結論: AnthropicのClaude Mythos Previewは、主要OS・ブラウザ・ソフトウェア全てにわたる数千件の高深刻度ゼロデイ脆弱性を自律的に発見した。同社はこの能力を防御目的に使う「Project Glasswing」を立ち上げ、AWS・Apple・Google・Microsoft等12社が参加する業界連合が発足した。
この記事の要点:
- 要点1: Mythos Previewは全主要OS・Webブラウザで脆弱性を自律発見——27年前のOpenBSD脆弱性、17年前のFreeBSD RCEも含む
- 要点2: Project Glasswingは$1億のモデル利用クレジットを提供し、AWS・Apple・Google・Microsoft・NVIDIA等12社が参加
- 要点3: 企業はこの能力が「防御」と「攻撃」両面に使えることを前提に、AIを使ったサイバー攻撃への備えが必要
対象読者: CTO・CISO・情報セキュリティ担当者・AIガバナンス担当者
読了後にできること: Project Glasswingの意味を理解し、自社のAIセキュリティリスク評価の論点を整理できる
「AIがサイバー攻撃に使われるリスクって、本当にどのくらい現実的なんですか?」
AI研修の場でこの質問が増えたのは、2025年後半からのことです。「ChatGPTがフィッシングメールを書く」程度の話は早くから知られていましたが、「AIが脆弱性を自律的に発見して悪用する」という話は、多くの担当者にとってSFの領域に感じられていたのではないでしょうか。
2026年4月7日、その認識を根底から覆す発表がAnthropicから行われました。同社の最新モデル「Claude Mythos Preview」が、主要なOSとWebブラウザ全てにわたる数千件の高深刻度ゼロデイ脆弱性を自律的に発見したというのです。しかも、その多くは人間のセキュリティ研究者がこれまで見逃してきた古い脆弱性でした。
AIを使ったサイバーセキュリティの世界は、2026年4月を境に新しい段階に入りました。この記事では、その技術的な実態と企業が取るべき対応を詳しく解説します。
Claude Mythos Previewとは何か——既存モデルとの決定的な違い
まず前提として、Mythos Previewは現時点(2026年4月)では一般公開されていません。AnthropicのProject Glasswingに参加する限られたパートナー企業・研究機関のみがアクセスできる段階です。
Anthropicが公開したベンチマークデータを見ると、その能力の飛躍がわかります。
| 評価項目 | Claude Opus 4.6 | Claude Mythos Preview |
|---|---|---|
| CyberGym脆弱性再現ベンチマーク | 66.6% | 83.1% |
| Firefoxゼロデイ→JavaScriptシェルエクスプロイト変換 | 2回/数百試行 | 181回(90倍以上) |
| 7,000エントリーポイントのフルコントロールハイジャック | 1ターゲット | 10ターゲット(完全自律) |
特に衝撃的なのがFirefox脆弱性のエクスプロイト成功率です。従来モデル(Opus 4.6)が数百回試行して2回しか成功しなかったものを、Mythos Previewは181回成功させました——これは90倍以上の改善です。
「訓練したわけではない」能力の出現
Anthropicが特に強調しているのが、このサイバーセキュリティ能力は「意図的に訓練したものではない」という点です。
「私たちはMythos Previewをこのような能力を持つように意図的に訓練しませんでした。むしろ、コード・推論・自律性の全般的な改善の結果として、これらの能力が副次的に出現しました。脆弱性のパッチ適用をより効果的に行えるようにする同じ改善が、脆弱性の悪用においても大幅に効果的にしました。」——Anthropic公式発表
この「能力の創発(Emergent Capabilities)」は、AIガバナンスの観点から見ると非常に重要な事実です。次世代モデルがどのような能力を持つかを事前に完全に予測することが困難であることを示しており、能力評価と安全対策の継続的な更新が必要であることを意味します。
発見された脆弱性——主な実例
Anthropicが公開した主な脆弱性発見の実例を見ていきましょう。全て実際に存在した(またはある)ゼロデイ脆弱性です。
OpenBSD——27年間見落とされていたバグ
OpenBSDは「世界で最も安全なOSの一つ」として知られ、ファイアウォールや重要インフラのサーバーOSとして広く使われています。Mythos Previewはこのシステムで、TCP SACK実装に27年前から存在するバグを発見しました。
このバグを利用すると、インターネット上の任意の場所からOpenBSDサーバーにデータパケットを数個送るだけでクラッシュさせることができます(リモートDoS攻撃)。27年間、多くのセキュリティ研究者がレビューしてきたにもかかわらず、誰も見つけられなかった脆弱性です。
FreeBSD——17年前のRCE脆弱性(CVE-2026-4747)
より深刻なのが、FreeBSDのNFS実装に存在した17年前のリモートコード実行(RCE)脆弱性です(CVE-2026-4747として登録)。
