※本稿は、Anthropicの公式発表、Mozillaによる公開情報、および複数の報道・解説記事をもとにした考察コラムです。未公表の技術詳細や一部報道に基づく内容については、確定事実としてではなく、今後のリスクシナリオとして整理しています。
2026年4月、米AI企業Anthropicは、新たなAIモデル「Claude Mythos Preview」と、それを活用して重要ソフトウェアの脆弱性を発見・修正する取り組み「Project Glasswing」を発表しました。Claude Mythos Previewは、一般的な大規模言語モデルとしての能力に加え、ソフトウェア解析や脆弱性発見といったサイバーセキュリティ領域で非常に高い能力を示したとされています。
重要なのは、Anthropicがこのモデルを通常の商用サービスとして一般公開していない点です。同社は、Mythos Previewが防御に大きく貢献する一方で、悪用されれば未知の脆弱性の発見や攻撃手法の開発にも使われ得るとして、提供先を限定した形で運用しています。
したがって、本稿ではClaude Mythosを「すでに誰でも使える攻撃ツール」としてではなく、「高度なAIが脆弱性発見・検証の領域に入り始めたことを示す象徴的な事例」として捉えます。
現時点で確認できる主な事実は、AnthropicがProject Glasswingを発表し、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどを含む複数の組織と連携していることです。目的は、Mythos Previewを用いて攻撃者より先に重要ソフトウェアの脆弱性を発見し、修正につなげることにあります。
Mozillaも、Anthropicとの協力のもと、Firefoxに対してClaude Mythos Previewの初期評価を実施したことを公表しています。Mozillaのブログでは、Firefox 150において、この初期評価で特定された271件の脆弱性修正が含まれたと説明されています。ここで注意すべきなのは、これらをすべて「ゼロデイ攻撃として悪用可能な脆弱性」と断定するのは慎重であるべきという点です。公開情報上は「脆弱性」または「セキュリティ上の欠陥」として理解するのが安全です。
また、一部の報道や解説では、Mythos Previewが主要OSやブラウザにおいて多数の未知の欠陥を発見した、あるいはPoCレベルのコード生成能力を示したとされています。ただし、これらの詳細はセキュリティ上の理由から限定的にしか開示されておらず、個別の脆弱性内容や再現手順を外部から検証できるわけではありません。したがって、記事として扱う際には「報道によれば」「Anthropicは説明している」といった表現で、情報の確度を明示することが重要です。
従来のAI活用は、コードレビューの補助、既知パターンに基づく脆弱性の指摘、ログ分析やアラート要約など、人間の専門家を支援する用途が中心でした。これに対してClaude Mythos Previewが注目された理由は、AIが単なる補助役を超え、仮説を立て、検証し、再試行するような探索型のセキュリティ解析に近づいていると受け止められたためです。
これは防御側にとって大きな可能性を持ちます。人間の専門家だけでは見つけきれないコード上の欠陥を短時間で洗い出し、修正優先度を整理し、場合によっては修正案の作成まで支援できる可能性があるからです。ソフトウェアの複雑化とセキュリティ人材不足が進む中で、AIによる脆弱性発見の自動化は、開発・運用現場にとって大きな意味を持ちます。
一方で、同じ能力は攻撃側にとっても魅力的です。未知の脆弱性を見つけ、複数の弱点を組み合わせ、攻撃シナリオを検証する能力が低コストで利用可能になれば、従来は高度な専門家や国家レベルの攻撃者に限られていた活動が、より広い主体に広がるおそれがあります。
Claude Mythos PreviewのようなAIが防御目的で適切に使われれば、まず期待されるのは脆弱性発見のスピード向上です。大規模なコードベース、長年メンテナンスされてきたソフトウェア、複雑な依存関係を持つオープンソースソフトウェアでは、人間だけで全体を継続的に確認することに限界があります。AIは、こうした領域で探索範囲を広げる役割を担う可能性があります。
次に、脆弱性管理の優先順位付けにも効果が期待されます。単に「欠陥がある」と指摘するだけでなく、それが実際にどのような条件で悪用され得るのか、どの資産に影響するのか、どの修正を先に行うべきかを整理できれば、限られた人的リソースをより重要な対応に集中させることができます。
