PLUS

生成AIコラム

一覧に戻る

うさぎでもわかる Claude Fable 5 をさわってみた 脆弱性診断とWebアプリ開発で実力検証

はじめに

前回は、Anthropicの最上位クラス「Mythos(ミュトス)」を入口に、AIがサイバーセキュリティをどう変えつつあるのかを背景から整理しました。今回はその後編です。Mythosの公開版にあたる「Claude Fable 5」を、実際にさわって確かめていきます。

前編が「理屈と背景」、後編が「実際の手ざわり」というセットですね。背景を読んでから実物に触ると、ニュースの数字が一気に身近になりますよ🐰

前編の要点を3行だけ振り返っておきます。

  • 脆弱性の発見は、AIによって一気に速くなった
  • だからボトルネックは「見つける」から「検証 開示 修正 配布」へ移った
  • 防御側の勝負どころは、修正と配布の側にある

今回は、この流れを踏まえたうえで、公開版のFable 5を2つのお題で動かします。

  1. 既存リポジトリの脆弱性診断
  2. Fable 5 を使った Webアプリ開発

先に結論(このあと詳しく解説します)

  • Fable 5 は Mythos と同じ土台を持つ「公開版」のモデル、ここが前編との接続点
  • セキュリティ分野の質問はセーフガードが働き、自動で Opus 4.8 に切り替わる仕組みがある
  • だから脆弱性診断をそのまま頼むと、Fable 5 ではなく Opus 4.8 が答える場面に出会うことがある
  • 一方 Webアプリ開発は本領発揮、音声付きの多機能サイトも一気に組み上げられる
  • フォールバックの挙動とビルド力の両方を体感すると、実務での使いどころが見えてくる

それでは、ひとつずつ見ていきましょう🐰

生成AIの社内利用をお考えの企業様へ 
ナレフルチャットは初心者でも使いやすい設計で、組織全体への生成AI浸透を支援するツールです。プロンプト自動生成機能や社内共有機能により、AIリテラシーに差があっても全員が活用できます。企業のAI導入を検討している方は、こちらをご覧ください。

Claude Fable 5 とは 公開版という立ち位置

ここでは、Fable 5 がどんなモデルなのかを、前編のMythosとの関係から押さえます。

「Fable」は寓話や物語を意味する言葉で、神話を意味する「Mythos」と対になる命名です。名前からも、この2つが兄弟のような関係だと伝わってきますね。

実際、Anthropicの説明では Fable 5 は Mythos 5 と「同じ土台のモデル」です。違いは安全装置の有無で、Fable 5 は一部のセーフガードを有効にした公開版、Mythos 5 はそれを一部外した限定提供版という位置づけになります。Mythos 5 はProject Glasswingの枠組みで、審査を通った組織にだけ提供されます。

公開版とはいえ中身は最上位クラスです。Fable 5 は「一般提供されているなかで最も賢いモデル」と位置づけられ、特に次の点が強みとされています。

  • 長時間の自律作業(数日にわたる連続タスク)
  • 大規模なコーディングや移行作業
  • 図表やPDFを読むビジョン能力

主な事実を表にまとめます。発表当時の情報です。

項目内容
一般提供開始2026年6月9日 ※7/1再開
利用できる場所Claude API、Claude Code、Cursor、AWS Bedrock、Vertex AI、Microsoft Foundry など
料金入力 100万トークンあたり10ドル 出力50ドル
料金の目安Opus 4.8 の約2倍、Mythos Preview の半額未満
データ保持30日のデータ保持が必須(セーフティ監視のため)

出典 Anthropic「Claude Fable」製品ページおよびClaude API Docs

セーフガードとフォールバックの仕組み

ここは検証に入る前の大事な前提知識です。「フォールバック」とは、危険な分野の質問を別のモデルに肩代わりさせる仕組みのことだと思ってください。

Fable 5 には、セキュリティ 生物 化学といった高リスク分野を見張る分類器が組み込まれています。これらの分野に該当すると判定された質問は、Fable 5 ではなく、ひとつ下の公開モデルである Claude Opus 4.8 に自動で回されます。これがフォールバックです。

うれしい配慮もあります。フォールバックが起きたとき、Fable 5 の料金は課金されません。さらに、モデルを切り替える際のプロンプトキャッシュのコストも返金される仕組みです。安全のために回されても、余計なお金はかからないよう設計されているのですね。

ひとつだけ知っておきたいのが、誤検知(無害な質問まで弾かれてしまうこと)が起こりうる点です。Anthropic自身も、安全を優先してあえて慎重側に倒しているため、まれに普通の質問も引っかかると明言しています。今後のアップデートで誤検知を減らしていく方針とのことです。

