この記事の対象読者
- セキュリティ運用に携わるエンジニアで、AI駆動の脆弱性発見が自分の業務に与える影響を知りたい人
- Anthropicの発表を見て「また派手なマーケティングか?」と眉をひそめた冷静派
- 2026年4月のAIサイバーセキュリティ地殻変動を、一次情報ベースで技術的に整理したい人
- 自社のSOC・脆弱性管理体制を見直すタイミングを探しているセキュリティマネージャー
この記事で得られること
- Claude Mythos Previewが具体的に何を発見したかの全体像
- Anthropicの自己申告だけでなく、英AISI(AI Security Institute)が独立検証した「本物の証拠」の読み方
- TLO(The Last Ones)32段階攻撃シミュレーションの評価軸と、数字が意味するもの
- Project Glasswingに招待されなかった組織が取るべき現実的アクション
- 「AIが脆弱性を発掘する時代」における防御側の立ち回り方
この記事で扱わないこと
- Claude Mythos PreviewのAPIの叩き方(限定提供のため一般利用不可)
- 特定CVEのエクスプロイト詳細(倫理的・法的理由から)
- Anthropic社のIPO戦略・ビジネスモデル予測
- 他社AIモデル(GPT-5.4-Cyberなど)との総合比較(別記事で扱う)
1. 静かに訪れた「AlphaGo moment」 ─ 2026年4月の地殻変動
27年眠っていた脆弱性が、たった数日の実行で掘り起こされた。
「AlphaGo moment」とは、囲碁AIがプロ棋士を凌駕した2016年の転換点を指す比喩。ある分野で人間の専門家が長年到達できなかった境地に、AIが跳躍的に到達した瞬間を指す。
2026年4月7日、Anthropicは次世代フラッグシップ「Claude Mythos Preview」を発表した。そして同じ文書で、このモデルを一般公開しないと宣言した。理由はシンプルかつ前例のないものだ ─ 「前例のないサイバーセキュリティリスクを構成する」から。
AIモデルが、自らの生み出したツールを自らの手で封印する。この矛盾は業界にショックを与えた。一方で、セキュリティ専門家の最初の反応は当然の懐疑だった ─ 「また派手なマーケティングか?」と。
その懐疑を黙らせたのが、4月13日に英国政府機関 AI Security Institute(以下 AISI)が公表した独立検証結果だ。AISIはAnthropicの主張を、机上のベンチマークではなく、人間の専門家が20時間かかる現実の多段階サイバー攻撃シミュレーションで検証した。結果、Mythosは「本物」だった ─ 正確には、この世代で初めて現れた異常値だった。
この記事では、派手な発表ではなく AISIの独立検証結果を中心に 、何が本当に起きたのかを整理する。考古学者が地層を読むように、数字と設計思想から"本物の証拠"を掘り出していく。
2. 前提用語の整理(5分間の準備)
本題に入る前に、用語を揃えておく。
| 用語 | 意味 |
|---|---|
| ゼロデイ脆弱性 | ベンダーがまだ知らない、もしくはパッチが存在しない脆弱性 |
| エクスプロイト | 脆弱性を実際の攻撃に利用できる「動くコード」 |
| エクスプロイトチェーン | 複数の脆弱性を連鎖的に組み合わせて最終目的(RCE等)に到達させる攻撃 |
| Fuzzing(ファジング) | プログラムに大量のランダム入力を投げてクラッシュを探す自動テスト手法 |
| サンドボックス | 攻撃が成功しても被害を最小限に封じ込める実行分離機構 |
| CTF / Capture the Flag | 隠されたフラグを奪取する形式のセキュリティ実力測定課題 |
| CVE | 公的に採番された脆弱性の識別子(Common Vulnerabilities and Exposures) |
| SBOM | Software Bill of Materials。ソフトウェアの成分表 |
Fuzzing の限界は、プログラムのロジックを理解せず表層的な入力ランダマイズに留まる点にある。後述のFFmpegバグが500万回のファジングでも検出できなかった理由は、ここに由来する。
3. Claude Mythosは「サイバー用に」訓練されていない
まず押さえるべき前提がこれだ。Anthropicは明言している ─ Mythosはサイバースキルに特化して訓練されていない。
ダリオ・アモデイCEOはGlasswing紹介ビデオで、Mythosを「サイバーに特化して訓練したわけではなく、コードに強くなるよう訓練した。副次的な効果としてサイバーにも強くなった」と説明している。
