自らソフトウェアの脆弱性を発見し、悪用できるAIモデル——27年間検出されなかった脆弱性を含む——は、サイバーセキュリティ専門家が夜も眠れない理由の典型である。そして、そのモデルはすでに存在し、フィナンシャル・タイムズはそれがグローバルセキュリティに与える影響について警鐘を鳴らしている。
2026年4月7日に発表されたAnthropicのClaude Mythosプレビューは、自律的に数千のゼロデイ脆弱性を発見しました。初心者の方へ説明すると、ゼロデイとは、まだ誰も知られていないソフトウェアの欠陥であり、つまりまだ誰もパッチを適用していないため、最初にそれを発見した者がすべての鍵を手にするということです。Mythosはそれらを数千個も発見しました。
メイソスが実際に何を行うか、そしてそれがなぜ問題なのか
その発見の一つには、OpenBSDという、現存する最も安全なオペレーティングシステムの一つと広く認識されているものの、27年間も顕著に隠れ続けていた脆弱性がありました。これはタイプミスではありません。ほとんどのTikTokユーザーよりも古い脆弱性が、人間の研究者によって発見されることなく放置されていたところ、AIモデルがたまたまそれを指摘しました。
英国AI安全研究所は2026年4月13日に評価を実施し、Mythosが制御された環境で脆弱性を自律的に活用する点で優れた性能を発揮したことを確認しました。英語版:シミュレートされたハッキングチャレンジに置かれた際、このモデルは人間のガイドなしで非常に優れたパフォーマンスを示しました。
そこに重要なのは「制御された環境」です。モデルが堅牢な実世界のシステムに対してどのように動作するかは、まだ未解決の問題です。
プロジェクト・グラスウィングと制御されたロールアウト
AnthropicはMythosを一般に公開しなかった。代わりに、同社はソフトウェアセキュリティの強化に焦点を当てた選ばれた組織に限定的なアクセスを提供するProject Glasswingを開始した。
初期のパートナーにはAWS、Microsoft、Googleが含まれ、防衛用途に最大1億ドルが充てられることになっていました。
2026年6月上旬までに、アクセスの範囲は大幅に拡大した。15カ国以上にまたがる150以上の組織が、マイソスへの何らかのレベルでのアクセスを有するようになった。この拡大は、米国政府の介入と並行して進み、そのモデルがどのように、そして誰に提供されるかが形作られた。
また、国家安全保障局がこのモデルの攻撃能力に関与しているという報告も上がっている。
これが市場と投資家に意味すること
金融界は注目しています。市場アナリストたちは、テクノロジー株の変動率に注意を向け、一部の専門家は、AIの能力(例:Mythos)に対する投資家の不安が、複数の業界にまたがる数兆ドル規模の影響をもたらす可能性があると指摘しています。