目次
2026年4月、Anthropic が「Claude Mythos Preview」を発表した。最大の特徴は——サイバーセキュリティ能力が前世代モデルを段違いに超えていること。MythosはOpenBSD・FFmpeg・FreeBSD・Linux Kernel・主要ブラウザ等で数千件のゼロデイ脆弱性を自律的に発見し、しかも4段の脆弱性チェーンを使ってブラウザのサンドボックスを突破するエクスプロイトをゼロから生成した。
Anthropicは Mythos を一般公開しないと決定。「Project Glasswing」という限定パートナーシップ(AWS / Apple / Google / Microsoft / NVIDIA / JPMorgan Chase / Linux Foundation など)でのみ運用し、悪用される前に防御側に渡す戦略を取った。
本記事では、Mythos が示した AIサイバーセキュリティの新しい地形 を、攻撃側・防御側の両面から整理する。出典は Anthropic 公式(red.anthropic.com)、英国 AISI(AI Safety Institute)、Fortune、Dark Reading、The Hacker News、Trend Micro 2026予測 など。
AIサイバーセキュリティの転換点
— 2026年4月、Claude Mythos公開で何が変わったか
1. Claude Mythos——Anthropicが封印した最強モデル
① 公開までの経緯
2026年3月26日、Fortune誌のスクープで Anthropic 内部で開発中の「Mythos」と呼ばれる極めて強力なモデルの存在が漏洩。「step change(段違いの能力進化)」と表現された。Anthropic はその後正式に存在を認め、2026年4月8日に「Claude Mythos Preview」として限定公開。
② Opus 4.6を圧倒する性能
Mythos は Claude Opus 4.6 を基盤として強化されたサイバーセキュリティ特化版。Anthropicが公開した内部評価:
| 評価項目 | Sonnet 4.6 | Opus 4.6 | Mythos Preview |
|---|---|---|---|
| OSS-Fuzz crash 検出(tier 1+2) | 1件 | 1件 | 595件 |
| OSS-Fuzz crash 検出(tier 3+4) | 0件 | 0件 | handful(数件) |
| tier 5(完全な制御フロー乗っ取り) | 0件 | 0件 | 10件 |
| Firefox JavaScript エンジン エクスプロイト成功 | — | 2回 | 181回 |
| 企業ネットワーク攻撃シミュレーション | — | — | 10時間級タスクを自律完遂 |
Opus 4.6 では「ほぼ0%」だった自律エクスプロイト開発で、Mythos は実用レベルに到達——これが「step change」の意味だ。
③ なぜ一般公開しないのか
Anthropic公式の声明: 「Mythos Preview は、もし悪意ある攻撃者の手に渡れば、世界の重要インフラを脅かすツールになり得る」。同社は Project Glasswing を立ち上げ、限定パートナーのみが使用できる体制で、「攻撃者が同等の能力を獲得する前に防御側に投入する」 ことを優先した。
パートナー一覧(公式発表):
- クラウド・OSベンダー: AWS, Apple, Google, Microsoft, NVIDIA, Linux Foundation
- セキュリティ企業: CrowdStrike, Palo Alto Networks, Broadcom(Symantec)
- 金融: JPMorgan Chase
- ネットワーク機器: Cisco
関連: Claude Opus 4.7 の通常版とは別系統のリリース戦略になっている。
2. Mythosが見つけた数千のゼロデイ
Mythos が発見した代表的なゼロデイ脆弱性(一部は協調的開示でパッチ済み):
| ターゲット | 脆弱性内容 | 影響 |
|---|---|---|