これは技術的に恐ろしい意味を持つ。コーディング能力と推論能力の向上が、副産物としてサイバー攻撃能力を生んでしまうということだ。今後、サイバー能力を意図的に抑制する訓練が入らない限り、新しいLLMが出るたびにこの能力は自然に付帯してくる。
比喩で言えば、こういうことだ ─ 建築家を育てたつもりが、同じ教育で錠前破りの名人も育っていた。建築と錠前破りは、構造の理解という一点で同じ素養を要求する。残念ながら、コードを書く力と、コードの欠陥を見抜く力は、深いところで同じ地層を掘る作業なのだ。
発表から検証までのタイムライン
4. 27年眠った脆弱性の発掘 ─ 核心事例
考古学者が深く掘るほど、古い地層に辿り着く。Mythosが掘り当てたのは、こういう"遺跡"だった。
4-1. 主な発掘事例
| ソフトウェア | 眠っていた年数 | 種別 | 備考 |
|---|---|---|---|
| OpenBSD | 27年 | リモートクラッシュ脆弱性 | 堅牢性で知られるOSで初の発見 |
| FFmpeg | 16年 | ビデオデコーダーのバグ | 自動テスト500万回でも未検出 |
| FreeBSD | 17年 | リモートコード実行 (CVE-2026-4747) | 未認証での完全乗っ取り可能 |
| Linuxカーネル | 長期 | LPEエクスプロイトチェーン | ローカル権限昇格の連鎖 |
500万回のファジングでも見つからなかったバグを掘り当てた事実は、冷静に受け止めるべきや。(;゚д゚)ポカーン
Anthropicによれば、Mythosが発見した脆弱性の 99%以上が未パッチ のため、詳細は公開されていない。この記事に記載した事例は、公式発表で言及された一部に限る。
4-2. Firefoxで起きた「90倍の飛躍」
もっと衝撃的なのは、同じタスクで前世代モデルとの差が桁違いだった点だ。
前世代のClaude Opus 4.6はわずか2件の成功。Mythosは同じ条件で181件のエクスプロイト開発に成功した。倍率にして90倍や...草。
注目すべきは、ブラウザのJITコンパイラを悪用したヒープスプレーで、レンダラーサンドボックスとOSサンドボックスの両方を突破する4段階の脆弱性チェーンを自動構築できるレベルに達している点だ。単一の脆弱性発見ではなく、遺物を組み合わせて動くマシンを復元する ─ そうした考古学的再構築が自律でできているのが恐ろしい。
4-3. OpenBSDで起きた「$20,000の考古学」
堅固なセキュリティで知られるOpenBSDに潜む27年前の遠隔クラッシュ脆弱性を掘り出した件では、Mythosを数千回実行してようやく発見に至り、推論コストは約**2万ドル(約320万円)**だった。
この数字、一見高く見える。ただし攻撃者目線で読み直すと印象が変わる。
「一流のセキュリティチームが1年かけて見つける数と同等の脆弱性を、320万円で1本掘り当てた」
人間のエリート脆弱性研究者チームの発見は、年間100件規模が相場。対してMythosは数千件規模を短期間で掘り当てた。単価で比較したとき、攻撃側の経済性が劇的に変わるのがわかる。
5. AISI独立検証の読み方 ─「The Last Ones」32段階の衝撃
ここからが本題。Anthropicの自己申告ではなく、独立した政府機関の検証結果を読む。
5-1. AISIの2つの評価軸
AISIはMythosを2つの軸で評価した。
5-2. 専門家レベルCTFで73%の衝撃
AISIの評価によれば、Mythos Previewは専門家レベルのCTFで73%の成功率を記録した。この専門家レベルは、2025年4月時点ではどのAIモデルも完答できなかった難易度帯だ。
つまり、1年前には誰も到達できなかった領域に、一気に73%で踏み込んだ。これは「徐々に改善した」ではなく「階段を一段飛ばした」挙動や。
5-3. TLO(The Last Ones)─ 32段階企業NW攻撃シミュレーション
ここがAISI検証の核心。
- シナリオ: 初期偵察からネットワーク完全掌握まで全32段階
- 人間の専門家推定所要時間: 約20時間
- 他モデル: 1億トークン予算を使い切っても完答できず
- Claude Mythos Preview: 10回中3回で全工程を完答
- Mythosの平均到達ステップ: 22/32
- Claude Opus 4.6の平均到達ステップ: 16/32
AISIはこの結果を踏まえ、Mythosが「小規模で防御が脆弱なエンタープライズシステムに対して、ネットワークアクセス取得後に自律攻撃可能なレベル」と判定した。逆に言えば、堅牢に守られたシステムへの攻撃可否は確認できていないとも明言している。ここは正しく読むこと。
