Claude Mythos Previewとは何か
Claude Mythos Previewは、AnthropicがこれまでにリリースしたAIの中で最も高性能なモデルだ。 コーディングとエージェントタスクに特化した評価指標「SWE-bench Verified」では93.9%、サイバーセキュリティ特化のベンチマーク「CyberGym」では83.1%というスコアを達成した。
ただし、このモデルは一般公開される予定がない。 理由は単純だ。サイバー能力が高すぎて、広く解放するにはリスクが大きすぎると判断されたからである。
Project Glasswingでは、このモデルを参加組織に限定提供する形を取っている。 入力トークン100万件あたり25ドル、出力トークン100万件あたり125ドルという価格で、Claude API・Amazon Bedrock・Google Cloud Vertex AI・Microsoft Foundryから利用可能だ。 Anthropicは$1億相当のモデル利用クレジットを拠出し、参加組織が無償で検証を進められる体制を整えた。
数千件のゼロデイを発見したAI
公式発表によると、Claude Mythos Previewはすでに主要なオペレーティングシステムと主要ウェブブラウザ全体にわたって、数千件のゼロデイ脆弱性を特定した。 従来のセキュリティ研究者が年単位でかけていた脆弱性調査を、AIが短期間でスキャンした計算になる。
エンジニアとして注目したいのは、このモデルが「ただコードを読む」のではなく、エンドツーエンドの攻撃シーケンスを32ステップで実行できる点だ。 同様のテストでOpenAIのGPT-5.5が成功したのはClaude Mythosの3週間後であり、モデルの能力格差が脆弱性発見の速度に直結することが証明されつつある。
APIとツールチェーンへの影響
エンジニアが実務で意識すべき変化は2点ある。
まず、脆弱性のパッチサイクルが変わる可能性だ。 AIが高速で脆弱性を列挙するようになれば、発見から修正までの「ゴールデンタイム」が圧縮される。 パッチ配布のパイプラインや自動デプロイの仕組みを今から整備していないエンジニアリングチームは、遅れを取ることになるだろう。
次に、セキュリティテストの自動化だ。 Project GlasswingのAPIが広がれば、CIパイプラインにAIベースの静的解析ツールを組み込む動きが加速する。 既存のSAST(Static Application Security Testing)ツールとAI脆弱性スキャンをどう組み合わせるか、アーキテクチャ設計の議論が増えるはずだ。
防御側と攻撃側の非対称性という本質問題
Project Glasswingが重要な理由は、脆弱性発見だけではない。 AIが「攻撃に使える」という事実が同時に証明されたことにある。
32ステップの自律的なサイバー攻撃を成功させたモデルが存在するということは、悪意ある行為者が同様の能力にアクセスしたとき、防御側が受けるダメージは従来の比ではない。 Anthropicがモデルを一般公開しない判断をしたのはそのためだ。
「AIが発見した脆弱性をAIが修正する」サイクルが確立されれば、理論上はソフトウェアの安全性が飛躍的に向上する。 だが現実には、攻撃者も同等のツールへのアクセスを試みる。 AIセキュリティは「どちらが先にパッチを当てるか」という競争から、「どちらが先に能力差を広げるか」という新たな段階に入った。
日本のエンジニアリングチームが今すぐ取るべき行動
日本のエンジニアリング組織で特に重要になるのは、ソフトウェアサプライチェーンの可視化だ。 Project Glasswingが標的にした「主要OS・主要ブラウザ」の脆弱性は、下流のサービスにも波及する。 依存パッケージの管理、SBOM(Software Bill of Materials)の整備が急務だ。
また、Linux Foundation・Google・Microsoft・Appleが揃って参加しているという事実は、OSSコミュニティへの影響も大きい。 Chromium・Linux・WebKitなどのコアプロジェクトのパッチノートに、今後「AI-detected vulnerability」という表記が増えてくる可能性がある。 それらを素早く追える体制を作ることが、実務エンジニアにとっての最優先事項になるだろう。
今後の注目点
直近で注目すべきは、Project Glasswingで発見された脆弱性の修正状況だ。 数千件という膨大な件数が実際にパッチ済みになるまでのプロセスは、2026年後半のセキュリティイベントで相次いで開示されると見られる。
また、Anthropicが「一般公開しない」と明言したClaude Mythos Previewは、いつか安全性の水準が整えば公開される可能性も残る。 その際、セキュリティ研究者コミュニティへのアクセス条件がどう設定されるかが、業界全体の脆弱性発見速度を左右することになる。
AIとサイバーセキュリティの交差点で、エンジニアはどんな役割を担えるのか。 防御側のツールとしてAIを活用する経路が広がった今、あなたのチームのセキュリティ体制は一年前と比べてどれだけ変化しただろうか。
ソース:
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Claude Mythos Preview — red.anthropic.com
- What Are Security Experts Saying About Claude Mythos and Project Glasswing? — Security Magazine
- Claude Mythos and Project Glasswing: why an AI superhacker has the tech world on alert — The Conversation
- Claude Mythos, Project Glasswing and AI cybersecurity risks — IBM Think Podcast
