はじめに

Anthropicが4月7日に発表した新たな取り組みは、新モデルの性能競争というより、AIとサイバー防衛の関係そのものを書き換える話題です。未公開モデル「Claude Mythos Preview」は、主要OSや主要ブラウザを含む重要ソフトウェアから多数の高深刻度脆弱性を見つけたとされ、一般公開は見送られました。その代わりに同社は、AWSやMicrosoft、Linux Foundationなどと連携する「Project Glasswing」を立ち上げています。

重要なのは、AIがコード生成を助ける段階から、脆弱性の発見と悪用の可能性まで一気に踏み込んだ点です。本記事では、Anthropicの公式発表と技術文書、参加企業の説明をもとに、なぜMythosが「サイバーセキュリティの転換点」と受け止められているのか、守る側に何が求められるのかを整理します。

Mythosが突きつけた防御側の時間差

一般公開を見送った理由

Anthropicの公式発表によると、Mythos Previewは「一般用途の未公開フロンティアモデル」でありながら、ソフトウェア脆弱性の発見と悪用で、熟練した人間の上位層に迫るか、場合によっては上回る水準に達したとされています。発表では、主要OSと主要ブラウザの一部にまたがって、数千件規模の高深刻度脆弱性を見つけたと説明されています。

同社が特に強調したのは、これがサイバー専用に訓練されたモデルではない点です。Anthropicのレッドチーム文書では、能力はコード理解、推論、自律性の改善の副産物として現れたと説明されています。つまり、より賢い汎用モデルを作った結果として、攻撃にも防御にも使える能力が急伸した構図です。この点は、今後ほかの先端モデルでも同種の能力が現れる可能性を示します。

一般公開を見送った判断も、この文脈で理解できます。Anthropicは、こうした能力が安全な運用原則を持たない主体に広がれば、経済や公共安全、国家安全保障への影響が大きいと明記しています。新モデルを出さないというより、先に防御の仕組みを整えないと公開のコストが高すぎる、という判断です。

技術文書が示した能力の飛躍

Anthropicの技術解説は、抽象論ではなく具体例で危険度を示しています。公式文書では、OpenBSDで27年前の脆弱性、FFmpegで16年前の脆弱性、Linuxカーネルで複数の欠陥を連鎖させる権限昇格経路などを見つけたと説明しています。いずれも既に修正済みとされますが、重要なのは「長年見逃されていた箇所」を掘り当てたという点です。

さらに、レッドチーム文書では、Firefox関連の実験で旧モデルが数百回の試行でもごく限られた成功しか出せなかったのに対し、Mythos Previewは181回の実用的なエクスプロイト生成に成功し、さらに29回はレジスタ制御まで到達したとされています。OSS-Fuzz系の約1000リポジトリ、約7000エントリポイントを対象にした内部評価でも、Mythosは低レベルのクラッシュ検出にとどまらず、完全な制御フロー乗っ取りを10件達成したと報告されています。

ここで注目すべきなのは、自律性です。Anthropicは、Mythosが多くのケースで人の細かな誘導なしに脆弱性を見つけ、関連する悪用コードまで組み立てたと説明しています。従来は、高度な攻撃研究者が時間をかけて行っていた作業が、AIエージェントによって一晩単位まで圧縮される可能性があるわけです。

Project Glasswingが意味する業界再編

12社連携と40超組織への限定提供

Anthropicは対策として、Amazon Web Services、Apple、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなど12のローンチパートナーとProject Glasswingを始動しました。加えて、重要ソフトウェアを構築・保守する40超の組織にも限定アクセスを広げています。モデルの一般開放ではなく、守る側の重点プレーヤーに先に渡して防御用途へ使う構想です。

資金面でも踏み込んでいます。Anthropicは最大1億ドル相当の利用クレジットを投じ、さらにオープンソースセキュリティ団体へ計400万ドルを寄付すると表明しました。Linux Foundation傘下のOpenSSFなどへの支援を含め、脆弱性対応のボトルネックになりやすい保守者側の体力不足を補う設計です。

この構図は、AI企業単独では問題を処理できないという認識を示しています。発見件数が増えても、修正、公開調整、パッチ配布、サプライチェーンへの波及確認が追いつかなければ、むしろ混乱が増します。Glasswingはモデル提供ではなく、脆弱性発見から修正公開までの全工程を、産業横断で再設計する試みと見るべきです。

防御の論理が「モデル安全」から「運用安全」へ拡張

参加企業のコメントからも、論点がモデル単体の危険性にとどまらないことが分かります。CrowdStrikeは、自社ブログで企業環境では「モデルが何をできるか」だけでなく、「どのデータに触れ、どの権限で動き、誰が監督するか」が重要だと強調しました。同社は1日1兆件のイベント、280超の追跡対象脅威グループ、1800超のAIアプリ検知実績を背景に、AIの実行時ガバナンスが不可欠だと主張しています。また、2026年版脅威レポートでは、攻撃者によるAI活用が前年比89%増だったとも紹介しています。

この指摘は本質的です。たとえAnthropicが公開を慎重に進めても、同水準の能力が他社モデルや将来の公開モデルで広がる可能性は高いからです。Anthropic自身も、今後数カ月で能力はさらに進む前提で議論しています。防御側に必要なのは、危険なモデルを封じ込めるだけでなく、AI支援の脆弱性探索が常態化した時代に合わせて、発見、優先順位付け、修正、監査を高速化することです。

注意点・展望

この話題で注意したいのは、「AIが脆弱性を見つけるなら、防御側が圧倒的に有利になる」と単純化しないことです。Anthropicの文書でも、短期的には攻撃者が優位に立つ可能性があると率直に認めています。理由は、攻撃側が1件でも使える欠陥を見つければ成果になるのに対し、防御側は膨大なコードベース全体を継続的に守らなければならないからです。

もう一つの論点は、ベンチマークの高さと実運用の安全性は別物だという点です。モデルが脆弱性を見つけられることと、その能力を企業や公共インフラで安全に使えることは同義ではありません。権限設計、ログ監査、機密データ保護、脆弱性開示の手順整備が伴わなければ、守るための導入が新たなリスクになります。

今後の焦点は三つあります。第一に、Anthropicが90日以内の公開報告で、どこまで具体的な学びを共有するか。第二に、他社が同水準のモデルをどのような公開条件で出すか。第三に、オープンソース保守者や中堅企業まで防御能力を広げられるかです。大企業だけが先に備えても、サプライチェーン全体の弱点は残ります。

まとめ

Mythosをめぐる論点は、新しい高性能モデルが出たという話ではありません。AIが、脆弱性発見と悪用の両面で、サイバー防衛の前提時間を縮め始めたという事実です。Anthropicが一般公開を見送り、Project Glasswingとして限定連携を選んだのは、その能力が商用プロダクトであると同時に、安全保障上の課題でもあると認識したからです。

企業や開発組織にとっての教訓は明快です。AIを導入するかどうかではなく、AI時代の脆弱性対応をどう組み直すかが問われています。現行の公開モデルでも防御力を高める余地は大きく、準備が早い組織ほど次の波に対応しやすくなります。Mythosの衝撃は、攻撃AIの恐怖より先に、防御体制の再構築を急げという警告として読むべきです。

参考資料:

• Project Glasswing | Anthropic
• Assessing Claude Mythos Preview’s cybersecurity capabilities | Anthropic Frontier Red Team
• Anthropic Claude Mythos Preview: The More Capable AI Becomes, the More Security It Needs | CrowdStrike
• Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative | TechCrunch
• Anthropic launches Project Glasswing to secure critical software | Investing.com