関連記事
GitHub Copilotに初のオープンウェイトモデル「Kimi K2.7 Code」が追加、中国Moonshot AI開発で浮上するガバナンスの課題

(Github.com)[写真拡大]
GitHubは2026年7月1日(現地時間)、AIコーディングアシスタント「GitHub Copilot」のモデル選択肢に、中国・北京のMoonshot AIが開発したオープンウェイトモデル「Kimi K2.7 Code」を追加した。これはCopilotにおいて、開発者が完全にダウンロード可能なオープンウェイトモデルを選択できる初の事例となる。しかし、開発元が中国企業であることから、企業の管理者にとってはデータガバナンスや法的なコンプライアンスの観点で慎重な判断が求められている。
■Kimi K2.7 CodeがCopilot Pro、Pro+、Max向けにロールアウト開始
Kimi K2.7 Codeは、Copilot Pro、Pro+、およびMaxプラン向けに段階的なロールアウトが始まっている。Visual Studio Code(バージョン1.127.0以降)、Visual Studio(バージョン17.14.6以降)、JetBrains(バージョン1.9.1-251以降)、Xcode、Eclipse、Copilot CLI、GitHub.com、およびGitHub Mobileのモデルセレクターからアクセス可能だ。GitHubによると、BusinessおよびEnterpriseプランへの提供は数週間以内に拡大される予定だが、これらのプランではデフォルトで「オフ」に設定されており、組織の管理者が設定で明示的に有効化する必要がある。
課金は、GitHubが2026年6月1日に導入した「AIクレジット」システム(1クレジット=0.01ドル、約1.61円)に従う。Kimi K2.7 Codeはプロバイダーのリスト価格で請求されるため、Copilotに現在ラインナップされている最先端の商用クローズドモデルよりも低いコスト層に位置づけられている。利用にあたって新たなサブスクリプションプランを契約する必要はない。
これにより、CopilotのモデルセレクターはOpenAI、Anthropic、Google、Microsoft、そしてMoonshot AIという5つの独立したAI研究所をカバーすることになった。単一のサブスクリプションで5つの異なるAIプロバイダーを切り替えられる主要なコーディングツールは、現在の市場でCopilotのみである。GitHubによる初期テストでは、Kimi K2.7は既存の最先端モデルに匹敵する強力なパフォーマンスを備えた、より低コストな選択肢であると説明されている。
■Mixture-of-Experts(MoE)アーキテクチャが実現する低コスト化の仕組み
Kimi K2.7 Codeが安価である理由を理解するには、そのアーキテクチャを知る必要がある。この価格は補助金によるものではなく、エンジニアリング上の選択の結果だからだ。
Kimi K2.7 Codeは、総パラメータ数1兆、トークンあたりのアクティブパラメータ数320億のMixture-of-Experts(MoE:混合専門家)アーキテクチャを採用している。従来の密な(Dense)言語モデルでは、処理されるすべてのトークンが各レイヤーのすべてのパラメータを通過する。一方、MoEはこれを打破し、トランスフォーマーブロックごとに1つの巨大なフィードフォワードネットワークを置く代わりに、専門化された「エキスパート」サブネットワークのプール(K2.7 Codeでは384個)を維持し、学習済みのルーティング機構がトークンごとに少数のサブネットワークのみを選択する。K2.7 Codeは、全384個のエキスパートのうち、トークンあたり8個のアクティブエキスパートと1個の共有エキスパートを有効化する。
その結果、1回の推論パスにおける計算量は約320億パラメータ(計算上は32Bの密なモデルと同様に振る舞う)に抑えられつつ、モデル全体としては1兆パラメータに及ぶ表現能力を維持している。このエンジニアリング手法により、はるかに小規模な商用モデル競合製品と同等以下の価格帯で、1兆パラメータ規模のモデルを実用化できているのだ。
その他の技術仕様としては、61のトランスフォーマーレイヤー、Key-Valueキャッシュのメモリオーバーヘッドを削減するMulti-head Latent Attention(MLA)、256,000トークンのコンテキストウィンドウ、そしてテキストに加えて画像や動画の入力をネイティブサポートする4億パラメータのビジョンエンコーダー「MoonViT」が挙げられる。モデルはINT4ネイティブ量子化で提供され、量子化された状態での必要容量は約240GB(フル精度では約600GB)となる。セルフホストするには依然として大規模なインフラが必要だが、Copilotとの統合により、ほとんどのユーザーにとってその必要性は完全に排除される。
また、K2.7 Codeは無効化できない「強制思考モード(mandatory thinking mode)」で動作する。これは、長期的なコーディングタスクにおける信頼性を向上させるためにMoonshot AIが採用した設計だ。同社によると、これにより前世代のK2.6と比較して推論トークンが約30%削減され、エージェント型ワークフローにおけるタスクあたりのコストが直接的に削減されるという。
■GitHub公式ドキュメントが鳴らす「警告」の中身
