人工知能(AI)が生命科学の扉を次々と開けている。新薬の発見、難病の治療法開発、そして生命の根源たるタンパク質の設計。その恩恵は計り知れない。しかし、光が強ければ影もまた濃くなる。もし、その強大な力が悪用され、人類を脅かす生物兵器の設計図を、誰にも知られずに生み出せてしまうとしたら?

これはSF映画の筋書きではない。テクノロジーの巨人、Microsoftの研究チームが、国際的なトップジャーナル『Science』に発表した研究は、この悪夢が現実になりかねない深刻な脆弱性の存在を白日の下に晒した。 彼らは、一般に公開されているAIタンパク質設計ツールを使い、既存のバイオセキュリティの監視網をいとも簡単にすり抜ける、危険なタンパク質の遺伝子情報を生成できることを実証したのだ。

サイバーセキュリティの世界で「ゼロデイ脆弱性」と呼ばれる、防御側がまだ認識していない未知の欠陥。それが、生命そのものを扱う生物学の分野で発見された意味はあまりにも大きい。Microsoftは、この脅威をいかにして発見し、いかにして水面下で対策を講じたのか。そして、我々はこの「諸刃の剣」とどう向き合っていくべきなのだろうか。

AD

静かなる脅威 ― AIがバイオセキュリティの壁を破った日

物語は、MicrosoftのチーフサイエンティストであるEric Horvitz氏の長年の懸念から始まった。 AI研究の第一人者である彼は、AIがもたらす計り知れない恩恵と同時に、その力が悪用されるリスクを誰よりも深く理解していた。特に、近年急速な進化を遂げるAIによるタンパク質設計(AIPD: AI-assisted protein design)技術は、彼の注意を強く引いた。

AIPDは、創薬や医療に革命を起こす可能性を秘めている。特定の病気の原因となるタンパク質にだけ結合する治療薬や、プラスチックを分解する特殊な酵素など、自然界には存在しない機能を持つタンパク質をゼロから設計できるからだ。しかし、この技術は「デュアルユース(軍民両用)」の典型例でもある。善意の科学者が革新的な治療薬を生み出せる一方で、悪意ある者が強力な毒素や病原体を作り出すことも理論上は可能になってしまう。

現在のバイオセキュリティにおける重要な防衛線の一つが、DNA合成企業によるスクリーニングシステムだ。研究者がタンパク質を作るには、まずその設計図となるDNA配列を専門企業に発注する必要がある。DNA合成企業は、国際的なコンソーシアムの指針に基づき、注文されたDNA配列が天然痘ウイルスやボツリヌス毒素といった既知の危険物質の遺伝子情報と一致・類似していないか、バイオセキュリティスクリーニングソフトウェア(BSS)を使ってチェックしている。

だが、Horvitz氏と彼のチームは、ここに潜む重大な欠陥に気づいていた。それは、「AIは、既知の脅威とは全く異なるDNA配列でありながら、機能的には同じ危険性を持つタンパク質を設計できるのではないか?」という仮説だった。もしこれが可能なら、既存のBSSはそれを検知できず、防御網は意味をなさなくなる。これはまさに、サイバー攻撃で最も恐れられる「ゼロデイ脆弱性」に他ならなかった。

7万5000回の“デジタル攻撃” ― 驚愕の実験の全貌

仮説を検証するため、Horvitz氏とシニア応用生物科学者のBruce Wittmann氏が率いるチームは、サイバーセキュリティの世界で用いられる「レッドチーム」アプローチをバイオセキュリティ分野に持ち込んだ。 レッドチームとは、攻撃者の視点に立ってシステムを実際に攻撃し、その脆弱性を洗い出す実践的なテスト手法である。

「言い換え」られた毒物 ― 実験の巧妙な手口

研究チームは、まず既知の有害タンパク質(毒素やウイルスタンパク質など)を72種類選び出した。 そして、Microsoftが開発したものを含む、オープンソースで利用可能な複数のAIタンパク質設計ツールを使い、これらのタンパク質を「言い換え(パラフレーズ)」る作業を行った。

ここでの「言い換え」とは、タンパク質の構成要素であるアミノ酸の配列を大幅に変更しつつも、タンパク質全体の3次元構造、特にその機能(この場合は毒性)を司る重要な部分の形状を維持するようAIに指示することだ。 従来のBSSは、DNA配列(ひいてはアミノ酸配列)の類似性に基づいて脅威を判定する。そのため、配列そのものが大きく異なれば、元のタンパク質がどれほど危険なものであっても、スクリーニングをすり抜けてしまう可能性がある。

