米Anthropicが2026年4月に公表した「Claude Mythos Preview」は、サイバーセキュリティ業界に衝撃を与えた。Anthropicはこのモデルについて、「主要OSと主要ブラウザーの全てで重大な脆弱(ぜいじゃく)性を発見した」と説明し、あまりに危険であるとして一般公開を見送っている。
Mythosが注目される理由は、単なるコード生成AIではないからだ。サイバーセキュリティにおいて従来の生成AIが脆弱性分析支援ツールなのに対し、Mythosは未知の脆弱性(ゼロデイ)を自律的に発見し、複数の欠陥を連鎖させて攻撃シナリオまで構築できるとされる。
特に象徴的なのが、Anthropicが進める「Project Glasswing」だ。Mythosを一般公開せずに限定した組織へ提供し、重大な脆弱性を事前に発見、修正するために進めている「安全対策プロジェクト」とされる。
だが、本質的な問題は「AIが脆弱性を見つけること自体ではなく、攻撃能力の「民主化」の可能性にある。従来、高度なゼロデイ攻撃には、国家的支援や高度な専門スキル家が必要だった。しかし、Mythos級のAIが誰でも使えれば簡単に高度な攻撃ができる。
さらに懸念されるのは、脆弱性の「発見速度」と「修正速度」の非対称性だ。Anthropicは数千件規模の重大な脆弱性を検出したと主張しているが、修正できているのはごく一部に過ぎない。つまり、AIで「脆弱性の供給速度」だけが爆発的に上昇し、防御側が追いつけなくなる可能性がある。
企業が対処すべきは、まず「侵入されない前提」を捨てることだ。AIでゼロデイ脆弱性の探索が高速化すれば、境界防御だけでは限界が来る。ゼロトラスト、特権ID管理、EDR/XDR、ネットワーク分離など「侵入後を前提にした設計」がさらに重要になる。
また、脆弱性管理の優先順位付けをAI前提で再設計する必要がある。今後は、共通脆弱性評価システム(CVSS)の高スコアを優先に対処するだけでは足りない。さらに、企業自身も防御側AIを導入して、AI攻撃に対抗すべきだ。AIのセキュリティの攻防に関する記事を集めた
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)