2026年4月7日、AI開発企業Anthropicが「Claude Mythos Preview」を発表しました。Mythosはギリシャ語で「神話」を意味する言葉です。
で、これがただの新モデル発表じゃなかったんですよね。
普通なら「新しいAIが出ました、すごいです」で終わる話なんですけど、今回はそうならなかった。Anthropicはこのモデルをいきなり一般公開せず、重要インフラや大手テック企業など防御側の組織に先行して使わせる形を選んでいます。この枠組みを「Project Glasswing」と呼んでいて、AWS、Apple、Google、Microsoft、NVIDIA、JPMorgan Chase、Palo Alto Networksなどが立ち上げパートナーに名を連ねています。さらに40を超える追加組織にもアクセスを広げる方針です。
しかも発表と同日に、米財務長官とFRB議長がウォール街の大手銀行CEOを緊急招集したとReuters / Yahoo Financeが報じました。AIモデル一つの話が、なぜここまで大きな動きにつながったのか。
この記事では、何が起きたのかを事実ベースで整理しつつ、なぜこれが重要なのかを順を追って見ていきます。
そもそもClaude Mythosは何をしたのか
まず、Anthropicが公式に言っていることを整理します。
Claude Mythos Previewは、最初から「ハッキング専用AI」として作られたわけではないんですよね。Anthropicの説明によると、汎用モデルとしてコーディングやエージェント的な作業能力を高めていった結果、副産物としてサイバーセキュリティ分野で突出した力が出てきた、という位置づけです。ソフトウェアを深く理解して書き換えられる汎用能力が伸びたことで、脆弱性の発見や悪用の水準まで一段上がった、と。
具体的には、Anthropicの技術レポートで以下のことが報告されています。
- 主要なOS(Windows、macOS、Linuxなど)と主要なブラウザで、多数の脆弱性を発見した
- その中に、開発者すら把握していなかった「ゼロデイ脆弱性」が含まれていた
- 深刻度が「致命的(critical)」や「高(high)」に分類されるものが多数あった
- 具体例として、OpenBSDの27年物のバグ、FFmpegの16年物のバグ、仮想マシンモニター関連の脆弱性などが挙がっている
「数千件のゼロデイ」という話について
SNSでは「数千件のゼロデイ脆弱性を発見した」という表現が流れていますが、これはちょっと違います。
技術レポートをそのまま読むと、正確には「数千件の高深刻度ないし重大な脆弱性を発見し、その中にゼロデイが含まれていた」という構造なんですよね。
全部がゼロデイだったわけではないです。
ゼロデイ脆弱性は、ソフトの開発元や利用者がまだ十分に対処できていない欠陥のことです。もう少しかみ砕くと、
・脆弱性 = プログラムの「穴」
・ゼロデイ = 修正や対策のための猶予がほぼゼロ
という意味です。
たとえば、あるOSやブラウザに危険な欠陥があったとして、それが見つかった時点でまだ修正パッチが出ていない、あるいは開発元も把握したばかりで利用者側が守る時間がない状態だと、「ゼロデイ脆弱性」と呼ばれます。
そして、その穴を実際に攻撃に使うコードや手法は「ゼロデイ攻撃」と呼ばれます。
検証はどこまで進んでいるのか
数千件という数字だけが独り歩きしがちなので、外部からの検証がどうなっているかも見ておきます。
技術レポートによると、専門のセキュリティ請負業者による手動検証が進められていて、レビュー済みの198件については以下の結果が出ています。
| 指標 | 結果 |
|---|---|
| Mythosの深刻度評価と一致 | 89% |
| 1段階以内の差に収まった | 98% |
少なくとも脆弱性の深刻度評価については、人間の専門家による検証と高い整合性を示した数字だと受け取れます。
ただ、数千件のうち手動で検証されたのはこの198件だけです。Anthropicは99%超の脆弱性について詳細を公開していません。未修正のまま出したら悪用されるリスクがあるので、それ自体は合理的な判断なんですけど、外部の第三者が今の時点で全部を確認できる状態ではないのも事実です。
今の段階で言えるのは、「社内説明だけで済ませてるわけではない。でも外から全部は確かめられない」という中間の状態にある、ということですね。
OpenBSDの27年間見つからなかった脆弱性
Mythosの成果でとくに話題になったのが、OpenBSDで27年間発見されなかった脆弱性を見つけたという話です。