Mythos Previewはこの脆弱性を人間の誘導なしに完全自律で発見し、さらに実際に悪用するエクスプロイトも作成しました。この脆弱性を使うと、インターネット上のどこからでも、NFS(ネットワークファイルシステム)が動作しているFreeBSDサーバーに対して、認証なしでrootアクセス(管理者権限)を取得できます。
FFmpeg——16年前のH.264コーデックフロー
動画・音声処理で広く使われるFFmpegのH.264コーデックに、16年前から存在するバグが発見されました。スライス番号のセンチネル値との衝突に関する問題で、「全てのファジングツールと、コードをレビューしたすべての人間が見逃してきた」とAnthropicは説明しています。
99%以上の脆弱性がまだパッチ未適用
Anthropicが明かした数字で最も注目すべきは「発見した脆弱性の99%以上がまだパッチ適用されていない」という事実です。これは責任ある開示(Responsible Disclosure)のプロセス——発見→ベンダー通知→パッチ開発→公開——がまだ進行中であることを意味します。
AnthropicはSHA-3コミットメントハッシュを使って「この脆弱性を保持している」ことを証明しつつ、パッチが適用されるまで詳細を公開しないという手法を取っています。
Project Glasswing——防御のための業界連合
こうした能力を持つモデルを、Anthropicはどのように扱うことにしたのでしょうか。その答えが「Project Glasswing」です。
Project Glasswingの概要
| 項目 | 内容 |
|---|---|
| 目的 | 重要インフラのソフトウェアの脆弱性を、悪意ある攻撃者より先に発見・修正する |
| 創設パートナー | AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks(計12社+Anthropic) |
| 追加参加組織 | 40社以上(オープンソース開発者・セキュリティ研究機関含む) |
| 資金規模 | モデル利用クレジット$1億 + オープンソースセキュリティ団体への直接寄付$400万 |
| タイムライン | 90日以内に発見・勧告を公開レポートとして公表、完全開示は135日後 |
| モデルアクセス費用 | 参加企業はクレジット消化後、入力$25/百万トークン・出力$125/百万トークン |
注目すべきは参加企業の顔ぶれです。AWS・Google・Microsoft・NVIDIAというクラウド・AI市場のトップ企業が一堂に会し、しかもCisco・CrowdStrike・Palo Alto Networksというサイバーセキュリティ専門企業、さらにJPMorgan Chase(金融)、Apple(消費者デバイス)、Linux Foundation(オープンソース)まで参加しています。
AIサイバーセキュリティにおける「業界連合」がここまで大規模に形成されたのは、おそらく史上初のことです。
参加組織が使える機能
Project Glasswingに参加する組織は、以下の目的でMythos Previewを利用できます:
- 自組織のコードベースの脆弱性検出
- ペネトレーションテスト(侵入テスト)の自動化
- バイナリ解析(ソースコードなしでの脆弱性発見)
- パッチ品質の検証
楽観論と慎重論——業界の反応
楽観論: 「防御側が初めて攻撃側より有利になれる可能性」
サイバーセキュリティの世界では長らく「攻撃側有利」が常識でした。攻撃者は脆弱性を1つ見つければ成功できるのに対し、防御側は全ての脆弱性を塞がなければならないからです。
CrowdStrikeは、Glasswingへの参加コメントとして「Mythos Previewのような能力を防御目的に組織的に使えるなら、防御側が初めて攻撃側と同等以上のスピードで動ける可能性がある」と述べています。
慎重論: 「悪意ある行為者が同様の能力を持つ時間の問題」
一方で、懸念の声も根強くあります。
第一に、Anthropicが「Mythos Previewを一般公開しない」と表明していても、国家支援型の攻撃グループが同等の能力を持つモデルを独自開発する時間の問題だという指摘があります。
第二に、99%以上の脆弱性がまだパッチ未適用であることは、現時点でも「脆弱性リスト」が悪用されうる攻撃対象となる可能性を示しています。Anthropicのセキュリティ体制自体が攻撃対象になるリスクも無視できません。
正直に言うと、この分野の進展スピードは予測が難しい状況です。「AIが数千の脆弱性を発見した」という事実が確立した今、次のステージがどうなるかは慎重に監視する必要があります。
日本企業のセキュリティ戦略への影響
影響1: パッチ管理の優先度が上がる
Mythos Previewが発見したような「10〜27年前から存在する脆弱性」は、既知の脆弱性データベース(CVE)にリストアップされていないゼロデイです。つまり、現在の脆弱性スキャンツールでは検出できない可能性があります。
企業ができる対策として、まず重要インフラ(サーバーOS・ネットワーク機器・主要ブラウザ)のバージョンを最新に保つことが基本です。27年前・17年前の脆弱性が悪用されたということは、「古いバージョンを使い続けること」のリスクが改めて浮き彫りになりました。
