AIセキュリティAnthropic

AIがハッカーになった日——Claude Mythosが変えるセキュリティの常識

Anthropicが2026年4月に発表したClaude Mythos Preview。27年間気づかれなかったゼロデイ脆弱性を発見したこのAIが、なぜ一般公開されないのか。

AIが、27年間誰も気づかなかったバグを見つけた。

人間のセキュリティ研究者が何十年もかけてレビューし、何百万回もの自動テストをくぐり抜けた脆弱性を——数時間で。

2026年4月、Anthropicが発表したClaude Mythos Previewの話です。

Claudeの新作、でもあなたは使えない

Anthropicといえば、AIアシスタント「Claude」を作っている会社。ChatGPTのライバルといえば伝わるでしょうか。

そのAnthropicが今年4月7日、新しいモデル「Claude Mythos Preview」を発表しました。

珍しいのは——一般公開しないと最初から宣言したこと。

普通、新しいAIモデルが出たら「今すぐ使える!」という発表がセットになっています。でもMythosは違った。「作ったけど、世の中に出せない」。その理由が、率直に言って怖い。

何ができるのか

Mythosが特別なのは、サイバーセキュリティの分野で人間を超えたという点。

具体的に何をやったか、という話をします。

MythosはOpenBSDというOSの中に、27年間誰も気づかなかった脆弱性を発見しました。OpenBSDはセキュリティに異常なほど気を遣って設計されているOSで、世界中の研究者がずっと監視してきた。それでも見逃していたバグを、AIが見つけた。

さらにFFmpeg——動画を処理するライブラリで、YouTubeやNetflixを含む無数のサービスが使っている——からは、16年間生き延びてきた欠陥を発見。このバグは500万回以上の自動テストと、数十年の人間によるレビューをくぐり抜けてきたものでした。

見つけるだけじゃない。Mythosはその脆弱性を「どう突くか」という攻撃コードまで、自律的に生成できる

これが公開されたら、どうなるか——想像するのは難しくない。

だから出さなかった

Anthropicは正直でした。

「このモデルの能力は、最も高度な人間のハッカーを超えかねない水準に達している。一般公開すれば、悪意ある人間の手に渡った際のリスクが計り知れない。」

そのうえで立ち上げたのが、**Project Glasswing(プロジェクト・グラスウィング)**という取り組みです。

選ばれた企業と組織だけが、審査を経てMythosにアクセスできる。そこにはAmazon、Apple、Google、Microsoft、NVIDIA、JPMorganChase、CrowdStrike……主要なテック企業がほぼ全部入っています。Linux Foundationも加わっている。

使える用途は一つだけ——「脆弱性を見つけて、直すこと」。攻撃への転用は禁止。

Anthropicはこのプロジェクトに1億ドル分の利用クレジットを提供し、さらにオープンソースのセキュリティ団体への400万ドルの直接寄付も発表しました。

「守るために、先に攻める」という発想

ここで一つ、立ち止まって考えてほしいことがあります。

Mythosが開発された背景にある思想は、「攻撃側のAIが先に来る前に、守る側がAIを使いこなす」というもの。

悪意ある人間や国家が同じような能力を持ったAIを使ったら、既存のソフトウェアインフラは一夜にして崩壊するかもしれない。OpenBSDやFFmpegのような「何十年もかけて作られた信頼」が、AIの前ではあっという間に解体される。

だから先手を打つ。バグをAIで見つけて、AIで直す。攻撃される前に。

理屈は分かる。でもこれ、「守るため」と「攻めるため」の境界線が、かなり薄い話でもあります。

普通のエンジニアが感じること

私はセキュリティの専門家ではありません。広尾町で地域おこし協力隊をやりながらAIツールを作っている、どちらかといえば「使う側」の人間です。

それでも、Mythosのニュースを読んで思ったことがある。

これは、ソフトウェアへの信頼の問題だ。

「このライブラリは安全だ」「このOSは何十年もの歴史がある」——そういう根拠で使ってきたものが、AIの登場によって根底から問い直されている。27年前のバグが今日の脆弱性になる、そういう世界に入った。

一方で、直してくれているのも同じAIです。

攻撃と防御が同じ技術の上に乗っている。これは、これからの時代を生きるエンジニアが避けて通れない論点だと思っています。

AIの進化を、どう受け取るか

それでも、今回のMythosをめぐる動きで面白いと思ったのは——Anthropicが「作ったけど隠す」でなく「作ったことを公表し、なぜ出さないかを説明した」姿勢です。

AIの倫理と透明性、その問いに対して、一つの具体的な答え方を示した気がします。

正解かどうかはわからない。でも、考え続ける姿勢としては——悪くないと思っています。

セキュリティの話は難しく聞こえるけど、結局は「信頼できるソフトウェアをどう守るか」という、すごく人間的な問いです。

AIがハッカーになった時代に、私たちはどう向き合うか。まだ答えは出ていないし、おそらくしばらく出ないと思う。

でも、知っておくことは損じゃない。

気になる方は、Anthropicの公式発表(anthropic.com)も合わせて読んでみてください。

シェア:XThreadsLINE