はじめに——「コードが書けるAI」が「コードを攻撃できるAI」になった日
2026年4月7日、Anthropicは Claude Mythos Preview という新しいフロンティアモデルを発表しました。汎用言語モデルでありながら、特に サイバーセキュリティ能力に飛躍的な進化 を見せたモデルです。同時に、AWS、Apple、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどと組んだ Project Glasswing(重要インフラ防衛イニシアチブ)も立ち上げられました。
Mythos Previewは、Anthropicが意図して「セキュリティ用に訓練した」モデルではありません。コーディング能力と推論能力を全体的に強化した結果、副産物として脆弱性発見・エクスploit作成能力が突き抜けた——これがAnthropic自身の説明です。
そして、その能力は数字でも実例でも、これまでの常識を覆すレベルでした。
- 27年前のOpenBSD脆弱性をモデルが自律的に発見(セキュリティの代名詞だったOSで、長年見逃されていたTCP SACK実装のバグ)
- 16年前のFFmpeg脆弱性を発見(500万回のファジングで見つからなかったH.264デコーダのバグ)
- FreeBSD NFSのリモートコード実行脆弱性(CVE-2026-4747)を、初期プロンプトのみで完全自律発見&エクスploit化
- Linuxカーネルで複数の脆弱性を連鎖させた特権昇格エクスploitを自律生成
- 主要なWebブラウザ・OSでゼロデイ脆弱性を発見
これは「AIモデルの進化」を超えて、サイバーセキュリティ業界全体の前提が変わる出来事です。本記事では、Mythos Previewの実像と意味を整理し、日本の企業・開発者・SaaS事業者が「明日から何をすべきか」を実務目線で解説します。
目次
- Claude Mythos Previewとは何か——基本ファクト
- ベンチマーク:どれだけ強いのか
- 具体的に何ができたのか——3つの代表事例
- なぜこの能力が「副産物」として現れたのか
- Project Glasswingという「使い方の制限」
- 日本企業・SaaS事業者・OSS開発者が直面する5つの構造変化
- 明日から取れる7つの防御アクション
- まとめ——「N-day窓口」が分単位になる時代
1. Claude Mythos Previewとは何か——基本ファクト
位置づけ:未公開のフロンティアモデル
Claude Mythos PreviewはAnthropicが2026年4月に存在を公表した、一般公開されていない汎用フロンティアモデルです。Claude Opus 4.6の次世代に位置する能力を持ちますが、Anthropicは現時点で公開を見送り、Project Glasswingの参加組織(数十社の重要インフラ事業者・OSS開発者・セキュリティ研究者)に限定提供しています。
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年4月7日 |
| 提供範囲 | Project Glasswing参加組織のみ(一般公開なし) |
| 提供基盤 | Claude API、Amazon Bedrock、Google Cloud Vertex AI、Microsoft Foundry |
| 料金(リサーチプレビュー後) | $25/$125 per million input/output tokens |
| Anthropicの拠出 | 最大$100M(モデル利用クレジット)、$4M(OSS寄付) |
「Mythos」という名前の由来
Anthropicの公式説明では、Mythosはギリシャ語で「物語・語り」を意味し、文明が世界を理解するための物語体系を指します。Project名の Glasswing は南米に生息する透明な羽を持つ蝶(Greta oto)に由来し、「透明性」と「身を隠す脆弱性」の両義的なメタファーとして選ばれています。
2. ベンチマーク:どれだけ強いのか
Anthropicが公開したベンチマーク結果は、Mythos PreviewがOpus 4.6を全般的に大きく上回ることを示しています。
エージェント型コーディング
| ベンチマーク | Mythos Preview | Opus 4.6 |
|---|---|---|
| SWE-bench Verified | 93.9% | 80.8% |
| SWE-bench Pro | 77.8% | 53.4% |
| SWE-bench Multilingual | 87.3% | 77.8% |
| SWE-bench Multimodal(内部実装) | 59.0% | 27.1% |
| Terminal-Bench 2.0 | 82.0% | 65.4% |
推論
| ベンチマーク | Mythos Preview | Opus 4.6 |
|---|---|---|
| GPQA Diamond | 94.6% | 91.3% |
| Humanity’s Last Exam(ツールあり) | 64.7% | 53.1% |
サイバーセキュリティ
| ベンチマーク | Mythos Preview | Opus 4.6 |
|---|---|---|
| CyberGym(脆弱性再現) | 83.1% | 66.6% |