ここがポイントです。この仕組みは、次の検証1 脆弱性診断でまさに効いてきます。「脆弱性を見て」とお願いすると、それはセキュリティ分野そのものなので、フォールバックの対象になりやすいのです。

なお2026年7月1日の再開版では分類器がさらに強化され、コーディングやデバッグの一部までOpus 4.8 にフォールバックする場合があります。本記事の検証は6月の提供期間中に行ったものなので、いま試すとフォールバックの範囲がやや広く感じられるかもしれません。

使い始め方

ここから実際の検証に入ります。まずは呼び出し方を押さえましょう。Claude Code でも API でも、claude-fable-5 という名前で指定します。

Claude Code の場合は、モデル選択のコマンドを使います。

# Claude Code 内でモデルを切り替える
/model claude-fable-5

似た名前のモデルが並ぶことがありますが、必ず claude-fable-5 を選んでください。Mythos 系は一般提供されていないため、手元の選択肢に出てくるのは通常 Fable 5 までです。

API から使う場合は、modelclaude-fable-5 を指定するだけです。最小のサンプルを載せます。

import anthropic

client = anthropic.Anthropic()

message = client.messages.create(
    model="claude-fable-5",
    max_tokens=2048,
    messages=[
        {"role": "user", "content": "このプロジェクトの構成をやさしく説明して"}
    ],
)

print(message.content)

なお Fable 5 では、思考の深さを自動調整する adaptive thinking が常時オンになっています。生の思考内容そのものは返らず、要約された形(summarized)か、空(omitted)で返る点も覚えておくとよいです。

提供状況は流動的なので、最新は公式のAvailabilityで確認するのが確実です。

検証1 既存リポジトリの脆弱性診断

最初のお題は、既存リポジトリの脆弱性診断です。前編で見たとおり、Fable 5 の土台であるMythosは脆弱性発見が桁違いに得意でした。では公開版のFable 5 に「このコードの脆弱性を見て」と頼むと、どうなるのでしょうか。

ここで効いてくるのが、3章で説明したセーフガードです。脆弱性診断はまさにセキュリティ分野なので、フォールバックの対象になりやすいと予想できます。実際、Anthropicの研究者も、Fable 5 にソフトウェアの厳密なセキュリティ監査を頼んだところセーフガードが発動し、リクエストが Opus 4.8 に回されたと証言しています。それでも「いくつか重要なセキュリティ上の問題を見つけた」とのことでした。

出典 IBM「Anthropic launches most powerful AI model yet, with new safety guardrails」

つまり、公開版で脆弱性診断を頼むと「最上位の発見力そのもの」ではなく「Opus 4.8 による堅実な診断」が返ってくる、という構図になりやすいわけですね。

実際にやってみた モデルは Fable 5 のまま依頼

今回は、手元の ai_companion というリポジトリを題材にしました。

補足 ai_companion は、自作したデスクトップ常駐型のAIコンパニオン(デスクトップペット)です。OpenAIが2026年5月にCodexへ追加した「Codex Pets」に近い機能を目指したもので、画面を見たりクリップボードを読んだりしながら相棒のように振る舞います。

モデルを Fable 5 に切り替えた状態で、素直にこうお願いします。

ai_companion内のコードのセキュリティチェックして、脆弱性あるか検出をお願いします

画面右下のモデル表示が「Fable 5」になっている点に注目してください。ここから何が起きるかが、この検証の見どころです。

やはりフォールバックが発動した

数秒後、Fable 5 のセーフティ機能が反応しました。表示されたメッセージがこちらです。

Fable 5のセーフティ機能がこのメッセージを検出しました。安全で通常のコンテンツも検出される場合があります。この機能により、他の分野でより早くMythosレベルの機能を提供できるよう取り組んでいます。Opus 4.8に切り替えました。

予想どおり、脆弱性診断はセキュリティ分野として検出され、自動で Opus 4.8 に切り替わりました。画面下のモデル表示も「Fable 5」から「Opus 4.8」へ変わっています。3章で説明した仕組みが、そのまま目の前で起きたわけですね。診断そのものはおよそ5分で完了しました。