Kimi K2.7 Codeのリリースに伴うGitHubのドキュメントには、通常のモデル追加時よりも注意を払うべき文言が含まれている。同社は、K2.7 Codeが「オープンウェイトモデルであり、他のCopilotモデルよりもアライメント(調整)が不十分な可能性があり、有害なコンテンツを生成するリスクが高まる」と指摘しつつ、GitHubの標準的なコンテンツフィルタリングは引き続き適用されると付記している。米国国立標準技術研究所(NIST)のAI標準・イノベーションセンターが前世代の「Kimi K2 Thinking」モデルを評価した際、当時の中中国拠点の開発者によるモデルの中で最も有能であるとされた一方で、中国語において「高度に検閲されている」ことも判明した。この結果は、単なるデータの経路問題ではなく、モデル自体の挙動に政治的な制約が課されている可能性を示唆している。
BusinessおよびEnterpriseプランの管理者に対するGitHubのガイダンスは明確だ。「Kimi K2.7のポリシーを有効にする前に、組織のセキュリティ、コンプライアンス、およびデータガバナンスの要件に照らしてオープンウェイトモデルをレビューすること」を求めている。これは単なる定型文ではない。プラットフォーム側が、北京に拠点を置くモデルプロバイダーへの運用上の依存を受け入れたこと、そしてそのコンプライアンス評価の責任はGitHubではなく、導入する組織側にあることを正式に表明しているのだ。
■Azureホスティングは開発者のコードを中国の司法管轄から保護できるか?
結論から言えば、部分的には保護できるが、完全ではない。この違いは極めて重要だ。
GitHub Copilot内でKimi K2.7 Codeに送信されるユーザーのプロンプトは、Moonshot AIのサーバーにはルーティングされない。Copilotにおける他のサードパーティ製モデル(Googleのモデルなど)と同様に、Microsoft Azureのインフラにルーティングされて実行される。これは、転送中のデータにとって実質的かつ有意義な保護であり、開発者のコードクエリが推論時にMicrosoftのクラウド境界の外に出ることはない。
しかし、Azureホスティングをもってしても、Moonshot AIが2017年6月に制定された中国の「国家情報法」の適用を受ける中国企業であるという法的ステータスを変えることはできない。同法第7条は、すべての組織および市民に対し、「法に従って国家の情報活動を支持し、これに協力し、これと協調すること」を義務づけている。また、データセキュリティ法(2021年)やサイバーセキュリティ法(2017年)は、中国国内で事業を行う企業に対してデータのローカライズ義務や政府による検査権限を規定しており、暗号法第31条は、政府の要求に応じて暗号鍵を提供することを義務づけている。
これらの義務は、北京に拠点を置く法人としてのMoonshot AIに適用されるものであり、同社のサーバーやAzure、あるいは推論時のデータの物理的な場所に対して適用されるものではない。つまり、同社の従業員、組織的な意思決定、そしてモデルの開発パイプラインに適用される。GitHubとMicrosoftは、モデルのアップデートやウェイトのリリース、将来のK2.7 Codeのバージョンにおいて、Moonshot AIへの運用上の依存関係を維持することになる。この依存関係がある限り、将来のモデルの反復バージョンは、現在どこで推論が実行されているかに関わらず、同じ法的枠組みの影響を受け続ける。
これらの法的義務の実際の適用範囲については、法学者や専門家の間でも議論がある。非営利プロジェクト「China Law Translate」の分析では、第7条には強制執行メカニズムが欠けており、その運用範囲は一般的な商業データではなく、外国の主体による国家安全保障上の脅威に焦点を当てていると主張されている。一方で、カーネギー国際平和財団や米国国土安全保障省(DHS)のデータセキュリティ勧告などのアナリストは、中国企業は法的な確実性に関わらず協力せざるを得ない構造的な強制力に直面しており、中国企業内の非公式な共産党組織が公式な法的メカニズムを補完していると指摘する。企業のリスク評価においては、これら双方の視点を考慮すべきであり、どちらの立場をとるにしても、義務が「存在しない」ものとして扱うことはできない。
米国の議員らは2026年4月、CursorのComposer製品に搭載された「Kimi K2.5」を含む、中国発のAIモデルに関する正式な調査を開始した。また、AI政策・戦略研究所(ITSP)は2026年2月のメモで、政府に対して連邦政府のデバイスにおけるKimiベースの製品の利用制限を検討するよう推奨した。Harmonic Securityの企業調査によると、2026年初頭の時点で、Kimi Moonshotは企業環境においてDeepSeekの約3.5倍のシャドーAIトラフィックを生成しており、最も多く共有されているカテゴリはコード、財務予測、およびM&Aデータであったという。
■Kimi K2.7 Codeのベンチマークはすべてベンダー側の自己申告