5-4. 「本物の証拠」として読むべき4つの数字
この検証結果を数字で要約するとこうなる。
| 指標 | Mythos Preview | Opus 4.6 | 備考 |
|---|---|---|---|
| CyberGymベンチマーク | 0.83 | 0.67 | 「最熟練専門家以外の人間を上回る水準」 |
| 専門家レベルCTF成功率 | 73% | 到達不可 | 2025年4月まで全モデル完答不可 |
| Firefox 147エクスプロイト | 181件 | 2件 | 同条件比較で90倍 |
| TLO完答率 | 3/10 | 0/10 | 平均到達22段階 vs 16段階 |
ここで重要なのは、全ての指標で「連続的な改善」ではなく「非連続な飛躍」が観測されていること。AISIがわざわざ「階段を一段上がった」という表現で報告したのは、このためや。
5-5. AISI検証の限界(ここも正しく読む)
AISIは自らの検証の限界も明記している。公平に読むなら、これも押さえるべき。
AISI検証の6つの限界
- 実環境にある能動的な防御者(人間のSOCオペレータ等)は不在
- EDR等のエンドポイント検知機構は不在
- リアルタイムのインシデント対応は不在
- 「Cooling Tower」(OT環境)の課題では未完了 ─ ただしIT部分で詰まった
- 推論予算は1億トークンに制限 ─ 超えればさらにスコアが伸びる可能性
- アラート発火のペナルティなし ─ 実環境ではここで検知される
つまりAISIの結論は 「防御が薄い系統は自律攻撃できる。堅牢に守られた系統で同じことができるかは未検証」 ということ。ここを混同してはあかん。
6. Project Glasswingの構造 ─ 業界連合の設計思想
Anthropicは発表と同時に、Project Glasswingという業界連合を立ち上げた。
6-1. 参加企業・組織
6-2. なぜ「招待制」なのか
Mythosの能力が両刃の剣だから、というのは表面的な理解や。より深く読むと、設計思想は以下だと読める。
- 攻撃者が広くアクセスできる前に、防御側が先に脆弱性を掘り切る
- その発見内容をOSSおよび商用基盤の修正に回し、攻撃の経済性を下げる
- ガラス細工のように脆い業界構造を、ガラス越しに守る(Glasswing = ガラス翅の蝶)
Project Glasswingに招待された12社+40組織は、要するに世界のソフトウェア基盤を物理的に支えている組織や。OSSメンテナ個人ではなく、デプロイ先の巨大事業者が先に守る、という判断。
「OSS開発者コミュニティ」そのものは直接招待されていない点に注意。Linux Foundationは入っているが、個別プロジェクト(libxml2のような)は蚊帳の外や。最近libxml2プロジェクトが事実上放棄されたニュースと重ねて考えると、構造的な非対称性が見えてくる。
7. 招待されなかった組織の生存戦略 ─ 実用編
ここが一番大事。Project Glasswingに招待されなかった99%の組織は、今すぐ何をすべきか。
7-1. 即時アクション(今週やる)
-
パッチ適用ウィンドウの短縮
- 重要度「High」以上のCVEは72時間以内にパッチ適用を目標とする運用に移行
- 依存関係のバージョンアップを「定期メンテ」ではなく「セキュリティ対応」として優先度を上げる
-
自動更新の徹底
- OS、ブラウザ、ミドルウェア、ライブラリ層まで自動更新を有効化
- 例外ポリシーは明文化し、監査可能な形で管理
-
アクセス制御の棚卸し
- SSO / MFA の適用範囲を全社員・全システムに再確認
- 特権アカウントの定期ローテーション
7-2. 短期アクション(1ヶ月以内)
-
SBOMの整備
- CycloneDX または SPDX形式で全プロダクトのSBOMを生成
- CI/CDパイプラインに
syft/grype等を組み込み、依存脆弱性を継続監視
-
ログ基盤の強化
- エンドポイント/ネットワーク/アプリケーション層の統合ログ基盤(SIEM)の整備
- AIによる異常検知のためにもログの粒度と保持期間を見直す
-
レッドチーム演習のAI化検討
- 防御側も限定的にAIツール(Claude / GPT等)を使った脆弱性スキャンを試す
- 逆説的だが、攻撃側の視点を先取りするには同じツールを握るしかない
7-3. Python で簡易CVEウォッチャーを組む例
CVEを継続的に監視する最小限のスクリプト例を貼っておく。
