Claude Mythos Previewがサイバーセキュリティ能力で飛躍的な進化、その技術的評価と業界への影響
Anthropicは、その最新のフロンティアモデルであるClaude Mythos Previewが、サイバーセキュリティ能力において画期的な進歩を遂げたことを発表しました。このモデルは、汎用的な言語モデルとして優れた性能を発揮するだけでなく、特にコンピュータセキュリティタスクにおいて驚異的な能力を示しています。Anthropicは、その高度なサイバーセキュリティおよびエクスプロイト発見能力のため、Claude Mythos Previewを一般公開せず、「Project Glasswing」を通じて一部のパートナーに限定してアクセスを許可しています。
Claude Mythos Previewの卓越した脆弱性発見・悪用能力
Claude Mythos Previewは、主要なすべてのオペレーティングシステムおよび主要なWebブラウザにおいて、ゼロデイ脆弱性を自律的に特定し、悪用する能力があることがテストで判明しています。モデルが発見する脆弱性は、しばしば巧妙で検出が困難なものであり、中には10年、20年以上前のものも含まれます。例えば、OpenBSDの27年前のバグや、FreeBSDの17年前のリモートコード実行(RCE)脆弱性(CVE-2026-4747)を完全に自律的に特定し、悪用してルート権限を取得することに成功しています。
また、このモデルは、単一の脆弱性だけでなく、複数の脆弱性を連鎖させて複雑なエクスプロイトを構築する能力も実証しています。ある事例では、Webブラウザのエクスプロイトにおいて4つの脆弱性を連鎖させ、JITヒープスプレーを記述してレンダラーおよびOSサンドボックスの両方を回避しました。Linuxカーネルにおいても、KASLRバイパス、重要な構造体の読み取り、解放済みヒープオブジェクトへの書き込み、ヒープスプレーを組み合わせることで、ルート権限を付与する機能的なエクスプロイトを構築しています。これらのエクスプロイトは、セキュリティに関する正式な訓練を受けていないAnthropicのエンジニアでさえ、一晩でリモートコード実行の脆弱性を見つけ、翌朝には完全な動作するエクスプロイトを入手できたと報告されており、非専門家でも高度な脆弱性を発見・悪用できる可能性を示唆しています。
AIセキュリティ評価における新たな基準
AI Security Institute (AISI) による評価では、Claude Mythos Previewが従来のフロンティアモデルと比較して、サイバーパフォーマンスが著しく向上していることが示されました。2023年以来、AISIはAIの進歩に合わせて評価の難易度を段階的に上げてきましたが、Claude Mythos Previewは、制御された環境下で、人間が数日かかるようなマルチステージ攻撃を脆弱なネットワーク上で実行し、脆弱性を自律的に発見・悪用できることが観測されました。
ベンチマークにおいても、Claude Mythos Previewは目覚ましい進歩を遂げています。ソフトウェアエンジニアリングの問題解決能力を測る標準的なテストであるSWE-benchでは、Anthropicの以前の最高モデルであるClaude Opus 4.6の80.8%に対し、93.9%を記録しました。また、高校生向けの数学コンテストレベルのテストであるUSAMO 2026では97.6%を、大学院レベルの科学問題ベンチマークであるGPQA Diamondでは94.5%を達成し、既存のどの公開モデルよりも優れていることを示しています。特に、専門家レベルのCapture The Flag (CTF) タスクにおいては、Claude Mythos Previewは73%の成功率を達成し、2025年4月以前にはどのモデルもこれらのタスクを完了できなかったことを考えると、その能力の飛躍的な向上がうかがえます。
サイバー防御への戦略的対応:Project Glasswing
Claude Mythos Previewの登場は、AIがサイバー攻撃の能力を大幅に向上させる可能性を示しており、これに対応するためにAnthropicは「Project Glasswing」を立ち上げました。このプロジェクトは、Mythos Previewを使用して世界の最も重要なソフトウェアを保護し、サイバー攻撃者の一歩先を行くために業界全体が採用すべき対策を準備することを目的としています。
Anthropicは、発見された脆弱性の99%以上がまだパッチされていないため、詳細を公開することは無責任であるとしつつも、今回のモデルがサイバーセキュリティ能力における転換点であることを強調し、業界全体での協調的な防御行動の必要性を訴えています。AI Security Institute (AISI)も、Mythos Previewがセキュリティ体制の弱いシステムを悪用できることを示しているとし、定期的なセキュリティアップデートの適用、堅牢なアクセス制御、セキュリティ構成、包括的なログ記録といった基本的なサイバーセキュリティ対策の重要性を強調しています。
開発者・エンジニア視点での考察見出し
AI駆動型レッドチーム演習の加速と防御側への応用
Claude Mythos Previewのような高度なAIモデルは、ゼロデイ脆弱性の自律的な発見と悪用、さらには複数の脆弱性を連鎖させた複雑なエクスプロイト構築能力を、非専門家でも活用できるレベルで実現しています。これは、従来のレッドチーム演習の効率と深度を劇的に向上させる可能性を秘めています。開発者は、こうしたAIの攻撃能力を理解し、自社システムへのAIを用いたレッドチーム攻撃を積極的に導入することで、これまで見過ごされてきた脆弱性や複雑な攻撃経路を発見し、防御戦略を強化する必要があるでしょう。特に、AIが発見する「古く、巧妙な」脆弱性への対応は、既存のセキュリティ慣行の見直しを迫るものです。
ソフトウェアサプライチェーンセキュリティにおけるAIの二面性
Mythos Previewはオープンソースおよびクローズドソースソフトウェアの両方で脆弱性を発見できるため、ソフトウェアサプライチェーン全体におけるセキュリティリスクを再評価する必要があります。一方で、AIは開発初期段階でのコード分析による脆弱性検出や、パッチの自動生成といった防御側のツールとしても強力な味方となり得ます。開発者は、AIを開発プロセスに統合し、コード生成からテスト、デプロイまでのライフサイクル全体でセキュリティを強化するためのAI活用戦略を策定することが求められます。しかし、同時に、AI自身が新たな脆弱性の源とならないよう、AIモデルの安全性と堅牢性に関する研究・開発も不可欠です。
脅威インテリジェンスと防御策のリアリティギャップへの対応
Claude Mythos Previewが示す能力は、AIが「エキスパートが10時間以上かかると推定される企業ネットワーク攻撃シミュレーションを解決した」という報告からも明らかです。しかし、AISIは、テスト環境と現実世界の環境には違いがあり、Mythos Previewが「十分に防御されたシステムを攻撃できるかどうかは断言できない」とも指摘しています。開発者は、AIが生成する脅威インテリジェンスを単なる「脅威」として捉えるだけでなく、それを具体的な防御策に落とし込むための「リアリティギャップ」を埋めるアプローチを模索する必要があります。これには、AIによる攻撃シミュレーション結果を基にしたSIEM/SOARシステムの改善、AIベースの異常検知システムの開発、そして人間のセキュリティ専門家とAIの協調作業(Human-in-the-Loop)モデルの確立が含まれるでしょう。
🔗 Source / 元記事: https://red.anthropic.com/2026/mythos-preview/