Copilotの一般提供(GA)発表で強調されなかった事実がある。2026年7月2日の時点で、「SWE-bench Verified」「SWE-bench Pro」「Terminal-Bench 2.0」「LiveCodeBench」などの公開リーダーボードにおいて、Kimi K2.7 Codeに対する独立した第三者によるベンチマーク結果は存在しない。Moonshot AIが公開しているすべての性能数値(自社のKimi Code Bench v2における「62.0」というスコアや、GPT-5.5、Claude Opus 4.8との比較など)は、同社が自ら設計・実施した独自のベンチマークに基づいている。
GitHub自身の表現もこの点において慎重であり、Kimi K2.7 Codeを「初期テスト」に基づき「非常に人気のある最先端モデルに匹敵する強力なパフォーマンスを備えた低コストの選択肢」と表現しており、独立して再現された結果には言及していない。企業向けAI評価企業であるKili Technologyの調査によると、本番環境のエージェント型AIシステムでは、ラボでのベンチマークスコアと実際の導入環境でのパフォーマンスとの間に平均37%の乖離があることが分かっている。この乖離はAI業界全体の構造的な課題であるが、利用可能なすべてのベンチマークデータが単一のベンダーから提供されている場合には、その懸念はさらに強まる。
また、Moonshot AIが公開した比較数値も単純なものではない。K2.7 Codeの内部ベンチマークスコアは、OpenAIの「Codex xhigh」モードで動作するGPT-5.5や、Claude Codeの「xhigh」モードで動作するClaude Opus 4.8と比較されている。これらは計算構成が異なるため、比較はあくまで方向性を示すものに過ぎない。K2.7 Codeを評価する開発者や企業チームは、ベンチマークの主張をMoonshot AIの内部テストの方向性を示す有意義なシグナルとして扱うべきであり、独立して検証された性能保証として受け取るべきではない。
Copilotの一般提供開始後に得られる実際の開発者の利用データの第一波こそが、本番コードベースにおけるK2.7 Codeのパフォーマンスを示す最初の外部シグナルとなる。本記事の執筆時点では、そのデータはまだ存在していない。
■Kimi K2.7 Codeを有効化する前に企業管理者が決断すべきこと
Pro、Pro+、またはMaxプランの個人開発者の場合、Kimi K2.7 Codeはすでにモデルセレクターで利用可能であるか、段階的なロールアウトがアカウントに到達次第、利用可能になる。ここでの判断は主にタスクへの適合性とコスト許容度であり、プロンプトが依然として北京に拠点を置く企業がウェイトを所有するモデルを通過するという管轄区域上の認識を持つことにとどまる。
しかし、BusinessおよびEnterpriseプランの管理者にとって、この決定はより重大な意味を持つ。このモデルを利用可能にするには、明示的なポリシー変更が必要となるからだ。GitHubのガイダンスでは、スイッチを切り替える前に、セキュリティ、コンプライアンス、およびデータガバナンスの要件に照らしてモデルを評価することを推奨している。有効化する前に回答すべき主な質問は以下の通りだ。
「組織の法務チームは、データ分類ポリシーの文脈において、中国の国家情報法(2017年)およびデータセキュリティ法(2021年)をレビューしたか?」「組織は、医療データ、金融サービス、政府契約など、高度なデータ主権要件を課す規制枠組みの下で運営されているか?」「組織はすでに中国発のソフトウェアに対する制限の対象となっているか?」「開発者がCopilotのセッションを通じて送信する可能性が高いコード、資格情報、または独自のロジックのカテゴリを評価したか?」
Azureホスティングは、転送中のデータの主権に関する懸念に対する現実的な緩和策ではあるが、これらの質問に対する組織としての回答の代わりになるものではない。
BusinessおよびEnterpriseプランでこのモデルがデフォルトでオフになっているのには理由がある。そのデフォルト設定は、単なる手続き上のハードルではなく、意図的なポリシー推奨として扱われるべきである。
■Copilotの「5つのAIラボ」体制が意味する調達の複雑化
Kimi K2.7 Codeの追加がもたらすより深い意味は、単一のモデルに関するものではない。それは、Copilotがどのような存在になりつつあるか、そしてそれを利用する組織に何を求めているかという点にある。
GitHubは、開発者がタスク、コスト、およびガバナンスの姿勢に応じてモデルを選択すべきだという考え方を一般化させようとしている。この規範が確立されると、Copilotのモデルセレクターは単なる「好みのメニュー」ではなく、「ポリシーの境界線」として機能し始める。異なる出所、法的管轄、またはアライメント姿勢を持つモデルが追加されるたびに、それに対応する管理者側の決定が必要になる。Kimi K2.7 Codeの統合は、中国のインテリジェンス機関への協力を法的に義務づけられた北京拠点の企業が関与する最初のケースである。
Copilotの5つのAIラボによるラインナップは、純粋な機能拡張である。同時に、それはほとんどの企業のソフトウェアバイヤーがまだ十分に想定していない、調達の複雑化の始まりでもある。モデルの選択を単なる開発者の好みではなく、AIガバナンスの決定として真剣に捉える組織こそが、新しいドロップダウンメニューを単なるクリック可能な選択肢の一つとして扱う組織よりも、有利な立場を築くことができるだろう。
■注目ポイントQ&A
●GitHub Copilotを通じて送信されたユーザーのコードは、Moonshot AIのサーバーに到達しますか?