OpenBSDは「世界で最もセキュリティが堅い」と評されることの多いOSで、ファイアウォールや重要インフラの構成要素として広く使われています。人間のセキュリティ専門家が何十年もコードレビューを続けて、何百万回もの自動テストを通してきた。それでも見逃されてきたバグを、AIが見つけたわけです。
ただ、Anthropicの説明によると、このバグで実現されるのはまずリモートでのクラッシュ誘発です。そこからどの程度の実害に直結するのか、実際の攻撃にまで発展し得るのかについては、詳しい情報が公開されていません。『27年間見つからなかった』というインパクトはたしかに大きいんですけど、現時点で公開されている情報だけでは、どの程度の実害に直結し得たのかまでは断定できません。そのあたりは冷静に見ておきたいところです。
Mythosはどうやってこれを実現したのか
技術レポートによると、Mythosは脆弱性の発見をほぼ自律的にやっています。流れとしてはこんな感じです。
- ソースコードを読み込む
- 脆弱性がありそうな箇所について仮説を立てる
- デバッガ(バグの原因を特定するためのツール)を使って仮説を検証する
- 脆弱性が実在することを確認する
- 概念実証用のエクスプロイト(脆弱性を利用した攻撃の実演コード)を作成する
5番目のエクスプロイト作成まで到達しているのが、従来のAIとの大きな違いですね。脆弱性を「見つける」だけじゃなくて、それが実際に悪用可能であることを「証明する」ところまで踏み込んでいる。さらに、複数の脆弱性をつなぎ合わせた複雑なブラウザエクスプロイトや、LinuxやFreeBSDでの権限昇格・リモートコード実行(RCE)エクスプロイトまで自律的に作った例も報告されています。
Mythosの限界
ここまで読むと万能ツールみたいに思えるかもしれないですけど、現時点で把握しておくべき限界もあります。
- 古いソフトウェアに偏っている可能性がある。 発見された脆弱性の多くは、長年放置されてきたコードに関するものだという指摘がある。古いコードベースにはバグが多い反面、それが実際に悪用可能な状態にあるとは限らない
- エクスプロイト作成に至らなかったケースがある。 Anthropic自身が認めている。技術レポートでは、FFmpegのケースで「脆弱性は深刻だが実用的なエクスプロイトまで仕上げるのは難しかった」とされ、仮想マシンモニターのケースでは「脆弱性自体は見つけたが機能するエクスプロイトを作れなかった」と報告されている
たしかに画期的な能力を示しているんですけど、見つけた脆弱性を全部そのまま攻撃に変えられるかというと、そういう単純な話ではないですね。
それでも衝撃が大きい理由:前世代からの跳躍
限界があるのになぜここまで衝撃が広がったのかというと、能力の伸び方が急すぎるからなんですよね。
技術レポートに記載された社内ベンチマークが、それを端的に示しています。Firefox 147のJavaScriptエンジンにある脆弱性をエクスプロイト化するテストの結果です。
| モデル | 成功回数(数百回の試行) | レジスタ制御到達 |
|---|---|---|
| Claude Opus 4.6(前世代) | 2回 | — |
| Mythos Preview | 181回 | 29回 |
同じ課題に対して、成功率が桁違いに変わっています。「ちょっと良くなった」とかいうレベルではないんですよね。この数字が、今回のモデルが漸進的な改善ではなく質的な跳躍だと見なされている根拠の一つです。
さらに、Anthropicの社内テストでは、セキュリティの正式な訓練を受けていないエンジニアがMythosに一晩作業を任せるだけで、動作するリモートコード実行エクスプロイトを得られたケースがあったとも報告されています。これまで熟練した攻撃者だけが持っていた能力が、モデルと環境の組み方次第でより広い範囲の人に届きうる段階に入り始めている。限界を差し引いても、これは相当重い話です。
なぜ国が動いたのか
AIモデルの発表はテック業界では日常的に行われていることです。それなのに今回は、米国と英国の行政・金融の最高レベルが動いた。
発表当日:米国の動き
Mythos発表と同日に、ベッセント財務長官とパウエルFRB議長が大手銀行のCEOを財務省に緊急招集したとReutersが報じています。招集されたのは以下のCEOです。
- シティグループ
- モルガン・スタンレー
- バンク・オブ・アメリカ
- ウェルズ・ファーゴ
- ゴールドマン・サックス
JPMorganのジェイミー・ダイモンCEOだけは出席できなかったとのことですが、それ以外の主要行トップは全員集まっています。
英国の動き
英国でも、イングランド銀行、FCA(金融行為規制機構)、英財務省が国家サイバー機関と緊急協議を行い、主要銀行や保険会社、取引所への説明が予定されているとReutersが報じています。AIモデル一つの話が、金融システムのレジリエンス(回復力・耐性)の問題として、複数の国で同時に扱われ始めたわけです。