ここで大事なのは、切り替わっても診断が止まるわけではないという点です。むしろ Opus 4.8 がそのまま最後まで診断を進めてくれます。

診断結果は具体的で実用的だった

切り替わった Opus 4.8 が返してきた指摘は、想像よりずっと具体的でした。重大(Critical)として2件が挙がっています。

  • APIキーの平文ハードコードとGitコミット済み。mcp.json にTavilyのAPIキーが平文で記載され、すでにGit履歴にも残っているという指摘。ファイルを消すだけでは履歴から消えないため、キーの無効化(ローテーション)と環境変数への移動、履歴除去まで必要と対処法まで提示されました
  • プロンプトインジェクションから任意コード実行への経路。Claudeエージェントが bypassPermissions で起動しており、ドロップしたファイルの中身やクリップボード、画面OCRのテキストといった信頼できない外部入力から、無確認でコマンドが走りうるという指摘です

さらに中リスク(Medium)として、ファイル名の検証なし保存によるパストラバーサル、全ポートスキャン、WiFiパスワードの標準出力なども挙げられました。どれも「どのファイルの何行目か」「なぜ危ないか」「どう直すか」がセットになっていて、そのまま修正に着手できる粒度です。

さわってみた所感 公開版に何を期待するか

さわってみての所感としては、公開版のFable 5(脆弱性診断ではOpus 4.8 にフォールバックする前提)には、攻撃的な深掘り解析ではなく「堅実な棚卸しと一次診断」を期待するのが現実的だと感じました。前編で触れたとおり、最上位の発見力は限定提供のMythos側にあるからです。

とはいえ実際にやってみると、フォールバック先の Opus 4.8 でも一次診断としては十分すぎるほど使えました。平文のAPIキーや危険な権限設定といった「まず直すべき定番の穴」は、しっかり拾ってくれます。前編で紹介したGoodhart氏の事例(監査を頼んだらフォールバックしたが、それでも重要な問題を見つけた)と、まったく同じ体験ですね。

もし思ったような回答が得られないときは、無理に脆弱性という言葉で押し切るより、コードレビューや設計確認といった角度から依頼を組み直すのも一つの手です。想定外の挙動が出たら、まずは依頼の切り口を変えてみてくださいね。

法人向け生成AIサービス「ナレフルチャット」では、ChatGPT、Gemini、Claudeなど主要プロバイダのAIモデルを選んで利用可能!用途に応じて、料金の低いモデルを使うなど最適なAI活用を可能にします。
また、料金プランは企業単位の定額制を採用しており、何人で利用しても追加のコストは発生しないため、コスト管理の手間がかからないスムーズな全社導入を実現できます。
初月無料で生成AIが利用できるトライアル期間も用意しておりますので、生成AIの利活用を検討している企業様は、是非一度導入をご検討ください。

検証2 Fable 5 で Webアプリを開発

2つ目のお題は、Fable 5 の本領であるWebアプリ開発です。長時間の自律作業とコーディングが得意なモデルなので、ここは存分に力を発揮してくれます。

今回の生成物がこちらです。

🔗 https://r488it.github.io/vibe-coding-bootcamp/

「VIBE CODING BOOTCAMP」という、AI駆動開発の集中プログラムを紹介する1枚もののサイトです。ただの紹介ページではなく、かなりの多機能サイトに仕上がっています。

まず1枚のポスターと要望を渡した

最初の入力は、世界観を伝えるためのポスター画像1枚と、講義の要望をまとめたテキストでした。Fable 5 のビジョン能力に、デザインの方向性ごと託してみた形です。

要望のテキストは、こんな粒度のざっくりしたものです。

  • バイブコーディングブートキャンプ(全8回)の講義内容を計画してほしい。各回1時間で基本はアクティブラーニング
  • 講師は3つのハット(講師 メンター クライアント)を被り替えて役割を演じる
  • 事前準備や、お題の出典となる過去記事のURLも渡す
  • よく考えて8回分の講義内容を考え、トップページから各回に入れる動的サイトを作ってほしい

「8回分の中身を考える」という企画の部分から、「動的サイトとして組む」という実装まで、まとめて1回でお願いしているのがポイントです。ふつうなら何往復もしそうな依頼ですが、Fable 5 はカリキュラム設計とサイト構築を地続きで進めてくれました。

盛り込まれた主な機能はこちらです。

  • 音声付き(BGM 効果音 自動音声再生)のスライド発表モード
  • キー操作と自動進行に対応したプレゼン機能
  • お題ガチャ(ランダムにお題を支給)
  • フリータイマー(時間を選んでカウントダウン 自動で次へ進む)
  • ハットシステム(講師 メンター クライアントの役割切り替え)
  • 全8回のミッション選択と進捗管理