NVD の公式APIを叩いて、重要度「Critical」のCVEだけを抽出する。
クリックでソースコードを展開
"""
NVD API から直近24時間のCritical CVEを取得する最小スクリプト。
本番運用では認証キー取得、レート制限対応、通知連携を追加すること。
"""
import datetime as dt
from typing import Iterable
import requests
NVD_ENDPOINT = "https://services.nvd.nist.gov/rest/json/cves/2.0"
CRITICAL_THRESHOLD = 9.0 # CVSS v3 ベーススコア
def fetch_recent_cves(hours: int = 24) -> list[dict]:
"""直近N時間に公開/更新されたCVEを取得する。"""
now = dt.datetime.utcnow()
start = now - dt.timedelta(hours=hours)
params = {
"pubStartDate": start.strftime("%Y-%m-%dT%H:%M:%S.000"),
"pubEndDate": now.strftime("%Y-%m-%dT%H:%M:%S.000"),
}
resp = requests.get(NVD_ENDPOINT, params=params, timeout=30)
resp.raise_for_status()
return resp.json().get("vulnerabilities", [])
def filter_critical(items: Iterable[dict]) -> list[dict]:
"""CVSS v3.1 Base Score が閾値を超えるものだけ抽出する。"""
critical = []
for item in items:
cve = item.get("cve", {})
metrics = cve.get("metrics", {}).get("cvssMetricV31", [])
if not metrics:
continue
base_score = metrics[0]["cvssData"].get("baseScore", 0.0)
if base_score >= CRITICAL_THRESHOLD:
critical.append({
"id": cve.get("id"),
"score": base_score,
"description": cve["descriptions"][0]["value"],
})
return critical
if __name__ == "__main__":
items = fetch_recent_cves(hours=24)
critical = filter_critical(items)
for c in critical:
print(f"[{c['score']}] {c['id']}: {c['description'][:120]}")
このスクリプトは Slack Webhook 連携などを足して、自社のセキュリティチャンネルに通知するところまで作り込むのが実用形や。Python 基礎があれば1日で書ける。
8. よくある誤解と正しい読み方
Q1. 「MythosでAIは人間のハッカーを完全に置き換えた」?
No。 AISIは明確に「堅牢に守られたシステムへの攻撃可否は未検証」と明言している。能動的な防御者がいる環境での性能は未知数や。
Q2. 「Project Glasswingに入っていない企業は終わり」?
違う。 AISIは 基本の徹底こそ最重要 と強調している。パッチ・アクセス制御・設定強化・ログの4点セットを整備できている組織は、小さな対策でも効果が出る。
Q3. 「Mythosは意図的にサイバー特化で訓練された」?
違う。 コーディング能力向上の副産物として現れた能力だと公式に明言されている。今後の汎用モデル全てにこの能力は付帯する可能性が高い、というのが本質的に怖いポイント。
Q4. 「99%の脆弱性が未パッチ」ということは、世界中の攻撃者が一斉に悪用する?
No、少なくともすぐには起きない。 MythosはPublicリリースされていないため、アクセスはProject Glasswing参加組織に限定されている。ただし「能力を持つAIモデルが後続で出てくるのは時間の問題」とAISIも警告している。
Q5. 「うちはクラウドSaaSしか使ってないから関係ない」?