因果関係について
一つ注意しておくと、これらの緊急招集がMythosの発表を「直接の原因として」行われたのかは、現時点では完全には確定していないんですよね。タイミングとテーマの一致から強い関連性を推測するのは自然ですが、「Mythosが原因で招集された」と断定した公式声明は出ていません。報道ベースの情報として受け止めておく必要があります。
この件が重要だと考えられる理由
サイバー攻撃のハードルが構造的に変わる可能性
これまで、ゼロデイ脆弱性を発見して悪用するには、極めて高度な専門知識と膨大な時間が必要でした。だからこそ、このレベルの攻撃を実行できる人は世界でもごく少数に限られていた。逆に言えば、この「難しさ」自体が事実上の防御壁になっていたんですよね。
Mythosが示したのは、AIがこの壁を大幅に引き下げる可能性です。Mythosは一般公開されていないので今すぐ誰でも使えるわけではないですけど、AIの能力がこの水準に達した事実は、将来的に同等のモデルが他の組織からも出てくる可能性を示唆しています。
「パッチが出るまでの猶予」がなくなっていく
従来のサイバーセキュリティには暗黙の前提がありました。脆弱性が見つかっても、それを実際に悪用するコードを書くには時間がかかる。だからその間にパッチを配れば間に合う、と。
Anthropic自身がProject Glasswingの発表文で、「かつて数ヶ月かかったことが、AIでは数分で起きる」と書いています。この時間差の圧縮は、「発見→猶予期間→パッチ適用」という防御サイクルそのものを揺るがす話なんですよね。
AIの能力が国家安全保障の議題になった
これまでのAIは「人間の作業を効率化するツール」として語られることがほとんどでした。Mythosが示したのは、AIが人間の専門家でも長年発見できなかった問題を独自に見つけて、検証まで自律的にやれるという、質的に異なる段階です。
注目すべきは、企業の広報や識者の予想ではなく、実際に限定公開・政府協議・金融当局の警戒という形で動きが表に出たことですね。
Mythosのリスク評価をどう読むか
Anthropicは、Mythosの総合的なリスクを「非常に低い(ただし従来モデルよりは高い)」と評価しています。この表現だけ見ると「大したことないんだ」と思うかもしれないですけど、この評価が何を対象にしているかを見ておく必要があります。
| 評価の対象 | 結果 |
|---|---|
| AIが自律的に暴走して重大な害を引き起こすリスク | 非常に低い |
| 人間がMythosを意図的に悪用するリスク | 評価の対象外 |
| 運用ミスで情報が漏洩するリスク | 評価の対象外 |
「AIが勝手に暴走するリスクは低い」と「AIを悪用されるリスクが低い」は、まったく別の話なんですよね。今回いちばん懸念されているのは後者——人間がAIを強力なサイバー攻撃ツールとして使いこなすシナリオの方です。リスク評価の数字だけ見て安心するのではなく、「何のリスクが低いと言っているのか」を見る癖をつけておくと、こういうニュースの読み方が変わると思います。
Anthropicはなぜ一般公開しないのか——Project Glasswingの全体像
AnthropicはMythosを一般には公開していません。代わりに「Project Glasswing」を通じて、限定的なアクセスを防御目的で提供しています。
パートナーの構成
| カテゴリ | 主な組織 | 役割 |
|---|---|---|
| OSやブラウザの開発元 | Apple、Google、Microsoft | Mythosが発見した脆弱性を、当事者として直接修正できる |
| セキュリティ専門企業 | CrowdStrike、Palo Alto Networks | 自社の脅威検知・対応インフラとMythosの発見能力を組み合わせて防御を高速化できる |
| 重要インフラ・金融 | AWS、NVIDIA、JPMorgan Chase、その他40超の組織 | 自社システムの脆弱性を事前に検査・修正できる |
Anthropicはパートナーに対して最大1億ドル相当の利用クレジットを投入するとしていて、オープンソースセキュリティ団体への寄付も発表しています。
一般公開しない理由
ここから見えてくるのは、「見つける力が強いから便利ですよ」という宣伝ではなく、「見つける力が強すぎるので、まず防御側に先行配備する」という順番の選択なんですよね。この能力が広く使えるようになったら、防御目的だけじゃなく攻撃目的にも使われる可能性が高い。だから「脆弱性を見つけるAI」と「そのソフトウェアを修正できる開発元」を直接つなげる体制を先に作っている。