いいえ。GitHub CopilotにおけるKimi K2.7 CodeはMicrosoft Azure上でホストされており、Moonshot AIのインフラ上では動作しません。開発者のプロンプトは推論時にMicrosoftのクラウド境界の外に出ることはなく、これはCopilotにおける他のサードパーティ製モデルと同様の仕組みです。ただし、これにより北京に拠点を置くMoonshot AIが中国の国家情報法(2017年)などの下で負う法的義務(現在どこで推論が実行されているかに関わらず、同社および将来のモデル開発に適用されるもの)が免除されるわけではありません。
●Mixture-of-Experts(MoE)モデルとは何ですか?なぜKimi K2.7 Codeのコストが変わるのですか?
通常の密な言語モデルでは、処理されるすべてのトークンが各レイヤーのすべてのパラメータを活性化させます。これに対し、MoEモデルは一部のレイヤーを専門化された「エキスパート」サブネットワークのプールに置き換え、トークンごとに少数のサブネットワークのみを選択するルーティング機構を採用しています。Kimi K2.7 Codeは総パラメータ数が1兆ありますが、トークンあたりに活性化されるのは320億パラメータのみです。これにより、1兆パラメータ規模の表現能力を維持しながら、約320億パラメータの密なモデルと同等の計算コストで処理を行うことができます。このアーキテクチャが直接的なコスト削減につながっています。
●Kimi K2.7 Codeのベンチマーク結果は第三者によって検証されていますか?
2026年7月2日の時点では、検証されていません。Kimi K2.7 Codeに関して公開されているすべての性能数値は、Moonshot AI独自のベンチマークスイートによるものです。GitHubが同モデルの一般提供を開始した時点で、SWE-bench Verified、SWE-bench Pro、Terminal-Bench 2.0などの独立した公開リーダーボードにおける結果は存在していませんでした。企業向けAI評価企業のKili Technologyは、エージェント型AIシステムにおいてラボでのベンチマークスコアと実際の導入環境でのパフォーマンスとの間に平均37%の乖離があることを報告しており、すべてのベンチマークデータが単一のベンダーから提供されている場合には特にこの点に注意が必要です。
●本番環境のコードにKimi K2.7 Codeを使用する前に、開発者や企業の管理者は何をすべきですか?
個人開発者の場合は、代表的なタスクでモデルを使用し、現在使用しているCopilotモデルと品質を比較することをお勧めします。その際、利用可能なベンチマークはすべてベンダー側の自己申告であり、独立した検証結果はまだ出ていない点に留意してください。企業やBusinessプランの管理者の場合は、Copilotの設定でKimiのポリシーを有効にする前に、組織のデータ分類ポリシーや規制上の義務をレビューする必要があります。特に政府調達の制限、医療データ要件、金融サービス規制、あるいは中国発ソフトウェアに関する既存のポリシーの対象となる組織は、ユーザーにアクセスを許可する前にこのレビューを完了すべきです。BusinessおよびEnterpriseプランではデフォルトでオフに設定されており、このデフォルト設定は有効化する前に評価を行うべきだというGitHub自身の推奨を反映しています。
元記事: Open-Weight AI Enters GitHub Copilot: Kimi K2.7 Code Costs Less, Audits Differently
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