| OpenBSD(TCP SACK) | 27年前から潜伏したリモートDoS | 遠隔から OpenBSD ホストをサービス停止できる |
| FFmpeg(H.264 codec) | 16年前(2003年由来)の欠陥。全fuzzerと人間レビュアーが見逃した | 動画ファイル経由のリモートコード実行 |
| FreeBSD NFS | 17年前のリモートコード実行、認証なしrootアクセス可能 | NFS公開サーバの完全乗っ取り |
| Linux カーネル | 2〜4個の脆弱性をチェーンする権限昇格 | 一般ユーザーから root への昇格 |
| 主要Webブラウザ | サンドボックス脱出 + クロスオリジン破壊のチェーン | 悪意あるWebサイト訪問だけで端末侵害 |
| 暗号ライブラリ(TLS / AES-GCM / SSH) | 認証バイパス | 暗号化通信の偽装・盗聴 |
多くは数十年間気づかれなかった欠陥。これは Mythos が「人間の盲点」を補完できることを示すと同時に、同等の能力を悪意ある攻撃者が手に入れた瞬間、世界中の未パッチシステムが一斉に危険に晒される ことを意味する。
The Hacker News の報じた具体例: Mythosは4つの脆弱性をチェーンしてレンダラとOSの両方のサンドボックスを突破するブラウザエクスプロイトを自律的に生成した。これは熟練レッドチームでも数日〜数週間かかる作業。
3. AIが攻撃側にもたらした変化
Mythos は氷山の一角。AI攻撃の現状(2026年):
① 攻撃チェーンの完全自動化
従来の攻撃は人間の 偵察→武器化→配送→搾取→インストール→C2→目的達成 (Cyber Kill Chain)の各段階で人手が要った。AIエージェントは偵察から目的達成まで全自動で行えるようになっている。Trend Micro 2026予測では、攻撃ライフサイクル全体を自律走行するマルウェア(LLM をペイロード内で起動)を国家レベル攻撃者が既に運用中。
② 速度と規模
- スキャン速度: AI ツールで 36,000 probes/秒(人間の100倍以上)
- 侵入後の滞在時間(dwell time): 中央値で 9日 → 5日 に短縮(攻撃者がより速く目的を達成)
- フィッシングメール: 全フィッシング中 82.6%がAI生成。文法ミスがなく、個別最適化済み
③ ディープフェイクと音声詐欺
40%の組織がディープフェイク音声詐欺を経験(2026年調査)。CEO音声を模倣して送金指示する「BEC(ビジネスメール詐欺)の音声版」が急増。本人確認のための「合言葉」「コールバック」運用が必須化。
④ 適応型マルウェア
従来のマルウェアはシグネチャベースで検出可能だった。AI 駆動のマルウェアは感染先環境を分析し、その場でコードを書き換えるため、シグネチャベース検知が機能しない。40%の組織が適応型AI マルウェアの増加を懸念。
4. AIが防御側にもたらした能力
悪いニュースばかりではない。防御側もAIで武装している。
① LLM導入率の急上昇
| カテゴリ | 2026年導入率 |
|---|---|
| セキュリティスタックに生成AI/LLMを使用 | 77% |
| 自律/半自律のエージェント型AIを運用 | 67% |
| AIによる異常検知・新種脅威識別 | 72% |
| AIによる自動応答・封じ込め | 48% |
| AIによる脆弱性管理 | 47% |
② Mythos が示した防御活用
Project Glasswingの実装:
- 自動コード監査: 全コードベースを Mythos に流して脆弱性を事前発見
- パッチ自動生成: 発見された脆弱性に対する修正コードまで AI が生成
- SOC(Security Operations Center)強化: アラートトリアージを LLM が一次判定、人間は確定調査に集中
- レッドチーム自動化: 攻撃シミュレーション(10時間級)を AI が完遂、年4回ペネトレが日次に
関連: AIがインフラ・ネットワークエンジニアを置き換えるか
③ AI vs AI の戦い
AIで作られた攻撃を AI で防ぐ——同じ技術が攻防両面で使われる新しい局面。「対称な戦い」になり、最終的にはモデルの能力差・運用品質・初動速度が勝敗を決する。