現時点でMythos Previewは「gated research preview」として扱われていて、Anthropic自身も広く開放する計画はないと明言しています。なので「明日から誰でも最強の攻撃者になる」みたいな話ではないです。正確に言うなら、「こうした能力がすでに一部のモデルで観測されていて、その拡散がそう遠くないかもしれない段階に入った」ということですね。
防御用途としてのMythos
ここまで攻撃側のリスクを中心に見てきましたけど、防御側にとっての価値も大きいです。
脆弱性を見つけるという行為自体は、サイバーセキュリティにおいていちばん基本的で重要な防御活動です。自社のソフトウェアやシステムに穴がないかを事前に検査して、見つかったら修正する。これが防御の基本サイクルですね。
問題は、このプロセスにかかる人手と時間が膨大だったこと。サイバーセキュリティの専門家は世界的に慢性不足していて、需要に対して供給がまったく追いついていない状態です。Mythosのような能力を持つAIが防御側に配備されれば、このボトルネックを大幅に緩和できる可能性があります。
- コードの監査を自動化して、修正パッチの提案まで行える
- CrowdStrikeやPalo Alto Networksの既存インフラと組み合わせれば、「発見から封じ込めまで」の防御プロセスを高速化できる
- Apple、Google、MicrosoftといったOS・ブラウザの開発元がパートナーに入っているので、脆弱性の発見からパッチ適用までの時間を大幅に短縮できる
Anthropicが1億ドル規模のクレジットを投入して、オープンソースコミュニティへの寄付もやっている事実を見ると、単なるPRではなく実質的な防御基盤の構築を狙っているのがわかります。
この出来事が示していること
1. AIの能力が特定の領域で人間の専門家を超え始めている
27年間見つからなかった脆弱性の発見。前世代モデルから桁違いに跳ね上がったエクスプロイト成功率。これは漸進的な向上ではなく、段階的な跳躍が起きていることを示しています。
2. 「両刃の剣」としての性質が現実の政策課題になった
米国の財務省、中央銀行、ウォール街、そして英国のイングランド銀行やFCAまでが同時期に動いたという事実がそれを物語っています。
3. 高性能AIの管理が国家安全保障の問題として扱われ始めた
Anthropicが一般公開を避けて限定的な防御用途に留めているのも、単なる企業判断ではなく、国家レベルの安全保障上の配慮が背景にあると考えるのが自然です。
とはいえ、慎重さも必要
Anthropicの説明は一次情報として重要なんですけど、自社評価と未公開の脆弱性に大きく依存している以上、今の段階で外部から全面的に再現確認できるわけではないんですよね。「全部誇張だ」と切り捨てるのも違うし、「もう終わりだ」と過剰反応するのも違う。「防御側が本気で準備を始めるには十分なシグナルが出た」、今の時点では、そのくらいの受け止め方がいちばん妥当だと思っています。
私たちが見ているのは、AIが「便利な道具」から「インフラと安全保障を左右する能力」へと位置づけを変え始めた瞬間です。事実を正確に把握した上で、この変化がどこへ向かうのかを追い続けること。今はそれがいちばん大事やと思います。
参考サイト
- Anthropic「Project Glasswing」
https://www.anthropic.com/project/glasswing - Anthropic Frontier Red Team「Assessing Claude Mythos Preview’s cybersecurity capabilities」
https://red.anthropic.com/2026/mythos-preview/ - Reuters / Yahoo Finance「Bessent, Powell warned bank CEOs about Anthropic model risks, sources say」
https://finance.yahoo.com/sectors/technology/articles/bessent-powell-warn-bank-ceos-010258625.html - Reuters「UK regulators rush to assess risks of latest Anthropic AI model, FT reports」
https://www.reuters.com/world/uk/uk-financial-regulators-rush-assess-risks-anthropics-latest-ai-model-ft-reports-2026-04-12/
コメント