OpenBSDのTCPスタックに27年間眠っていたDoS脆弱性がある。誰も気づかないまま四半世紀放置されていたその欠陥を、Anthropicの言語モデルが自力で掘り当てた。FFmpegのH.264デコーダに16年潜んでいたバグも、FreeBSDのNFS実装に17年あったリモートコード実行も同じだ。ここまでなら「また賢いモデルが出た」で終わる話だが、続きがある。2026年6月、米商務省がこのモデルに輸出規制をかけた。ソフトウェアではなく、武器に対するように。
規制の対象は Claude Mythos 5。Anthropicが「自社で最も強力なサイバーセキュリティモデル」と呼ぶ汎用LLMだ。能力の詳細は、同社のレッドチームが4月に公開した評価レポート(Mythos Preview)に書かれている。
脆弱性を「見つける」モデルから「攻め切る」モデルへ
セキュリティ用途でLLMが話題になること自体は新しくない。コードを読んで「ここが怪しい」と指摘するだけなら、既存モデルでもそれなりにできた。Mythosが一線を越えたのは、指摘の先にある実際に動くエクスプロイトの生成まで、人手をほぼ介さずに到達した点にある。
Anthropicが使ったのは、Claude Code に Mythos を組み込んだ自律的な足場(agentic scaffold)だ。モデルがコードを読み、脆弱性の仮説を立て、対象を実際に動かして検証し、概念実証(PoC)コードまで書く。この一連を自分で回す。検証には、約1,000のOSSリポジトリからなる OSS-Fuzz のコーパスと、約7,000のエントリポイントが使われた。深刻度はtier 1〜5で評価される。
数字が雄弁だ。
| 指標 | Claude Mythos | 前世代(Opus 4.6 / Sonnet 4.6) |
|---|---|---|
| OSS-Fuzzでの高深刻度クラッシュ(tier 1–2) | 595件 | 150〜175件 |
| Firefox JSエンジンのエクスプロイト成立 | 181回 | 数百回中2回(Opus 4.6) |
| tier 5(完全な制御フロー奪取) | パッチ済みの10標的で成功 | 報告なし |
最後の行が地味に重い。tier 5の「完全な制御フロー奪取」を、すでにパッチが当たっている標的に対して10件成立させている。つまり既知の対策をくぐり抜けて、KASLRやスタックカナリア、サンドボックスといった現代的な緩和策を回避しながらJITヒープスプレーやROPチェーンを組み立てている。実在のゼロデイ(冒頭のOpenBSD/FFmpeg/FreeBSDや、VMMのゲスト→ホストのメモリ破壊、Linuxカーネルの権限昇格チェーン)も具体的に列挙されている。
人手による検証では、レビューした198件の脆弱性レポートのうち89%が深刻度判定まで正確に一致したという。そしてAnthropicは「発見した脆弱性の99%超がまだ修正されていない」として、詳細の開示を止めている。報告にあたってはSHA-3のハッシュコミットで「先に見つけていた」事実だけを証明し、パッチ公開まで中身を伏せる方式を採り、90日+45日の協調的開示プロセスを踏むとしている。
なぜ「181倍」が分水嶺なのか
ここで効いてくるのが、AIセキュリティで「uplift(底上げ)」と呼ばれる考え方だ。問題は「モデルがすごいか」ではなく、「人間が単独でできることに、モデルがどれだけ上乗せするか」にある。前世代でほぼ不可能(数百回試して2回)だったブラウザエンジンのエクスプロイト生成が、181回成立するようになった。これは精度が少し上がったという話ではなく、それまで一握りの専門家しか到達できなかった工程を、足場さえあれば回せる領域に引きずり下ろしたということだ。
防御側にとっては福音になりうる。膨大なOSSを継続的に監査し、修正前に穴を塞げる。だが同じ能力は攻撃側にも等しく開いている。99%が未修正という数字は、見つける速度が直す速度を完全に追い越したことを意味する。Anthropicが詳細を伏せ、Mythosを一般提供せず、重要産業のパートナーとOSS開発者に限った配布プログラム(Project Glasswing)経由でしか出さないのは、この非対称性を見てのことだろう。
国がモデルへのアクセスを止めた、そして一部だけ戻した
技術以上に前例がないのは、ここから先だ。
9to5Macによると、米政府は6月12日にClaude Mythos 5へ輸出規制の指示を出した。背景として報じられているのは、Amazonのアンディ・ジャシーCEOが財務長官スコット・ベセント氏に「モデルが悪用目的でジェイルブレイクされうる」脆弱性を伝えたこと、そして中国によるアクセスへのホワイトハウスの懸念だ。モデルの重みやアクセスが、輸出管理の枠組みで止められた格好になる。
そして6月26日夜から27日にかけて、商務長官ハワード・ラトニック氏がAnthropicのチーフコンピュートオフィサー、トム・ブラウン氏宛ての書簡で規制を部分解除した。
appropriate safeguards are in place to permit certain trusted partners to access the Claude Mythos 5 Model
これにより、政府機関や大手企業を含む100超の米国内機関がMythos 5を利用できるようになった。Anthropic自身も「最も強力なサイバーセキュリティモデルであるMythos 5を、重要インフラを運用・防御する米国の組織群に再展開できるようになった」と述べている。一方で、弱い兄弟分にあたるFable 5について書簡は沈黙したままで、米国外の非承認主体や外国政府向けのアクセスは依然として制限されている。
自分たちのコードベースに置き換えて考える
正直に書くと、大半のエンジニアはMythos 5を当面さわれない。一般提供されないし、承認機関のリストにも入っていない。その意味で「明日から使える機能」の話ではない。
それでも他人事ではない。第一に、自分が依存しているOSS(カーネル、コーデック、ブラウザエンジン)に四半世紀規模の穴が残っていて、それを機械が秒で見つける時代に入ったという事実は重い。SBOMの整備や依存の更新を「いつかやる」リストから外す理由になる。第二に、脆弱性開示の経済が変わる。発見が直しを追い越した世界では、CVEが出てから動くのでは間に合わない。Anthropicがハッシュコミットや90+45日プロセスをわざわざ設計したのは、開示の作法そのものを作り直す必要に迫られているからだ。
留意すべき点もある。ここに挙げた数字はすべてAnthropicの自己申告で、第三者の追試はまだない。181倍やtier 5の10件も、同社の足場・評価設計の上での値だ。割り引いて読む姿勢は要る。
それでも、政府が一企業のモデルを名指しで止め、書簡一通で「信頼できるパートナー」にだけ解禁する、という運用が現実に起きた。モデルの能力が一定の閾値を超えると、ソフトウェアの配布が外交や輸出管理の問題に変わる。Mythosが残した本当の前例は、見つけたゼロデイの本数ではなく、そちらの方かもしれない。
(出典: Anthropic「Claude Mythos Preview」レッドチーム評価、Semafor、9to5Mac)