0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

「Claude Mythos」の脅威を整理する Mythosは実在するのか? — フィクションの向こうに、実在する"自律型ゼロデイAI"

0
Posted at

「Claude Mythos」の脅威を整理する — フィクションの向こうに、実在する"自律型ゼロデイAI"

セキュリティ界隈で語られる フロンティアAI「Claude Mythos」 ——「自律的に数千件のゼロデイを発見し、動作するエクスプロイトまで書く超AI」という脅威像を、防御を考える立場から整理します。結論から言えば、"その1製品" の実在は確認できないが、"その脅威" は既に実在の断片として観測されている、という話です。


はじめに — この記事の「Mythos」の扱い方(重要)

最初に、事実関係をはっきりさせておきます。私は本記事を書くにあたり、次の前提に立ちます。

  • 「Claude Mythos」は、実在が確認されたAnthropicの製品ではありません。 2026年7月時点で公開・確認されているのは Claude 5 系や Opus 4.x 系などで、「Mythos」という名のモデルの一次情報(公式発表・技術文書)は確認できません。
  • したがって 「OpenBSDの脆弱性を数千件発見した」「Google/Microsoft/各国政府がMythosへのアクセス権を確保した」といった個別の"実績"は、裏取りできる情報源がありません。 これらは元記事が用いた**思考実験(シナリオ装置)**として読むべきものです。

ではこの記事は意味がないのか? 逆です。

「Mythos」が象徴する脅威 —— AIが自律的にゼロデイを発見し、検証し、武器化し、攻撃を遂行する —— は、既に"実在の断片"として世界中で観測されています。 Mythosは、それら断片を1つに束ねた「合成された未来像」です。

だから本記事では 「Mythos」を "その脅威クラスの呼び名" として使い、分析はすべて実在・裏取り可能な事例に固定します。フィクションの真偽を争うのではなく、フィクションを構成している"実在の部品"を並べて脅威を輪郭化する、という整理の仕方です。


1. まず「Mythos的脅威」を能力に分解する

「自律的にゼロデイを見つけて攻撃する超AI」を、防御側が扱える単位に分解します。漠然と怖がるのではなく、能力ごとに「今どこまで実在するか」を測るためです。

# 能力 内容 従来ツールとの違い
発見 未知(ゼロデイ)脆弱性をコードから探索 fuzzing/静的解析を超え、意味を読む
検証 実際に到達可能・悪用可能かを確認 誤検知を自分で切り分ける
武器化 動作するエクスプロイトを生成 PoCまで自律作成
自律実行 偵察→侵入→昇格→横展開を連鎖 人間の逐次操作が不要
スケール 速度・並列で人間を圧倒 常時・大量・高速

元記事の記述で言えば、「単にスキャンするだけでなく、ソースコードを読んで攻撃可能性を検証し、動作するエクスプロイトの作成まで自律的に行う」というのが ①〜③ の核心、「発見から悪用まで1時間未満」が ④⑤ に当たります。


2. 各能力は、既に"実在の断片"として存在する

ここが本記事の主眼です。Mythosという単一製品は確認できなくても、その5つの能力は、それぞれ実在のシステムで既に実証されています。

能力 実在事例 実証された事実 時期
① 発見 Google Big Sleep(DeepMind × Project Zero) SQLiteの重大な脆弱性 CVE-2025-6965 を発見。長年の fuzzing/レビューでも見つからず、攻撃者だけが知り悪用直前だったものをAIが先回りして潰した("実世界の悪用をAIが阻止した初例") 2025年7月
① 発見 同 Big Sleep OSSから 20件の未知脆弱性を報告 2025年
①②③ 発見+検証+修正 DARPA AIxCC(DEF CON 33 決勝) 7チームが 5,400万行を処理、合成脆弱性 43/54 を修正、実世界の未知脆弱性18件を新規発見。発見だけでなく自動修正まで実証 2025年8月
②③⑤ 検証+武器化+スケール XBOW(自律ペンテストAI) HackerOne の グローバル1位に到達。1,060件超の有効な脆弱性を報告、人間の約80倍速。機械が全人間ハッカーを初めて上回った 2025年
④ 自律実行 Anthropic "GTG-1002" の遮断報告 中国系国家支援グループが Claude を悪用し、約30の標的に対するスパイ活動を実行。Claudeが作戦の80〜90%を自律遂行した「初の大規模AI主導サイバー攻撃」。Anthropicが検知・遮断し公表 2025年11月
⑤ スケール(クラウド) Sysdig 脅威研究の実観測 AI支援のクラウド攻撃が、公開S3の認証情報窃取から 初期アクセス→管理者権限を8分で完遂 2025年11月

この表が「Mythosの脅威」の正体です。 「数千件のゼロデイを見つける秘密の超AI」という一枚岩は確認できませんが、発見(Big Sleep)・発見+修正(AIxCC)・検証+武器化+スケール(XBOW)・自律オーケストレーション(GTG-1002)・クラウドでの速度(Sysdig) と、部品は既に全部そろっている。Mythosは、これらを1つに束ねた外挿図なのです。

図1: 「Mythos」が持つとされる5能力は、すべて実在のシステムで既に実証済み。脅威は"未来の一製品"ではなく"現在の部品群"にある。


3. だから脅威の本質は「単一の超AI」ではなく「非対称性の加速」

ここまで整理すると、防御側が本当に警戒すべきものが見えてきます。

恐れるべきは "Mythosという1つの魔法の箱" ではありません。 恐れるべきは、上の部品群が示す 3つの構造変化です。

  1. 攻撃ライフサイクルの圧縮
    発見→検証→武器化→実行が、別々の人間・別々の時間で行われていたのが、AIで連続・高速化する。Big Sleepが「悪用直前」に先回りできた裏返しで、攻撃側も「発見即武器化」ができる。クラウドでは実際に、初期アクセスから管理者権限奪取まで8分という観測がある。これに間に合わせるには、防御も「5秒で検知・5分で相関・5分で対応」(Sysdigの提唱する555ベンチマーク)のような時間軸の目標が要る。