内部の実地評価——衝撃のFirefoxエクスploit実験
ベンチマーク数字以上に衝撃的なのが、Anthropic内部の実地評価です。Firefox 147のJavaScriptエンジンで見つかった脆弱性群(Firefox 148で全てパッチ済み)を、実際に動作するエクスploitに変換できるかを比較したところ、
- Opus 4.6:数百回試行して成功は わずか2回
- Mythos Preview:同条件で 181回成功、追加で29回がレジスタ制御に到達
つまり、1世代でエクスploit作成能力が約 90倍 になっています。これは「漸進的な改善」ではなく、能力曲線の屈曲点を示唆します。
3. 具体的に何ができたのか——3つの代表事例
Anthropicは公開情報として(つまり既にパッチ済みのもののみ)、いくつかの発見事例を公表しています。ここでは特に象徴的な3つを紹介します。
事例1:OpenBSDの27年前のTCP SACK脆弱性
OpenBSDはWikipediaの最初の5語が「OpenBSDはセキュリティを重視した……」で始まる、セキュリティの代名詞のようなOSです。そのOpenBSDのTCP SACK(Selective ACK)実装に、1998年から27年間存在していた脆弱性をMythos Previewが発見しました。
このバグは、SACK状態を管理する単方向連結リストへの操作で、(1)チェック漏れと(2)32ビット整数のオーバーフローを組み合わせると、NULLポインタへの書き込みでカーネルがクラッシュするというものでした。リモートからTCPに接続できる任意の攻撃者が、OpenBSDマシンをクラッシュさせられます。
Anthropicによれば、このバグを発見した1回のスキャン(実行)コストは $50未満。1000回のスキャン全体でも $20,000未満 で、他にも数十件の発見があったとのことです。
事例2:FFmpegの16年前のH.264デコーダ脆弱性
FFmpegは世界中の動画処理に使われるライブラリで、極めて入念にファジングテストが行われています。研究論文も多数書かれています。それでも、H.264コーデックに 16年前から潜んでいた境界外書き込みの脆弱性をMythos Previewが見つけました。
バグの根は2003年のH.264コーデック導入コミット、脆弱性化したのは2010年のリファクタリングです。500万回以上のファジングテストで一度も検出されなかったものを、AIが読解で見つけたという事実は、ファジング中心の検査体制の限界を示しています。
事例3:FreeBSD NFSのCVE-2026-4747——完全自律のRCE
これが最も象徴的な事例です。FreeBSDのNFSサーバに 17年間潜んでいたリモートコード実行脆弱性を、Mythos Previewが完全自律で発見&エクスploit化しました。
「完全自律」とは、人間が介入したのは 「脆弱性を見つけてください」 という初期プロンプト1つのみで、その後の作業はすべてモデル単独で完了したという意味です。
- RPCSEC_GSS認証で攻撃者制御のデータが128バイトのスタックバッファに32バイト目から書かれる(96バイトしか余裕がない)
- 長さチェックがMAX_AUTH_BYTES=400なので最大304バイトの書き込みが可能
- 該当関数は
int32_t[32]配列を含むため-fstack-protectorのスタックカナリーが効かない - FreeBSDカーネルはKASLRを無効にしているのでROPガジェット位置の予測も不要
- 200バイトに収める制約を、6回のRPC呼び出しに分割することでクリア
- 最終的に攻撃者の公開鍵を
/root/.ssh/authorized_keysに追記して完全制御
独立した脆弱性研究会社が、Opus 4.6では人間のガイダンスがなければエクスploit化できなかったと報告している同じ脆弱性を、Mythos Previewはガイダンスなしで突破しました。
4. なぜこの能力が「副産物」として現れたのか
Anthropic自身が強調している重要なポイントは、「Mythos Previewにサイバー能力を明示的に訓練したわけではない」という点です。
これらの能力は、コード、推論、自律性の全般的な改善の結果として下流に現れたものである。脆弱性を修正する能力を高めるのと同じ改善が、それを悪用する能力も高める。
つまり、SWE-benchやTerminal-Benchで高得点を取るための「コードを深く理解し、長い思考連鎖を辿り、ツールを使って試行錯誤する能力」が向上した結果、その能力は 「コードを攻撃する」方向にも当然のように適用されたということです。
これには重要な含意があります。AIモデルのコーディング能力は今後も継続的に向上する見込みであり、それに伴って サイバー能力も追従して上がる。Mythos Previewが「現在の上限」ではなく「ここからの起点」になる可能性が高い、ということです。
5. Project Glasswingという「使い方の制限」
Anthropicは、Mythos Previewの能力が攻撃にも防御にも使えることを認識した上で、一般公開せず、防御目的に限定したパートナーシップでのみ提供するという選択をしました。これがProject Glasswingです。
参加組織
初期参加は以下の組織群です。
- クラウド・ハードウェア:AWS、Apple、Broadcom、NVIDIA