さらに、クローズドソースのソフトウェアや実行ファイルの解析、サプライチェーン上のOSSコンポーネントの評価など、従来は専門性と時間を要した領域にもAIが入り込む可能性があります。ただし、実運用ではAIの結果をそのまま信じるのではなく、人間の専門家による検証、ベンダーとの責任ある開示、修正後の再評価といったプロセスが不可欠です。
最大のリスクは、AIによって高度な攻撃準備のハードルが下がることです。未知の脆弱性を発見する、PoCレベルのコードを生成する、複数の弱点を組み合わせた攻撃経路を検討する、といった作業は、これまで高度な専門知識と時間を必要としていました。もし同等の能力を持つAIが広く利用可能になれば、攻撃者の探索能力は大きく増幅されます。
この点は、単に「攻撃コードが作れるか」という問題にとどまりません。攻撃者は、脆弱性の探索、標的環境の理解、攻撃手順の試行錯誤、検知回避の検討など、多くの工程でAIを活用できます。つまり、AIは攻撃の一部を自動化するだけでなく、攻撃者の思考・検証サイクルそのものを加速させる可能性があります。
そのため、Claude Mythos Previewをめぐる議論は、特定モデルの公開可否にとどまらず、「高度なAIモデルをどの範囲で公開し、誰に提供し、どのような監督・検証のもとで運用するべきか」というガバナンス上の問題にもつながっています。
日本企業にとって重要なのは、Claude Mythos Previewそのものを直接利用できるかどうかだけではありません。より本質的なのは、AIによる脆弱性発見が現実味を帯びたことで、攻撃者が未知の欠陥を見つけるスピードも、防御側が修正するスピードも、今後さらに速くなるという点です。
特に、金融、製造、通信、医療、重要インフラ、SaaS事業者など、システム停止や情報漏えいが社会的影響につながりやすい企業では、従来の年次診断や定期的なパッチ適用だけでは不十分になる可能性があります。AI時代には、脆弱性情報の収集、資産管理、影響範囲の特定、パッチ適用判断、検知ルールの更新までを、より短いサイクルで回す必要があります。
一部報道では、金融当局や金融機関がClaude Mythos級AIの悪用リスクに関心を示しているとも伝えられています。ただし、個別の会議内容や発言については、公式資料で確認できる範囲と報道ベースの情報を区別して扱うべきです。日本企業としては、特定の報道に過度に反応するよりも、「AIによって脆弱性発見と攻撃準備の速度が上がる」という構造変化に備えることが重要です。
第一に、自社が保有するIT資産、ソフトウェア、外部公開システム、利用しているOSSコンポーネントを把握することです。AI時代の脆弱性管理では、どのシステムに何が含まれているかを把握できていない企業ほど、発見された脆弱性への対応が遅れます。SBOMや資産管理台帳、ASMなどの活用は、今後さらに重要になります。
第二に、脆弱性管理の運用サイクルを短縮することです。脆弱性情報を受け取ってから、影響調査、優先順位付け、修正、再確認までに時間がかかる体制では、攻撃者のスピードに追いつけません。AIを活用した診断や影響分析を検討する場合も、人間の判断と組み合わせた実務プロセスとして設計する必要があります。
第三に、EDR、SIEM、ID管理、ネットワークログなどの監視基盤を整備し、未知の攻撃やゼロデイ悪用を前提とした検知・対応体制を作ることです。すべての脆弱性を事前に潰すことは現実的ではないため、侵入後の早期検知、被害拡大防止、復旧手順の整備が不可欠になります。
第四に、AIを利用した攻撃と防御を経営リスクとして扱うことです。これは情報システム部門だけのテーマではなく、製品開発、法務、広報、調達、事業継続計画にも関わる問題です。AIによって攻撃スピードが上がる時代には、経営層がサイバーリスクを事業継続の問題として捉える必要があります。
Claude Mythos Previewは、AIがサイバーセキュリティの世界に本格的に入り込む時代を象徴する事例です。公開情報から確認できる範囲でも、重要ソフトウェアの脆弱性発見・修正にAIが大きく貢献し得ることは明らかになりつつあります。
ただし、同時に注意すべきなのは、AIによる脆弱性発見能力は防御だけでなく攻撃にも使えるという点です。防御側がAIを使って先回りする一方で、攻撃者も同じようにAIを使って弱点を探す可能性があります。この二面性こそが、Claude Mythos Previewをめぐる議論の本質です。
日本企業に求められるのは、特定モデルの名称に振り回されることではありません。AIによって脆弱性発見、攻撃準備、修正対応のスピードが変わり始めているという現実を前提に、資産管理、脆弱性管理、監視、インシデント対応、経営判断のあり方を見直すことです。Claude Mythos Previewが示したのは、AI時代のサイバーセキュリティでは、攻撃も防御もこれまでより速くなるということです。
