「強すぎるAI」はもう出せない ── Anthropic『Claude Mythos』公開見送りが書き換えた、サイバー防衛の地図
93.9%、94.6%、75.0%——。
SWE-bench Verified、GPQA Diamond、OSWorld。いずれも人間の専門家をすでに上回るスコアで、2026年4月に名前が世に出た未発表モデルが叩き出した数字だ。
名前は Claude Mythos(コードネーム Capybara)。Anthropicが社内で完成させた次世代モデルで、リリース予定はあった。
しかし、同社はこれを一般公開しない。
2026年4月、AIが「強すぎて」出せないと判断された史上初の公開モデルとなった。何が起きているのか、そしてこれが日本企業にとって何を意味するのか。
2026年4月、「一般公開されない最強AI」が現れた日
発端は、2026年3月26〜27日にかけてAnthropicのCMSで起きた設定ミスだった。
約3,000件の内部ドキュメントが一時的にパブリック状態になり、そこに「Claude Mythos」のドラフトブログ記事が混ざっていた。翌週にかけて海外の技術系メディアとセキュリティリサーチャーが内容を解析。4月中旬にはAnthropic自身が声明を出し、Mythos Previewの存在と、公開見送りの判断を認めた。
Anthropicの公式コメントを要約するとこうなる。
「Claude Mythos Previewは能力が大幅に向上した結果、一般提供を行わない判断をした。代わりに、限定されたセキュリティパートナーとのプログラムにおいて使用する」
一般提供を前提に開発されたフロンティアモデルが、完成後に「出せない」と封印された事例は、公式に確認できる範囲で初めてだ。
| 時期 | 出来事 |
|---|---|
| 2026年3月26〜27日 | Anthropic CMS設定ミスで内部ドキュメント約3,000件が一時公開 |
| 2026年3月末〜4月上旬 | Mythos Preview の性能スコアが海外メディアで拡散 |
| 2026年4月中旬 | Anthropicが公開見送りを公式発表、「Project Glasswing」を開示 |
| 2026年4月22日時点 | 自民党が金融サイバーリスクとして政府に対策要請を検討 |
Claude Mythosが持つとされる能力
公開情報から分かる Mythos Preview のスコアは、既存のフロンティアモデルを体系的に超えている。
| ベンチマーク | Claude Mythos Preview | GPT-5.4 | Claude Opus 4.7 | Gemini 3.1 Pro |
|---|---|---|---|---|
| SWE-bench Verified | 93.9% | 83.7% | 88.4% | 85.1% |
| GPQA Diamond | 94.6% | 88.2% | 91.0% | 89.7% |
| OSWorld-Verified | — (内部検証中) | 75.0% | 68.3% | 70.2% |
ただし、重要なのはスコアの絶対値ではない。
リークされた内部ドキュメントの要旨として複数メディアが伝えているのは、「Mythos は主要OS・主要ブラウザに対して、未知の脆弱性(ゼロデイ)を数千単位で自律的に発見し、攻撃コードの雛形まで生成できる」というものだ。
普通のAIアシスタントが「質問に答える」モデルだとすれば、Mythos は「システムの穴を見つけて、刺し方まで考える」モデルに相当する。
言い換えれば、これはツールというより武器に近い。Anthropicが配布を躊躇した理由は、スペックシートの外側にある。
「責任あるスケーリング」が試された局面
Anthropicには Responsible Scaling Policy(RSP)と呼ばれる社内ルールがある。AIの能力が一定の閾値を超えた時、リリース方針・運用方針をどう切り替えるかを事前に定めた枠組みだ。
RSPは大まかに言えば、次の3つを同時に問う。
- このモデルは、誰かの手に渡った時どの程度悪用できるか
- 既存の防御側のツールと運用で対抗できるか
- 対抗策が整うまで、どの形態なら配布してよいか
Mythos Preview はこのフィルタの最終段で「一般公開は不可、ただし限定提供なら運用できる」という判定になった、というのがAnthropicの説明だ。
ここで初めて、「モデルの完成」と「モデルの一般提供」がはっきり分離された。完成したのに出さない、という選択肢が公式プロセスの中に現れたことの意味は重い。