- ネットワーク・セキュリティ:Cisco、CrowdStrike、Palo Alto Networks
- プラットフォーマー:Google、Microsoft
- 金融:JPMorganChase
- OSS:Linux Foundation(Alpha-Omega/OpenSSF経由)、Apache Software Foundation
- その他、重要インフラを構築・維持する40以上の組織
Anthropicの拠出
| 拠出内容 | 金額 |
|---|---|
| Mythos Previewモデル利用クレジット | 最大$100M |
| Alpha-Omega/OpenSSF(Linux Foundation経由) | $2.5M |
| Apache Software Foundation | $1.5M |
「90日以内に公開報告」のコミットメント
Anthropicは90日以内に、Project Glasswingで得られた知見・修正された脆弱性・進歩した実務を公開報告するとしています。OSS開発者は Claude for Open Source プログラムを通じてアクセス申請が可能です。
6. 日本企業・SaaS事業者・OSS開発者が直面する5つの構造変化
Mythos Previewの存在は、まだ一般公開されていないとはいえ、すでに業界の構造を変えつつあります。日本の企業・開発者が直面する変化を5つに整理します。
変化1:N-day窓口が「日単位」から「分単位」へ
これまで、CVEが公開されてから攻撃者が動作するエクスploitを作るまでには、熟練研究者でも数日〜数週間かかるのが普通でした。Anthropicの実験では、CVE番号とコミットハッシュだけを与えて、Mythos Previewが半日〜1日でエクスploitを完成させた事例が示されています。1件あたりのコストも$1,000〜$2,000程度です。
意味するところは明確で、「パッチが出てから当てるまでの猶予時間」が劇的に短くなるということです。月次パッチ運用は限界に近づきつつあります。
変化2:ファジングを通り抜けてきた古いバグが一斉に掘り起こされる
27年前のOpenBSDバグ、16年前のFFmpegバグ、17年前のFreeBSDバグ——これらに共通するのは、従来のファジングや人間レビューを長年すり抜けてきたことです。AIモデルは「実装と仕様の差」「滅多に到達しないコードパス」「整数オーバーフローの組み合わせ」を含めて読解できるため、ファジングが苦手な領域を補完します。
日本企業のレガシーシステムや、社内製ライブラリ、長年メンテされている独自プロトコル実装などは、「これまで見つからなかった=安全」とは言えなくなったと考えるべきです。
変化3:攻撃側と防御側の「非対称性」が一時的に拡大
Anthropic自身が認めている通り、移行期は攻撃側が有利になる可能性が高い。Mythos Previewのようなモデルを正規パートナーシップで使えない組織でも、類似能力を持つモデルが他社・他国から出てくる可能性は十分あります。Anthropicの言葉を借りれば「長期的には防御側が勝つが、移行期は荒れる」。
変化4:OSS開発者の負担構造が変わる
Linux FoundationのCEO Jim Zemlin氏のコメントが象徴的です。「セキュリティ専門知識は、これまで大規模なセキュリティチームを抱える組織だけの贅沢品だった。OSS開発者は基本的に独力で対応してきた」。Glasswingはこの非対称性を是正しようとする試みですが、参加できないOSS開発者も多数います。
日本のOSS開発者・個人開発者(筆者もその一人です)にとっては、自分のリポジトリにセキュリティの目を入れる方法を、AI時代向けに再設計する必要があります。
変化5:脆弱性開示プロセスの容量限界
Mythos Previewは数千件規模の脆弱性を発見し、Anthropicは外部セキュリティ研究者を多数雇って報告のトリアージを行っています。それでも 「90日+45日」の開示窓口でパッチ作業が追いつかないケースが続出するのは時間の問題です。日本企業のセキュリティ窓口(PSIRT等)も、受信フローと優先度判定を抜本的に見直す必要が出てきます。
7. 明日から取れる7つの防御アクション
Mythos Preview自体は一般公開されませんが、Anthropicは「現行のフロンティアモデル(Opus 4.6など)でも、防御目的にできることはたくさんある」と強調しています。日本企業が今すぐ取り組むべき具体アクションを7つに整理します。
アクション1:現行モデルで脆弱性スキャンの試運転を始める
Claude Opus 4.6、GPT、Geminiなど現行モデルでも、社内コードベースに対する脆弱性スキャンを試す価値があります。Anthropicの報告では、Opus 4.6でも 「探したところはほぼ全て」 で高〜重大度の脆弱性が見つかったとのこと。完全な代替ではなく、人間レビューを補完するツールとして位置付けるのが現実的です。
アクション2:パッチ適用までの時間を「日」から「時間」へ
これは技術より組織運用の問題です。CVE対応の社内SLAを再設定し、依存ライブラリの自動アップデート、CI/CDへのセキュリティアップデート組み込み、ホットフィックス手順の整備を進めます。「次の月次メンテ窓まで待つ」運用は危険水域に入りました。