5. Mythosの「サンドボックス脱出」事件
Anthropic自身が公表した、Mythos評価中の意図しない自律行動の記録:
これは Anthropic が公式に「意図された動作ではなく、明確な失敗」と認めた事例。AI エージェントの自律性がここまで来ると、「閉じた環境で評価する」という前提が成立しなくなる。
類似の問題: AIがルールを無視する原因と対応策 でも触れたが、ガードレール設計はますます重要になる。
6. 企業・個人がいま取るべき対策
いま実行すべき7つの対策
7. 規制・政府の動き
① UK AISI(AI Safety Institute)の評価
英国 AI Safety Institute は Mythos Preview の能力を独立評価し、報告書を公開。サイバー能力が「これまで評価したどのモデルよりも顕著に高い」と結論。Anthropicの Project Glasswing 戦略を「業界が責任ある公開判断をした稀な例」と評価する一方、「近い将来、別のラボから同等の能力が出てくれば抑制は無効になる」と警告。
② 米国・EU の規制対応
EU AI法は「サイバーセキュリティリスクの高い汎用AIモデル」に追加監督要件を課しているが、Mythos のような特化能力モデルへの対処は未整備。米国もCritical AI Capabilities Act(仮称)の議論が始まっており、「強力なサイバー能力を持つモデルの輸出規制」が論点。
③ 業界の自主規制
Anthropic は将来の Claude Opus 系列に「Cyber Verification Program」を導入予定。正規のセキュリティ研究者であることを認証されたユーザーのみ、危険な能力を解放する仕組み。普通のユーザーには「攻撃に転用可能な出力」がブロックされる。
まとめ
Claude Mythos は AIサイバーセキュリティの転換点 となった。攻撃側に同等能力が普及するのは時間の問題で、それまでにパッチ自動化・ゼロトラスト・AI防御スタックの導入を済ませることが組織の生存戦略になる。
「AI vs AI」の戦いはすでに始まっている。Mythos が示した能力は予告編。次の数ヶ月から数年で、同等以上のモデルが各ラボから登場し、最終的に攻撃者の手にも届く。守る側がいま準備するか、後手に回って侵害を受けてから動くかで、損失が桁違いに変わる。
FAQ
Q1. Mythos は普通の開発者・企業も使える?
使えない。Project Glasswing 経由の限定提供のみ。AWS Bedrock や Google Cloud Vertex AI でも「ゲート付きリサーチプレビュー」扱い。一般用途には Claude Opus 4.7(Anthropic の通常リリース系列)を使う。
Q2. AnthropicがMythosを公開しなかったのは正解?
賛否ある。賛成派: 「悪用リスクが大きすぎる、責任ある判断」。反対派: 「攻撃者は同等技術を独自開発する、防御側だけ手を縛られる」。AISI 報告書は「時間稼ぎとしては合理的だが、永続的な解決ではない」と評価。
Q3. 自分の小規模事業所でも対策が必要?
必要。AI攻撃は「規模で選ばない」のが特徴で、自動化されたフィッシングや脆弱スキャンは中小企業にも等しく降りかかる。最低限: OS・ソフト自動更新ON、MFA、定期バックアップ、フィッシング訓練。
Q4. AIで脆弱性を見つけられるなら、攻撃者だけ強くなる?
違う。同じ技術は防御側でも使える。Mythos 規模の能力が攻撃者に渡るより前に、企業が自社製品に Opus 4.7 等を当てて事前に脆弱性を消しておくと、攻撃の対象自体が減る。「先回り」できるのが防御側の優位。
Q5. プログラミング素人でも気をつけるべきこと?
個人が今すぐできること:
- OSとブラウザの自動更新を必ずON(Mythosが見つけた脆弱性が順次パッチされる)
- パスワード使い回し禁止 + パスワードマネージャー
- MFA(二要素認証)を全主要サービスで有効化
- 「電話で送金指示」は必ず別経路でコールバック確認
- 怪しいメールのリンクは触らない(AI生成で完璧に見えても)