このデジタル上の実験で、チームは実に75,000以上もの有害タンパク質の新たな変異体を生成した。 彼らは倫理と安全性を最優先し、これらのタンパク質を実際に合成することは一切なかった。 すべてはコンピュータシミュレーションの中で完結する、あくまで脆弱性の検証を目的としたものだった。

スクリーニングは“ザル”だったのか? ― 衝撃のテスト結果

次にチームは、生成した変異体のDNA配列を、4社の異なるBSS開発者に提供し、彼らのシステムで検知できるかテストを依頼した。 結果は、研究チームの懸念を裏付ける、衝撃的なものだった。

オリジナルの、何も変更されていない有害タンパク質の配列については、全てのBSSがほぼ完璧に検出し、危険な注文としてフラグを立てた。 これは、既存のシステムが既知の脅威に対しては有効であることを示している。

しかし、AIによって「言い換え」られた変異体に対しては、その能力は一貫性を欠き、驚くほど多くの危険な配列が検出を免れたのだ。 あるBSS開発者は、AIが生成した配列が「バターのように、あらゆる防御をすり抜けていった」のを見て、「一瞬パニックになった」と述懐している。 AIは、人間が思いもよらないような方法でアミノ酸配列を組み替え、BSSの「目」を欺く設計図をいとも簡単に作り出してしまったのである。

AD

脆弱性への挑戦 ― 水面下の10ヶ月と残された課題

この憂慮すべき結果を受け、Microsoftは直ちに行動を開始した。彼らはこの発見を公にする前に、米国政府の関係機関や、協力を得たBSSプロバイダー、そしてDNA合成企業の国際団体である国際遺伝子合成コンソーシアム(IGSC)など、ごく一部の関係者と秘密裏に情報を共有した。

脅威の発覚から対策まで ― 産学官連携の迅速な対応

そこから10ヶ月にわたり、Microsoft、BSS開発企業、DNA合成企業、そして政府機関が連携し、この脆弱性を塞ぐための「パッチ」開発が急ピッチで進められた。 これは、サイバーセキュリティにおける緊急対応のプロセスを、バイオセキュリティの分野で実践する画期的な試みだった。

開発されたパッチは、各社のBSSによって異なるアプローチを取った。ある企業は、Microsoftが提供したAI生成配列を教師データとして機械学習モデルを再トレーニングした。また、別の企業は、脅威判定のアルゴリズムにおける類似性のしきい値を調整し、より広い網をかけることで検出能力を高めた。

パッチの効果と「3%」が意味するもの

対策後、チームはより大規模なデータセットを用いて再度テストを実施した。その結果、パッチを適用したBSSは、最も危険性が高いと予測されるAI生成変異体の97%を検出することに成功し、検出率は劇的に向上した。 これは、分野を超えた迅速な協力がいかに有効であるかを示す素晴らしい成果である。

しかし、物語はここで終わらない。裏を返せば、最も機能保持の可能性が高い危険な変異体のうち、約3%は依然として最新の防御網をもすり抜けてしまうことを意味するからだ。 3%という数字は小さいように見えるかもしれない。だが、ひとたび悪用されれば甚大な被害をもたらしかねない生物学的脅威の世界において、これは決して無視できないリスクだ。

この事実は、今回の「パッチ」が万能薬ではなく、あくまで一時的な対策に過ぎないことを示唆している。AI技術が日進月歩で進化を続ける以上、攻撃(AIによる新たな回避手法の創出)と防御(BSSのアップデート)の間の「いたちごっこ」は、今後も永遠に続いていく可能性が高い。 我々は、終わりなき軍拡競争の入り口に立ったのかもしれない。

AIの「デュアルユース」― 諸刃の剣をどう制御するのか

今回の研究は、AIの「デュアルユース」問題が、もはや理論上の懸念ではなく、現実的な脅威として我々の目の前にあることを突きつけている。

善用と悪用の境界線

AIタンパク質設計の可能性は、まさに驚異的だ。2024年のノーベル化学賞の一部がこの分野のパイオニアであるDavid Baker氏に贈られたことからも、その重要性がうかがえる。 新薬開発から環境汚染の解決まで、AIは人類が抱える多くの課題を解決する鍵となるかもしれない。

だが、その一方で、この技術は専門知識のハードルを劇的に下げる。かつては高度な専門知識を持つ一部の研究者しかできなかったような危険な物質の設計が、悪意ある個人やグループにとって、より身近なものになるリスクを高める。

専門家たちの見解と論争

この問題について、専門家の意見は多岐にわたる。

ニューカッスル大学のNatalio Krasnogor教授は、「これは我々が真剣に受け止めるべきリスクだ」と述べ、AIが生成した配列から実際に機能する毒素を合成するにはまだ多くのハードルがあると認めつつも、AIのさらなる進化によってそのハードルが低くなる前に、社会として今すぐ対策を講じる必要があると警鐘を鳴らす。

一方で、この研究は防御側が先手を打った好例だと評価する声もある。ハートフォードシャー大学のDaniel McCluskey教授は、「パニックになる必要はない」とし、「研究コミュニティがこの問題をすでに文書化しているという事実は、我々が効果的に監視し、対応できる良い立場にいることを意味する」と指摘する。

さらに、どこで脅威を食い止めるべきかという「チョークポイント(関所)」を巡る議論も存在する。DNAの大手メーカーであるIDTのAdam Clore氏は、DNA合成段階でのスクリーニングが依然として実用的なアプローチだと主張する。 米国のDNA製造は少数の企業に集約されており、政府との連携も密だからだ。対照的に、AIモデルの技術は世界中に拡散しており、「その魔人を瓶の中に戻すことはできない」と彼は言う。

しかし、カリフォルニア大学バークレー校のMichael Cohen氏は、配列を偽装する方法は常に存在するため、DNA合成スクリーニングという関所に頼り続けることには限界があると主張する。 彼は、バイオセキュリティ対策はAIシステム自体に組み込まれるべきだと考えている。

AD

情報公開とセキュリティのジレンマ ― 新たな科学の作法

この研究は、科学的知見の公開という、科学の根幹をなす原則にも新たな問いを投げかけた。研究の詳細を公開すれば、他の研究者が検証し、さらなる防御策を講じる助けになる一方で、その情報が悪意ある者の手に渡り、攻撃手法として悪用されるリスクも生じる。

このジレンマに対し、研究チームと『Science』誌は前例のないアプローチを選択した。それは、非営利団体「科学のための国際バイオセキュリティ・バイオセーフティ・イニシアチブ(IBBIS)」を通じて、データとコードへのアクセスを管理する「階層的アクセススキーム」を導入することだった。

研究データはリスクレベルに応じて階層化され、アクセスを希望する研究者は身元や所属、利用目的を明らかにし、審査を受ける必要がある。 最もリスクの高い研究コードへのアクセスは、正当な目的を持つと認められた研究者に厳しく制限される。

これは、オープンサイエンスの原則と安全保障上の要請という、時に相反する二つの価値観を両立させようとする野心的な試みだ。サイバーセキュリティの世界では脆弱性情報を共有して広く対策を促す文化がある一方、バイオセキュリティの世界では潜在的に致命的かつ対策が困難な脅威は秘密にされがちだ。 AIによって両者が融合した今、我々は新たな「科学の作法」を模索する必要に迫られている。

我々は何をすべきか ― 未来への展望

Microsoftが鳴らした警鐘は、AI時代のバイオセキュリティが新たな段階に入ったことを告げている。楽観も悲観も、もはやこの問題の全体像を捉えるには十分ではない。我々が取るべき道は、この現実を直視し、分野を超えて協力し、継続的な警戒を怠らないことだ。

Horvitz氏が語るように、これは「イノベーションと安全策に同時に投資することが可能である」ことを示す事例でもある。 AIがもたらす恩恵を最大限に享受しながら、そのリスクを最小限に抑える。そのための技術的、倫理的、そして法的なガードレールを構築していくことが、今を生きる我々の世代に課せられた重い責任と言えるだろう。

AIという強力なツールを手にした我々は、いわば自らの進化の舵を握っている。その舵を希望ある未来へと向けるためには、技術の進歩にただ身を任せるのではなく、その意味を絶えず問い続け、賢明に管理していく不断の努力が不可欠なのである。このMicrosoftの研究は、その長く困難な航海の始まりを告げる、重要な狼煙なのかもしれない。

論文

参考文献