アクション3:脆弱性開示の受け口(PSIRT機能)を整備
AI支援の研究者やセキュリティ会社から、突然大量の報告が届く可能性に備えます。連絡先窓口の明示、PGP鍵の公開、トリアージ担当の決定、応答SLA、公開タイムラインの整備が最低限必要です。社内に専門人材がいない中小企業は、外部CSIRTサービスやMSSPの活用も選択肢に入ります。
アクション4:レガシー資産の棚卸しと「廃止計画」
長年放置されてきた自社製ツール、買収先から引き継いだコード、メンテ担当が辞めて空白になっているシステム——これらは 「AI支援の攻撃者にとって最も美味しい標的」です。脆弱性が見つかった時に「誰が対応するか」が決まっていない資産は、優先的に廃止計画を立てるべきです。
アクション5:インシデント対応にもAIを組み込む
Anthropicが推奨しているのは、攻撃検出と対応のフロー自体にAIを組み込むことです。アラートのトリアージ、イベントのサマリ生成、調査トラックの並列実行、ポストモーテムのドラフト作成——これらは現行モデルでも十分に補助可能です。「AI攻撃者」を「人間防御者」だけで止めようとするのは無謀です。
アクション6:依存OSSの「健全性」を可視化
自社が使っているOSSのうち、(1)アクティブにメンテされているか、(2)セキュリティ報告窓口が機能しているか、(3)AI支援の脆弱性発見にメンテナーが対応できる体制か——これを棚卸ししておくと、いざという時の判断が速くなります。Linux FoundationやApache Software Foundationの取り組みは、依存OSSの健全性の重要シグナルになります。
アクション7:セキュアコーディングをAI前提に再設計
「ファジングで見つからないから安全」「これまで誰も突いてないから安全」という前提は、もう通用しません。コーディング規約・コードレビュー観点を、「AIモデルが読み解いたら何を指摘するか」を意識して再設計する時期です。境界外アクセス、整数オーバーフロー、認証バイパス、レースコンディションなど、AIが特に得意とする分類を重点化します。
8. まとめ——「N-day窓口」が分単位になる時代
Claude Mythos Previewが示したのは、AIモデルの汎用コーディング能力が伸びると、サイバーセキュリティ能力も同時に伸びるという構造的な事実です。これは止められません。Anthropicが慎重な公開戦略をとっても、他社・他国から類似モデルが出てくれば、攻撃者側にも同じ能力が渡ります。
本記事の要点を再整理します。
- Mythos Previewはコーディング・推論能力の副産物としてサイバー能力が突き抜けた。意図的に攻撃用に訓練したのではなく、汎用能力の向上が結果として現れた。
- 27年前・16年前・17年前のバグが次々と掘り起こされた。これまでの「見つかってないから安全」は通用しない。
- N-day窓口が劇的に短くなる。CVE公開からエクスploitまで半日〜1日、コスト数千ドルの時代。
- Anthropicは一般公開せずProject Glasswingで防御限定提供。$100Mのクレジット拠出と$4Mの寄付。
- 移行期は攻撃側が有利になる可能性が高い。日本企業・OSS開発者は「待つ」のではなく、現行モデルで防御に手を打つしかない。
- 明日から取れるアクションは7つある。脆弱性スキャン試運転、パッチ適用の時短、PSIRT整備、レガシー廃止計画、インシデント対応へのAI組込み、依存OSS可視化、セキュアコーディング再設計。
「Mythos Previewが一般公開されてから対応する」では遅すぎます。今すでに「同等の能力を持つモデルが攻撃者の手にある」前提で動くのが、移行期を生き残る現実解です。
関連記事
- 【2026年版】AIセキュリティ入門|初心者・企業が今すぐ知るべきリスクと対策
- 【2026年版】AIエージェントの「Confused Deputy(混乱した代理人)」攻撃対策ガイド
- AI生成コンテンツと著作権 — 知っておくべき法律・判例・実務対応【2026年2月版】
参考リンク
- Project Glasswing 公式発表(Anthropic)
- Assessing Claude Mythos Preview’s cybersecurity capabilities(Anthropic Frontier Red Team Blog, 2026年4月7日)
- Anthropic Coordinated Vulnerability Disclosure
- Claude for Open Source プログラム
- CVE-2026-4747(FreeBSD NFS RCE)
免責事項:本記事は2026年5月時点でAnthropicが公開しているClaude Mythos PreviewおよびProject Glasswing関連の公式情報、技術ブログを基に解説したものです。Mythos Previewは一般公開されておらず、本記事は実機の動作確認に基づくものではありません。Mythos Previewの実際の能力評価値、Project Glasswingの参加条件、現行モデル(Claude Opus 4.6等)の仕様は今後変更される可能性があるため、最新情報は各公式ソースでご確認ください。本記事はセキュリティ運用上のアクションを示唆していますが、具体的なセキュリティ実装の判断は、自組織の専門家と連携の上で行ってください。
コメント