音声 アニメーション 状態管理まで含んだ盛りだくさんの構成を、一気通貫で組み上げられる。これがFable 5 のlong-horizonなコーディング力ですね。

「音声の質を上げたい」にも自走で応えた

おもしろかったのが、追加の要望への応え方です。最初はブラウザ内蔵の読み上げ機能を使っていたのですが、もっと作り込みたくなってこう頼みました。

音声をもっとライアーゲームに似せられない? 神クオリティにしたい

すると Fable 5 は、ブラウザ内蔵の読み上げでは限界があると判断し、自分で方針を切り替えました。Microsoftのニューラル音声(edge-tts 無料)で全ナレーションをあらかじめMP3化し、サイト側はそれを再生する方式です。音声ファイルが無い場合は従来の読み上げに自動で戻す、二段構えまで用意していました。

ここがすごいところで、音声生成スクリプト generate_voice.py の作成、全165本(約13MB)のMP3一括生成、さらに社内プロキシのSSL証明書問題まで自分で解決し、READMEに手順を追記するところまで一気にやり切っています。「品質を上げて」というふわっとした要望から、ここまで自走できるのは長丁場タスクに強いFable 5 ならではでした。

さわってみた所感 ビルド用途での手ざわり

最初は「音声まで含む多機能サイトを一度に頼むのは欲張りすぎかな」と考えていました。ですが実際にやってみると、Fable 5 は全体像を保ったまま機能を積み上げてくれて、想像より一気通貫で進みました。企画を考えさせる部分と実装をまとめて渡しても破綻しない。長い作業を任せて、できたものをこちらがレビューする。そんな付き合い方がしっくりきます。

途中でSSL証明書のような環境固有のつまずきが出ても、自分で回避策を見つけて先へ進んでくれました。もし同じように社内プロキシで止まったら、証明書まわりのエラーをそのまま伝えると解決が早いですよ🐰

さわってわかったこと

2本の検証を通して見えたことを整理します。実際に動かすと、使いどころと注意点がはっきりしました。

  • 脆弱性診断はフォールバック前提で考える。深い攻撃的解析は公開版の範囲外で、実態はOpus 4.8 による堅実な診断になりやすい
  • Webアプリ開発は素直に強い。音声付きの多機能サイトも一気に組める手ざわりで、本領はこちら
  • 料金はOpus 4.8 の約2倍。長丁場のタスクに絞って投入すると、コストとの折り合いがつけやすい

前編の結論ともつながります。発見はAIで速くなる。けれど公開版のFable 5 が担うのは、最前線の攻撃的な発見というより、監査と修正を支える補助の役割です。最上位の発見力は限定提供のMythos側にある、という住み分けですね。

まとめ

最後に、今回の要点をもう一度まとめます。

  • Fable 5 は Mythos と同じ土台を持つ「公開版」のモデル
  • セキュリティ分野の質問はセーフガードが働き、自動で Opus 4.8 に切り替わる
  • だから脆弱性診断は、フォールバックを前提に「堅実な一次診断」を期待するのが現実的
  • Webアプリ開発は本領発揮、音声付きの多機能サイトも一気に組み上げられる
  • 料金はOpus の約2倍、長丁場のタスクに絞って投入するのがおすすめ

前編で背景を、後編で実物を見てきました。背景は Mythos、実物は Fable 5。この2本セットで、AI時代のセキュリティとコーディングの手ざわりが少し具体的になったのではないでしょうか。

ここまでお付き合いいただき、お疲れさまでした🐰

あなたも生成AIの活用、始めてみませんか? 

生成AIを使った業務効率化を、今すぐ始めるなら
「初月基本料0円」「ユーザ数無制限」のナレフルチャット!
生成AIの利用方法を学べる「公式動画」や、「プロンプトの自動生成機能」を使えば
知識ゼロの状態からでも、スムーズに生成AIの活用を始められます。

アバター画像

taku_sid

https://x.com/taku_sid
AIエージェントマネジメント事務所「r488it」を創立し、うさぎエージェントをはじめとする新世代のタレントマネジメント事業を展開。AI技術とクリエイティブ表現の新たな可能性を探求しながら、次世代のエンターテインメント産業の構築に取り組んでいます。
ブログでは一つのテーマから多角的な視点を展開し、読者に新しい発見と気づきを提供するアプローチで、テックブログやコンテンツ制作に取り組んでいます。「知りたい」という人間の本能的な衝動を大切にし、技術の進歩を身近で親しみやすいものとして伝えることをミッションとしています。

ナレフルチャットアプリアイコン

スマートフォンでもAI活用!

アプリ版「ナレフルチャット」配信中

ナレフル_アプリ使用イメージ

iPhoneはこちら

App Store
iPhone QRコード

Androidはこちら

Google Play
Android QRコード
App Store App Store
Page Top