影響2: AIを使ったペネトレーションテストの普及
Project Glasswingに参加できる企業は限られていますが、将来的にはAIを使った自動ペネトレーションテストが一般企業でも利用可能になる可能性があります。現時点でも、Claude Opus 4.6やGPT-4oを使った簡易的なコードレビュー・セキュリティチェックは実施可能です。
影響3: AIガバナンスポリシーへの脅威評価の追加
多くの企業のAIガバナンスポリシーは「情報漏洩」「著作権」「ハルシネーション」を主な懸念事項として設定しています。今回の発表を受けて、「AIを使ったサイバー攻撃への対策」を明示的にポリシーに含める必要が出てきました。
AIガバナンスの全体像については、AI導入戦略完全ガイドの「リスク管理」セクションも参考にしてください。
【要注意】よくある誤解と正しい理解
誤解1: 「うちの会社は関係ない」
❌ 「大企業の話でしょ。中小企業はターゲットにならない」
⭕ 中小企業・中堅企業のサーバー・ウェブサイトは、大規模攻撃のボット経由攻撃の踏み台にされやすい。OSのバージョン管理・ウェブサーバーのパッチ適用は全規模の企業に関係する
誤解2: 「Mythos Preview自体がすぐに攻撃に使われる」
❌ 「Anthropicがこの発表をしたことで、悪意ある人が今すぐ使える」
⭕ Mythos Previewは一般公開されていない。ただし、同等の能力を持つモデルが悪意ある行為者によって開発・使用される可能性は将来的に高まる
誤解3: 「Project Glasswingに参加すれば安全」
❌ 「12社が参加しているなら、主要ソフトウェアはすぐに全部直る」
⭕ 発見された脆弱性の99%以上はまだパッチ未適用。パッチ開発・テスト・配布には時間がかかる。自組織での更新・対応が引き続き必要
誤解4: 「AIセキュリティは専門チームの仕事」
❌ 「うちにはセキュリティ専門チームがいないので対応不可」
⭕ 基本的なパッチ管理・バージョン更新・MDMポリシーの整備は全ての企業が今日から実施できる。専門チームがなくても、外部のMSSP(マネージドセキュリティサービス)を活用することが現実的な選択肢
今後の注目ポイント
Project Glasswingの90日レポート(2026年7月頃)は必見です。具体的にどのソフトウェアにどれだけの脆弱性が見つかったか、パッチ適用がどこまで進んだかが公開される予定です。
また、AnthropicはMythos Preview相当の能力を持つ次の一般公開モデル(Claude Opus系の後継)に、段階的な安全機能を組み込んでからリリースする計画を示しています。この「段階的な能力公開」アプローチは、今後のAI開発・リリースの標準的な手法になっていく可能性があります。
既存の関連記事: Project Glasswing|AI防御12社連合の全貌(4341)では連合の組織面を、Claude Mythos 10兆パラメータが企業戦略に与える衝撃(4336)ではモデル性能面をそれぞれ詳しく扱っています。本記事では脆弱性発見の技術的実態と企業のセキュリティ対応に特化して解説しました。
参考・出典
- Project Glasswing: Securing critical software for the AI era — Anthropic公式(参照日: 2026-04-11)
- Claude Mythos Preview — Anthropic Red Team(参照日: 2026-04-11)
- Anthropic’s Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems — The Hacker News(参照日: 2026-04-11)
- Anthropic’s Project Glasswing — Simon Willison’s Weblog(参照日: 2026-04-11)
- CrowdStrike Founding Member: Anthropic Mythos Frontier Model — CrowdStrike(参照日: 2026-04-11)
- Claude Mythos #2: Cybersecurity and Project Glasswing — The Zvi Substack(参照日: 2026-04-11)
まとめ:今日から始める3つのアクション
- 今日やること: 自社の主要サーバー・ウェブサーバーが使用しているOSとバージョンを確認し、最新の公式セキュリティパッチが適用されているか確認する
- 今週中: AIセキュリティリスクを現行のセキュリティポリシーに追加し、「AIを使った脆弱性悪用」を脅威モデルとして明記する
- 今月中: 外部のペネトレーションテスト(侵入テスト)または脆弱性診断サービスを年次計画に組み込む。予算が限られる場合はMSSP(マネージドセキュリティサービスプロバイダー)の活用を検討
次回予告: 次の記事では「中小企業のためのAIセキュリティ入門——ChatGPT導入と情報漏洩対策の両立」をテーマに、具体的なリスク管理の方法をお届けします。
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