能力を上げることと、能力を渡すことは、別の問題になった。
この一文が、2026年以降のフロンティアAI開発の前提になる可能性が高い。
Project Glasswing ── 敵対的能力を防衛側に還流する試み
公開見送りと同時に、Anthropicが持ち出したのが Project Glasswing だ。
攻撃能力を持つMythos系モデルを「防衛側の当事者」にのみ提供し、彼らが先回りしてゼロデイを発見・修正する体制を作る。公表されている参加組織だけでも、次のような顔ぶれが並ぶ。
2020年代前半のバグバウンティとは設計思想が違う。バグバウンティは「見つけた人が申告する」仕組みだが、Glasswing は「AIに連続的に探させる」仕組みだ。発見の主語が人間から機械に移る。
加えて、米国の一部政府機関が、ブラックリスト上のAIベンダーとは別ルートで Mythos 派生モデルをサイバー防衛に活用しているとの報道もある。
事実の真偽はともかく、「同じモデルを公開はできないが、特定機関は使える」という構造は、半導体の輸出規制と似た景色を描き始めている。
金融・インフラへの影響 ── 国会まで動き出した
日本側の反応は速かった。
自民党のデジタル・サイバーセキュリティ関連プロジェクトチームでは、Mythosクラスの能力が金融システムに向いた場合を想定した対策を政府に要請する動きが出ている。2026年4月時点で、具体的に論点になっているのは次の3つだ。
- 金融機関・証券インフラのゼロデイ対応SLA(検知→パッチの時間軸)
- クラウド事業者に対する「Glasswingクラス」のAI脅威インテリジェンス共有義務
- 重要インフラ分野での「AI by AI」防衛(AIで見つけ、AIで塞ぐ運用)の標準化
これまでサイバー防衛はCISOと数人のセキュリティエンジニアが中心の世界だった。
2026年の論点は、経営会議のアジェンダに移りつつある。取締役会で「うちはGlasswingクラスのAIに対して、どのくらい持つのか」と問われる時代だ。
「攻撃側AI」vs「防御側AI」── 非対称戦争の正体
ここで一つ、冷静に整理しておきたい構造がある。
攻撃側AIと防御側AIは、本質的に非対称だ。
攻撃側が必要とするのは 「一つの穴」 だ。千個ある脆弱性のうち、一つ通れば目的を達する。
防御側が必要なのは 「すべての穴を塞ぐこと」 だ。千個のうち一つでも残れば、そこを抜かれる。
AIがこの競争に入ると、探索速度が人間のペースを離れる。つまり、防御側が同水準の自動化を持たなければ、そもそも同じ試合をしていない。
この構造を踏まえると、Project Glasswingの思想は明快だ。
「攻撃能力に相当するAIを、先に防御側だけに配布する」
これは完全な解決策ではない。派生モデルのリーク、内部者の離脱、類似モデルの独立開発といった経路は残る。だが、初動の非対称性を意図的に作ることで、防御側が準備する時間を稼ぐ設計だ。
日本企業の初動チェックリスト
では、技術のど真ん中にいない日本企業は、今から何をすべきか。派手な導入よりも、地味な見直しから入ってよい。
- ゼロデイ前提のインシデント手順:未知の脆弱性が月単位で複数発見される前提で、検知・パッチ・通知のSLAを書き直す
- 主要SaaSベンダーのAI脅威インテリ連携:AWS/Google/Microsoft/Cisco系のセキュリティサービスがGlasswingクラスの情報をどう還元するか、契約書レベルで確認する
- 内製AIの棚卸し:社内で独自運用しているLLM/エージェントが、脆弱性スキャナー/RPAと接続されていないかを洗い出す。意図せず攻撃側ツールの裏口になり得る
- 経営アジェンダ化:取締役会・監査役会に「AI起因のサイバー重大事象」を定期議題として追加する
- 採用方針の見直し:セキュリティエンジニアとAIエンジニアの境界を意図的に曖昧にするポジション設計を始める
どれも派手さはない。だが、Mythosクラスのモデルが派生・模倣される数ヶ月後に、その差はくっきり出る。
結び ── 公開しないという選択は、何を守ったのか
Anthropicが Mythos Preview を封印したのは、技術の後退ではなく、技術の成熟の一形態として記録されるだろう。
強いAIを作ることと、強いAIを渡すこと。
この二つが別の決定になった瞬間、AI業界は「性能の軸」以外の評価軸を持ち始めた。
読者のあなたが所属する組織は、もし「強すぎる道具」を手にしたとき、それを誰に、どの手順で渡す設計を持っているだろうか。
その問いへの答えが、2026年以降の企業の成熟度を分ける。