その発想が危ない。 使っているSaaSの裏にはOSS依存が山のようにある。FFmpeg のような16年眠った脆弱性が自社サービスの深層で動いている可能性は十分ある。SBOMの整備はサプライチェーン全体に向けた備えや。
9. 学習ロードマップ
この領域を継続的に追いたい人向けの学習パス。
初級(1ヶ月)
- NVD(National Vulnerability Database) の使い方に慣れる
- MITRE ATT&CK Framework で攻撃者のTTPs(戦術・技術・手順)を学ぶ
- CVSS v3.1 の評価軸を理解する
中級(3ヶ月)
- Cyber Essentials / NIST CSF などのセキュリティフレームワークを読み込む
- SBOM(CycloneDX、SPDX)の生成と運用を実践
- CTF(picoCTF、TryHackMe等)で攻撃者視点の基礎を体験する
上級(6ヶ月以上)
- AISI / NIST AI Safety Institute のレポートを定期ウォッチ
- AI × セキュリティの学会動向(USENIX Security、Black Hat、DEF CON)を追う
- 自社のレッドチーム演習にAIエージェントを限定的に組み込んで実験する
まとめ
最後に、この記事の要点をまとめる。
- Claude Mythos Previewは「サイバー特化で訓練された」モデルではない。 コーディング能力向上の副産物として攻撃能力が付帯した ─ ここが最も恐ろしい構造。
- Anthropicの主張はAISIの独立検証で裏付けられている。 特にTLO(32段階NW攻撃)で初の全工程完答、Firefoxで90倍のエクスプロイト成功率は「本物の証拠」。
- AISIは同時に限界も明記している。 堅牢に守られたシステムへの攻撃可否は未検証。基本の徹底(パッチ、アクセス制御、ログ、設定強化)が依然として効く。
- Project Glasswingは業界連合だが、99%の組織は外側にいる。 招待されなかった組織の生存戦略は、時間の勝負になる前提でパッチサイクルを短縮することの一点に尽きる。
個人的な所感を書いておく。この話題を追っていて一番印象的だったのは、27年間誰にも発見されなかったOpenBSDの脆弱性が、320万円の計算コストで掘り出された という事実や。セキュリティという営みは、これまで「人間の時間」という希少資源によって防御側と攻撃側のバランスが保たれてきた。その前提が崩れ始めている。
防御側にいる自分たちにできるのは、基本を地道に徹底することと、AIツールを防御側でも正しく使うことの2つだけ。派手なツールを追いかけるより、パッチ適用のSLAを1日短縮する方が、今の局面では確実に効くと思う。...orz、地味な結論でごめんな。
参考文献
- AISI公式ブログ: Our evaluation of Claude Mythos Preview's cyber capabilities(2026年4月13日)
https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities - Anthropic Red Team公式発表(2026年4月7日)
https://red.anthropic.com/ - GIGAZINE: AISIの検証結果報道(2026年4月14日)
https://gigazine.net/news/20260414-claude-mythos-preview-aisi-evaluation/ -
@IT: パンドラの箱か 最新AIモデルが引き起こす別次元のセキュリティ懸念(2026年4月13日)
https://atmarkit.itmedia.co.jp/ait/articles/2604/13/news071.html - Help Net Security: Testing reveals Claude Mythos's offensive capabilities and limits(2026年4月14日)
https://www.helpnetsecurity.com/2026/04/14/claude-mythos-test-attack-capabilities-limits/ - UK NCSC Cyber Essentials
https://www.ncsc.gov.uk/cyberessentials/overview
関連記事
AIセキュリティシリーズとあわせて読むと、この記事の位置づけがより明確になる。
- Pythonでセキュリティを学ぶ基礎
- Fuzzingとは何か ─ なぜファジングでは見つからない脆弱性があるのか
- Linuxカーネル基礎 ─ 特権昇格エクスプロイトの仕組み
- FFmpegの内部構造を読む
- RCE(Remote Code Execution)ってなんだ?
最後に
この記事が役に立ったら、ぜひ「いいね」と「ストック」をお願いします。
セキュリティ × AI の最新動向は、Xでも随時発信しとるで。