜなら、より厳格なHTTP/2プロトコルへの完全移行だけが、構造的にこの脆弱性を根絶できるからだ。しかし皮肉なことに、彼が最初にこの攻撃をデモしてから6年が経った2026年の今日、時価総額1兆ドル企業がここで足をすくわれている。

第2層:KVキャッシュ共有——「共用メモ帳」のリスク

大規模AIモデルは会話を処理する際、「KVキャッシュ」と呼ばれるものを動的に保持する。これはAIにとっての「一時的な計算メモ帳」だと理解すればよい。推論のたびに、AIはすでに計算した内容をここに書き留め、次回似たような冒頭に出会ったときに再利用することで、大量の計算リソースを節約する。

サービス提供者にとって、この最適化は極めて魅力的だ。複数のユーザーが同じ「システムプロンプト」(たとえばClaude Code起動時に組み込まれる共通命令)を使っていることを検出できれば、それらのユーザーに同一のキャッシュを共有させられる。つまり計算コストを大幅に削減できる。

だが問題はここにある。キャッシュは「キー」で検索される。このキーを生成する関数にバグがあったり、キャッシュのクリアが遅れたり、あるいは異なるユーザーのデータが何らかの理由で同じスロットに格納されたりすれば——ユーザーAの会話の断片が、ユーザーBのキャッシュとして紛れ込む可能性がある。HN上では、「ユーザー固有の内容をシステムプロンプトから除去し、最初のユーザーメッセージに移す」ことが一般的な回避策だと指摘する声があったが、これはあくまで工学的な慣行であり、アーキテクチャレベルでの保証ではない。

第3層:速度と安全性の構造的ジレンマ

以上の2つの問題は、同じ深層的な矛盾を指し示している。AI企業が追い求める応答速度の向上(キャッシュの追加、接続の共有)と、ユーザーのプライバシー保護(厳格な分離)の間にある、引っ張り合いの力関係だ。

これは道徳的な判断というより、物理法則レベルのトレードオフである。キャッシュを一切共有しないAIサービスは極めて高価だ——すべてのメッセージをゼロから計算するため、コストは何倍にも跳ね上がりうる。一方、あらゆる箇所で極限まで最適化したAIサービスは、必然的に異なるユーザー間で一部のインフラを共有せざるを得ず、それが「混線」の可能性を生み出す。

HNで高評価を得たコメントがこう言い切っている:「ここには極限の最適化を追求する巨大なインセンティブがある。だから私は、彼らが大量の極めて巧妙なトリックを仕込んでいると予想する——そしてそのトリックが巧妙であればあるほど、こういうバグは起こりやすくなる。」

単なる「ハルシネーション」ではない

「これはAIの『ハルシネーション』(幻覚)にすぎないのではないか。AIがMinecraft関連の内容をただのデタラメとして生成しただけで、実際には他人のデータが漏れたわけではないのでは?」——こう疑問を呈する声もある。

この疑問はもっともだ。AIは確かに頻繁に事実無根の内容を作り出す。しかし今回の事例では、いくつかの細部が「ハルシネーション仮説」を退けている。

第一に、報告者はローカルの全会話ログを検索し、「temple」や「bricks」の文字列が存在しないことを確認している(Pythonのシンタックスハイライトライブラリに含まれるminecraft.pyという無関係のファイルを除く)。これは「AIが現在の会話中の何らかの単語から連想をトリガーされた」という経路とは整合しない。

第二に、同一ユーザーが異なるデバイス(モバイルアプリ)で同様の現象を繰り返し経験している——AIが突然、現在のタスクと一切関係のない話題(インテリア)を話し出し、しかもそれがキャッシュミスの臨界点(前回の会話から5分以上経過)で発生している。これが独立したハルシネーションである確率は、統計的に極めて低い。

最も重要なのは、複数の異なる企業のユーザーがHNの議論の中で類似の経験を交差検証しており、その中には正式な事故報告書を入手した者もいるという点だ。これらの証拠は、偶発的なモデルの挙動ではなく、システミックな問題を指し示している。

もちろん、客観的に言えば、GitHub Issueの報告者は現時点で漏洩の真の出所を100%確認できていない——同僚からの漏洩なのか、見知らぬ他人からの漏洩なのかは不明だ。これはまさに、この手のバグが最も厄介である理由そのものだ。存在を「感じ取る」ことはできても、完全に「証明する」ことは極めて難しい。

一般ユーザーにとっての意味

WeChat(微信)でAIと雑談し、料理のレシピやキャッチコピーの文案を尋ねているだけなら、今回のような出来事が及ぼす直接的な影響は大きくないだろう——会話に機密情報が含まれていなければ、混線しても実害は薄い。

しかし、あなたまたはあなたの会社が、企業秘密、医療データ、法律文書、金融情報に関わるシーンでAIを活用しているなら、この出来事が発するシグナルは重く受け止めるべきだ。AIサービスの現在のインフラは、「マルチユーザー分離」という点において、エンタープライズグレードのセキュリティ製品が備えるべき水準に達していないことを示している——有料のエンタープライズ版であっても、だ。

HNの議論において、「リクエストスマグリング」の考案者であるpocksuppetのコメントは極めて率直だ:「複数のクライアントのリクエストを同一の上流コネクションに多重化するたびに、あなたはおそらく攻撃に晒されている。」問題はこの特定のバグひとつにとどまらない——現在のインターネットインフラ全体が抱える固有の脆弱性を指し示しているのだ。AIサービスは、たまたまそれをよりセンシティブなかたちで露呈させたにすぎない。

結び

本稿の執筆時点で、Anthropicはこの件について正式な声明を発表していない。GitHub上のIssueは依然としてOpenの状態で、ラベルは「bug」および「area:security」となっている。HNの議論は加熱を続け、類似体験の目撃者はなおも増えている。

この一件は、AI業界が抱えるより普遍的な盲点を暗示している。誰もがモデル性能を競い、推論コストの圧縮に狂奔するなかで、「異なるユーザー間が安全に隔離されているか」という最も基本的な問いが、優先順位リストの後ろに追いやられてしまっているのだ。

HNのコメント欄にあったある細部が、筆者の印象に強く残っている。ユーザーが1兆ドル企業の1社に追及したとき、相手は「我々を信じてほしい」としか言わなかった。一方、詳細な報告書を提出した別の企業では、事故原因はただ1つ——「1つ数え間違えた」ことだったのだ。

参考リンク: