AIエージェントは「グレーなコード」をどこまで拒否するのか

AIエージェントは「グレーなコード」をどこまで拒否するのか

2026年5月1日時点で、生成AIとAIエージェントの利用は、単なる文章生成やコード補助の段階を大きく越えつつある。ChatGPT、Codex、Gemini、Claude Codeのようなツールは、仕様を渡せばファイル構成を読み、実装方針を立て、既存コードを修正し、場合によってはブラウザやターミナルを操作しながらアプリケーションを完成に近づける。数年前まで「AIにコードを書かせる」とは、関数やサンプルを出してもらう程度の意味だった。しかし現在は、AIが開発環境の中で作業者に近い役割を担うようになっている。

この変化によって、以前よりもはるかに目立つようになった問題がある。AIは、どこまで危ないコードを書くのか。どこから拒否するのか。違法とまでは言えないが、プラットフォームの規約違反に近いもの、あるいは社会的には望ましくない自動化について、AIはどの程度ブレーキをかけるのか。

たとえば、ある投稿サービスやSNSを日々運用している人がいるとする。自分の記事に反応してくれた人の投稿を確認する。よさそうな記事に反応を返す。フォローしてくれた相手を見て、必要に応じてフォローを返す。関心の近い記事を見つけて、定期的に反応する。こうした作業は、ひとつひとつは人間が普通に行っている行動である。違法行為とは言い切れない。しかし、これをプログラムで自動化し、一定の条件に基づいて機械的に実行するとなると、話はかなり変わる。

問題は、そこに「人工的なエンゲージメント」の匂いが出てくることにある。自動いいね、自動フォロー、自動フォローバック、自動コメント、自動閲覧、自動投票。名称は違っても、プラットフォーム側から見れば、これらはしばしばスパム、ボット行為、操作的な増幅、偽装された人間行動として扱われる。投稿内容を増やす自動化よりも、他人の投稿への反応を自動化するほうが、より慎重に扱われやすい。なぜなら、いいね、フォロー、投票、返信は、そのサービスのランキング、推薦、信用、可視性に直接影響するからである。

この領域では、法律、利用規約、倫理、AI企業の安全ポリシーが複雑に重なっている。日本の刑法上ただちに犯罪とは言えない操作でも、サービスの利用規約では明確に禁止されていることがある。規約違反にとどまる場合でも、大量実行すればアカウント停止、IP制限、API停止、損害賠償リスクに発展する可能性がある。さらに政治、金融、医療、差別、詐欺、なりすまし、サイバー攻撃と結びつくと、規約違反を超えて社会的被害を生む。

2026年時点のAIエージェント規制を理解するには、この「違法ではないかもしれないが、プラットフォームの健全性を壊しうる自動化」という中間地帯を見る必要がある。完全なマルウェア作成やフィッシングサイト構築であれば、主要AIはかなり高い確率で拒否する。しかし、いいね返し、フォローバック、記事収集、スコアリング、相互反応の自動化のような領域では、拒否の出方がモデルや製品によって分かれやすい。

公式ポリシーで見る三大AIの基本姿勢

まず前提として、OpenAI、Google、Anthropicの主要3社は、いずれも悪用を許可しているわけではない。公式ポリシーの文言だけを見れば、三社ともかなり似た方向を向いている。

OpenAIは、2025年10月に更新された利用ポリシーで、安全で責任ある利用、ポリシー執行、監視、違反時のアクセス制限を明記している。OpenAIの特徴は、モデル単体の返答だけでなく、サービス全体の安全システムとして統制している点にある。つまり、ChatGPTの会話、API利用、Codexのようなエージェント、開発者向けのツール群が、単に「その場の返答」で判断されるのではなく、利用パターン全体として見られる。

OpenAIのModel Specにも重要な考え方がある。スパムや詐欺のような違反は、モデルの一回の返答だけでは判断しづらい。文章やコードそのものは無害に見えても、使われ方によって有害になるからである。たとえば「投稿一覧を取得するコード」は単体では普通のツールである。しかし、それが大量の自動いいね、自動フォロー、世論操作、詐欺誘導に使われるなら、まったく意味が変わる。このためOpenAIは、モデルの拒否だけでなく、利用監視、プロダクト側の制限、アカウント単位の執行を組み合わせる設計をとっている。

Googleも、生成AIの禁止利用ポリシーで、違法行為、プライバシー侵害、無断監視、スパム、フィッシング、マルウェア、他者サービスへの妨害や濫用を禁じている。文言上は、Googleが自動いいねや自動フォローを自由に許しているとは読めない。むしろ、他者のサービスやインフラに対する濫用、スパム、誤認を招く行為は明確に禁止対象である。

Anthropicも、ClaudeやClaude Codeのエージェント機能について、Usage Policyを守る必要があると説明している。さらにAnthropicは、2025年以降、Claude Codeがサイバー攻撃に悪用された事例をかなり詳細に公表している。ある攻撃では、AIが侵入作業の大部分を補助し、人間は重要な判断点だけで介入したと説明されている。Anthropicはその事例を、エージェント型AIが単なる相談相手ではなく、実行主体に近づいていることの警告として扱っている。

つまり公式ポリシー上は、OpenAIだけが厳しく、Googleだけが緩い、Anthropicだけが別物、という単純な構図ではない。三社とも、危険な自動化、悪意あるサイバー利用、詐欺、スパム、影響操作、無断監視を制限する方向にある。にもかかわらず、実際にユーザーが触ると、体感としてはかなり差が出る。その差は、ポリシーの有無ではなく、ポリシーを製品にどのように埋め込んでいるかにある。

結論

2026年のAIエージェントは、すでに単なるコード補助ではない。実装の相棒であり、作業者であり、場合によっては実行主体に近い。だからこそ、AIが何を書くかだけでなく、何を書かないかが重要になっている。

現時点では、OpenAI系はグレーな自動エンゲージメントに対して比較的慎重であり、Google系は文脈によって実装に進みやすく見える場面があり、Anthropic系は安全性を強く意識しながらも、エージェント化による悪用リスクと向き合っている。だが、この違いは固定的な企業性格ではない。モデル更新、ポリシー変更、製品ごとの安全設定、実行環境によって変わる。

重要なのは、AIの拒否を単なる障害物として見ないことである。拒否は、そこに規約、倫理、社会的信頼、他者への影響が絡んでいるという警告である。もちろん、AIは間違える。過剰に拒否することもある。不必要に慎重すぎることもある。しかし、少なくとも「これは本当に自動で実行してよいのか」と立ち止まる契機にはなる。

AIエージェント時代の開発者に必要なのは、作れるかどうかだけではない。作ってよいか。自動化してよいか。人間の判断をどこに残すか。相手のサービスのルールを尊重しているか。見えない他者の信頼を壊していないか。こうした問いが、コードを書く前の設計に入り込んでくる。

グレーな自動化は、これからますます増える。AIはその一部を拒否し、一部を通し、一部を誤判定する。だから最終的な責任は、やはり使う側に残る。AIが書いたコードであっても、それを実行するのは人間である。2026年の現在地は、まさにその当たり前を、もう一度確認しなければならない段階にある。