この記事のポイント
- AnthropicのClaude Mythosが数千件のゼロデイ脆弱性を自律発見
- 対象はWindows・macOS・主要ブラウザを含む全主要OS
- 攻撃と防御の両用性がサイバー安全保障の前提を覆す
- 米中ロのAI兵器化レースに新局面、規制議論が加速
- 「フロンティアモデル=戦略物資」化が進むと地政学リスクは構造変化
AIが「攻撃者」を超えた日
Anthropicは4月7日、Claude Mythos PreviewとProject Glasswingを発表した。
Mythos PreviewはAnthropicが未公開のまま運用するフロンティアモデルで、ソフトウェアの脆弱性を発見・悪用する能力において「最高レベルの人間の専門家を除くすべてを凌駕する」とAnthropicは説明する。
具体的には、過去数週間でMythos PreviewはWindows、macOS、Linux、FreeBSD、OpenBSD、主要ブラウザ全体を対象に数千件のゼロデイ脆弱性を自律的に特定した。
中でも注目されたのは、FreeBSDにおける17年前から存在していたリモートコード実行の脆弱性(CVE-2026-4747)と、セキュリティ堅牢性で知られるOpenBSDで発見された27年前からの脆弱性だ。
これらはいずれもMythos Previewが完全に自律的に特定・悪用した。
Project Glasswingは、この能力を防御目的に活用するためのコンソーシアムで、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが参加している。
脆弱性の特定と修正を、攻撃者より先に実施することを目的としている。
「攻防非対称」が逆転するとき
従来のサイバーセキュリティの世界では「攻撃者有利の非対称性」が支配的だった。
攻撃者は一つの穴を見つければよく、防御者はすべての穴を塞がなければならない。
人的・時間的リソースの制約から、大規模なシステムに潜む古い脆弱性は何年も放置されるケースが多かった。
Claude Mythosが示したのは、この非対称性をAIが逆転させる可能性だ。
AIが数日で数千件の脆弱性を発見できるなら、防御サイドが先手を取れる局面が生まれる。
だが同時に、この技術が悪意ある国家アクターやサイバー犯罪組織の手に渡れば、前例のない規模の攻撃能力を付与することにもなる。
Anthropicがモデルを一般公開しない判断を下したのはこの危険性の認識からだ。
現在のアクセスは信頼できる企業・機関への限定公開に留まっている。
しかしこの「秘密の武器」がいつまで秘密であり続けられるかは、誰にも保証できない。
AI安全保障が米中対立の新戦線になる
地政学アナリストの観点から見ると、Claude Mythosの登場は米中間のAI軍拡競争における決定的な転換点として映る。
米国は現在、AIチップの対中輸出規制を段階的に強化しており、中国の先端AI開発を遅らせようとしている。
しかしClaude Mythosのようなモデルが実在するとすれば、中国側もいずれ同等の能力を持つモデルを開発するだろう。
あるいはすでに開発中かもしれない。
問題は、こうした能力を持つモデルが実際にどの国で、どの組織によって使われるかという「ガバナンスの非対称性」だ。
Anthropicは信頼できる民間企業・機関との連携という形で管理しているが、国家が同様の技術を保有した場合に自主的な制約を設けるかどうかは全く別問題となる。
欧州も独自の動きを見せている。
EUは2026年のAI法執行フェーズに入り、「高リスクAIシステム」の認定と規制適用を進めているが、サイバー攻撃能力を持つモデルがこの枠組みにどう位置づけられるかはまだ明確でない。
Project Glasswingが示すアーキテクチャ
注目すべきは、AnthropicがMythos Previewをビジネスモデルとして展開するのではなく、業界コンソーシアムという形で活用している点だ。
これは商業的利益よりも、安全保障上の優先順位を前面に出した戦略的な判断と読める。
Project Glasswingに参加する企業群を見ると、世界のデジタルインフラの相当部分を担う主体が揃っている。
AWSとGoogleがクラウド、Appleがモバイル、MicrosoftがOS、CrowdStrikeとPalo Alto Networksがセキュリティ、Linux Foundationがオープンソースエコシステムをそれぞれカバーする。
このアーキテクチャは、Anthropicが「信頼の輪」を単一企業から産業エコシステム全体へと拡張するモデルを作ろうとしていることを示している。
一方で、コンソーシアムに参加していない企業や各国政府機関がどう対応するかは不透明なままだ。
今後の注目点
今後数週間のうちに、以下の展開に注目する必要がある。
まず、OpenAIが4月14日に発表したGPT-5.4-Cyberとの比較だ。
OpenAIはMythosへの対抗として、防御的サイバーセキュリティ特化モデルを公開した。
二大AIラボが相次いでサイバーセキュリティ特化モデルを出した事実は、この分野が今後のAI競争の主要戦場になることを示唆している。
次に、米国政府の対応だ。
CISA(サイバーセキュリティ・インフラセキュリティ庁)やNSAがProject Glasswingにどう関与するか、あるいは政府独自のフレームワークを作るかどうかが焦点となる。
さらに中国側の反応も重要だ。
Anthropicの発表から約10日が経過した現在、中国メディアや政府系機関がどう反応し、対抗技術の開発を公言するかどうかが注目される。
AIが人間を超える速度で脆弱性を発見できる世界で、私たちはデジタルセキュリティをどのように再設計すべきなのだろうか。
ソース:
- Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems — The Hacker News(2026年4月)
- Project Glasswing: Securing critical software for the AI era — Anthropic(2026年4月)
- The exploit gap is closing, and your patch cycle wasn't built for this — Help Net Security(2026年4月15日)
- Claude Mythos Signals a New Era of AI-Driven Cyber Attacks — Check Point Blog(2026年4月)
テック業界と自分の距離
どの業界のニュースも、直接関わらないように見えて、数年単位でどこかで繋がってくる。 電力、半導体、通信、AI、規制、労働市場。 これらのどれか一つが動くと、自分のキャリアと生活に波及する確率は思いのほか高い。 遠くの出来事だと切り捨てず、自分との距離を測る視点を持ちたい。
迷ったときに戻る原則
判断に迷ったときに戻る原則を、自分の言葉で1つ2つ持っておくと、日々の選択が軽くなる。 「長期に効くかを基準にする」「関わる人の成長を優先する」「小さく試して学ぶ」。 自分なりの原則は、迷路の中の北極星として働き続ける。
よくある質問
Q. Claude Mythosとは何か
A. Anthropicが開発する最新世代のフロンティアモデルで、自律的に脆弱性探索とエクスプロイト生成ができる。研究目的に限定して公開されたが、軍事・安全保障領域に与える影響が大きい。
Q. ゼロデイ自律発見は何が脅威か
A. 攻撃側が同じ能力を持てば、防御側のパッチ提供が間に合わないからだ。AIがソフトウェアの欠陥を人間より速く見つけ出すと、攻撃と防御の非対称性が一気に拡大する。
Q. 日本企業への影響は
A. 自社プロダクトのセキュリティ監査をAI前提で再設計する必要がある。サードパーティ依存の脆弱性スキャンだけでは、新しい脅威モデルに追いつけなくなる。
## 関連記事 - [Claude(クロード)の料金プラン完全比較|Free・Pro・Max・API の違いと選び方【2026年最新】](/articles/10000196) - [AIコーディングエージェント徹底比較|Claude Code・Cursor・Devin・Copilot・Windsurf——2026年の最適解は](/articles/10000212) - [BtoB、BtoCの次は「BtoA」。AIエージェントに商品を買ってもらう時代が来た](/articles/10000338)
