本記事は筆者が運営する AI Quotidia (ai.quotidia.jp) の海外ニュース解説記事です。
AnthropicのAI「Mythos」が数千件のゼロデイ脆弱性を発見——私たちのデジタル社会は安全なのか
皆さんが毎日使っているパソコンやスマートフォン。そのOSやブラウザに、まだ誰にも知られていない深刻な欠陥が何千件も潜んでいるとしたら、どう思いますか。
Anthropicが発表した最新AIモデル「Claude Mythos」が、まさにそれを証明してしまいました。Mythos Previewは、すべての主要OSと主要ウェブブラウザを対象に、数千件のゼロデイ脆弱性を特定したのです。ゼロデイ脆弱性とは、開発者すら気づいていないセキュリティ上の穴のこと。悪意ある攻撃者に先に見つけられれば、私たちの情報が丸ごと盗まれかねません。
桁違いの発見能力
以前のAnthropicモデルがFirefoxブラウザで見つけた脆弱性は約20件でした。ところがMythosは同じFirefoxで約300件を発見。全ソフトウェアを合わせると、総数は数万件に達します。
さらに驚くべきことに、MythosはFreeBSDというOSで17年間も放置されていたリモートコード実行の脆弱性を、完全に自律的に発見し、実際に悪用してみせました。この欠陥は、NFSという仕組みを動かしているマシンで、誰でも最高権限(root)を奪取できてしまうという極めて危険なものです。この脆弱性にはCVE-2026-4747という番号が付与されました。
もし犯罪者の手に渡ったら
ここで重要な問いが生まれます。こんな強力なツール、もし犯罪者や敵対国家の手に渡ったらどうなるのか。
Anthropic CEOのDario Amodei氏自身が「危険の瞬間」と表現し、警鐘を鳴らしています。そのためMythosは一般公開されていません。「Project Glasswing」と名付けられた枠組みのもと、40以上の重要ソフトウェア組織とローンチパートナーに限定提供され、最大1億ドルの利用クレジットと、オープンソースセキュリティグループへの400万ドルの寄付がセットになっています。
Amazon BedrockでもMythos Previewがゲート付きリサーチプレビューとして利用可能になりましたが、あくまで審査を経た組織だけが触れる形です。
日本にとっての意味
日本にとってこれは他人事ではありません。官公庁、金融機関、通信インフラで使われているソフトウェアにも、同様の未知の脆弱性が潜んでいる可能性は十分にあります。
Project Glasswingのパートナー40組織以上に日本の企業や団体が含まれているかどうかは、国内ソフトウェアの安全性を左右する大きな分岐点です。そして、もし敵対国家がMythosと同等の能力を独自に手にした場合、日本の防衛・行政システムが標的になるリスクは現実のものとなります。
NISCをはじめとする関係機関が、この新しい脅威の次元にどう対応するのか。早急な議論が求められています。
AIが「守る側の武器」にも「攻める側の武器」にもなりうる時代。その最前線で何が起きているのか、私たちも注視し続ける必要があります。
参考元: https://www.darkreading.com/cybersecurity-operations/anthropic-mythos-cyber-what-comes-next
この記事は AI Quotidia から転載しています。
文豪モード(情景描写と比喩で読む)・速報モード(30秒で読める)もサイトで読めます。
👉 https://ai.quotidia.jp