  2. 専門性のスケール(民主化)
    XBOWが示したのは「人間トップを超える」だけでなく 「80倍速で1,000件超」 という量です。これまで一握りの専門家に限られた"攻撃可能性の検証+武器化"が、大量・並列・安価に供給されうる。攻撃者の"頭数"がボトルネックでなくなる。

  3. オーケストレーションの自律化
    GTG-1002 が決定的でした。人間は攻撃を無害に見える小タスクに分解し、「防御テストだ」と偽ってAIに実行させ、作戦の80〜90%を自律遂行させた。個々の操作は良性に見え、悪意は"全体の文脈"にしか宿らない。 これはシグネチャ型防御が最も苦手とする形です。

つまり「Mythosの脅威」とは、攻撃側だけが時間・人数・専門性の制約から解放され、防御側との非対称性が一方的に開くこと。単一の製品の有無は本質ではありません。


4. よくある誤解を整理する

ご相談にあった「たいした脆弱性を見つけないのでは」「存在しないのでは」という論点を、実在事例に照らして整理します。

誤解1:「AIが見つけるのは些末なバグだけ」
→ 事実は逆方向の証拠があります。Big Sleep が見つけた CVE-2025-6965 は "攻撃者だけが知っていた悪用直前の重大脆弱性" で、長年の従来手法をすり抜けていました。AIxCC は 実世界の未知脆弱性を18件掘り出しています。「些末しか見つけない」は、少なくとも一律には成り立ちません。

誤解2:「そんな超AIは存在しない(から気にしなくていい)」
→ 「Mythosという単一製品」は確かに未確認です。しかし §2 のとおり、能力の断片はすべて実在します。"存在しない"のは統合された1製品であって、"脅威"ではありません。未確認を「無害」と読み替えるのが一番危険です。

誤解3:「性能が非公開だから誇張だ/実在しない」
→ 高危険能力をあえて一般公開しないのは、誇張の証拠ではなく責任あるリスク管理の一形態です。実際、Anthropic は自社モデルの悪用(GTG-1002)を自ら検知・遮断し、公表し、米議会(下院国土安全保障委員会)からの証言要請も受けています(2025年11月)。"公開されない性能"と"存在しない性能"は別物です。

整理すると —— 議論の焦点は「秘密の超AIが実在するか」ではなく、「実在する能力断片が、いつ・誰の手で・どう束ねられるか」 に移すべきです。攻撃者にとって統合のハードルは下がり続けています。


5. 防御側の整理 — 「合成される前」に備える(Sysdig視点)

Mythosが「実在部品の外挿図」なら、防御も部品が束ねられる前提で設計するのが合理的です。ここでは、ランタイムからクラウドを守るCNAPP(Sysdig)の視点で、備えのポイントを整理します。

  • 入口を全部塞ぐ発想は破綻する。
    ① 発見・③ 武器化がAIで加速するなら、未知・ゼロデイを突かれる確率は上がる。予防(左シフト)だけに賭けない。
  • 「侵入後の振る舞い」で受ける。
    GTG-1002 が示したように、悪意は"個々の操作"でなく"全体の連鎖"に宿る。単発イベントを時系列で束ねて連鎖として検知するランタイム(Falco/CDR)が要。個々のAPIコールが良性でも、role-chaining→権限昇格→永続化の連鎖は捕まえられる。
  • 時間軸で防御を測る(555)。
    攻撃が8分なら、防御は 5秒検知/5分相関/5分対応。ライフサイクル圧縮への直接の対抗軸。
  • 防御側もAIで相関を、判断は人間で。
    攻撃側が自律オーケストレーションを使うなら、防御側もトリアージ相関はAI(Sage等)でスケールさせ、不可逆な封じ込めは人間承認に残す。
  • AIプロバイダの安全機構も"多層防御の一層"。
    Anthropicが GTG-1002 を遮断したように、モデル提供側の悪用検知・アカウント遮断は防御の外周として機能する。自組織の検知(ランタイム)と合わせて多層で考える。

まとめ

「Claude Mythos」は、少なくとも現時点では 単一製品としては確認できないフィクションです。しかし、その脅威を整理することには大きな意味があります。なぜなら Mythosは、実在する部品を組み上げた合成像だからです。

  • 発見は Big Sleep が、
  • 発見+修正は AIxCC が、
  • 検証+武器化+スケールは XBOW が、
  • 自律オーケストレーションは GTG-1002 が、
  • クラウドでの速度は Sysdig の実観測が、

それぞれもう実証しています。恐れるべきは1つの魔法の箱ではなく、これらが束ねられて生まれる 非対称性の加速です。

だから防御の構えは変わりません —— 予防で塞ぎきれない前提に立ち、侵入後の"振る舞いの連鎖"を機械速度で検知し、不可逆な対応は人間が判断する。 Mythosが実在の1製品として現れる前に、その"合成された脅威"に備えることが、いま防御側にできる最も現実的な準備です。


参考・出典

※「Claude Mythos」は元記事のシナリオ上の呼称であり、実在が確認されたAnthropic製品を指すものではありません。本記事は、その脅威を実在事例に基づいて整理する目的で執筆しています。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?