英国AI Security Institute(AISI)は2026年5月13日、フロンティアAIモデルの自律的サイバー能力に関する評価結果を公表した。AISIの狭義のサイバータスク群(1タスクあたり250万トークン制限)において、80%信頼性タイムホライズンの倍増時間は、2025年11月時点の推計で8ヶ月、2026年2月時点の推計で4.7ヶ月へと加速していた。
その後評価されたClaude Mythos PreviewとGPT-5.5は、このトレンドをさらに上回った。Claude Sonnet 4.5は人間専門家が16分を要するタスクを80%の確率で完遂すると推計された。サイバーレンジ「The Last Ones」(32ステップの企業ネットワーク攻撃シミュレーション)では、新しいチェックポイントのMythos Previewが10回中6回、GPT-5.5が10回中3回完遂し、Mythos Previewはこれまで未完遂だった「Cooling Tower」も10回中3回完遂した。METRはソフトウェアエンジニアリングタスクの倍増時間を4.2ヶ月と算出している。
From: 
How fast is autonomous AI cyber capability advancing? | AISI Work
【編集部解説】
このAISI(英国AI Security Institute)の発表が画期的なのは、AIエージェントの「自律的サイバー攻撃能力」の進化スピードを、初めて定量的かつ時系列でとらえた点にあります。
ここで使われている「タイムホライズン」という指標は、人間の専門家が要する時間を基準に、AIがどれだけの長さのタスクを80%の成功率で完遂できるかを測るものです。一見シンプルですが、AIの「自律性」を時間軸で数値化した画期的な手法といえます。
AISIの観測によれば、この倍増ペースは2025年11月時点で約8ヶ月、2026年2月時点で4.7ヶ月、そして今回のClaude Mythos PreviewとGPT-5.5の登場でさらに加速した可能性が浮上しています。ムーアの法則がトランジスタ密度に対して持っていた意味を、AIの自律能力という別領域で再現しているかのような構図です。
留意点として、本記事で引用する数値はいずれもAISIの統制されたテスト環境(トークン上限、防御者なしの設定など)での結果です。同じモデルでも、チェックポイント(評価対象バージョン)やスキャフォールド次第で成功率は変動するため、絶対的な性能指標ではなく「傾向」として読み解く必要があります。なお、GPT-5.5のThe Last Ones成功率については、AISIの5月13日付本記事では10回中3回と記載されている一方、4月30日付のGPT-5.5個別評価ページでは10回中2回とする記述もあります。
注目すべきは、AISIが意図的にモデルへのトークン上限を250万トークンに絞っている点です。「公平な比較のため能力を過小評価している」と自ら認めており、実際のサイバーレンジ実験では最大1億トークンを投じています。つまり、本気で計算リソースを与えれば、現実の脅威はさらに大きくなり得るということを示唆しています。
サイバーレンジ「The Last Ones」は、SpecterOps社と共同構築された32ステップの企業ネットワーク攻撃シミュレーションで、人間専門家で約20時間相当の難易度です。AISIが今回新たに評価した「新しいチェックポイントのMythos Preview」はThe Last Onesを10回中6回完遂(同モデルの先行チェックポイントでは10回中3回完遂)し、これまで誰も解けなかった産業制御システム想定の「Cooling Tower」も10回中3回突破しました。これは、フロンティアAIが「単体スキル」ではなく「持続的計画立案と実行」を要する複合攻撃をこなし始めたことを意味します。
ここで重要なのは、AISI自身が指摘するとおり、これらはあくまで「防御者なしの環境」での結果という点です。実社会のシステムにはEDR(エンドポイント検知)やSIEM、人間のアナリストが存在します。シミュレーションでの成果が、現実の堅牢な企業ネットワークでそのまま再現されるわけではありません。
しかし、AIによる脆弱性発見は既に現実世界へ波及しています。AISIと連携するPalo Alto Networksは、AIモデルスキャンによって130以上の製品で26件のCVE、計75件の脆弱性を発見したと公表しました。同社の通常ペースと比較して7倍超に相当する規模です。
The Decoderの報道によれば、Expert難易度タスクではGPT-5.5の成功率が71.4%、Claude Mythos Previewが68.6%と統計的に拮抗しています。AISIは「サイバー攻撃能力は専用学習の成果ではなく、自律性・推論・コーディング能力向上の副産物として出現している」と分析しており、これは規制設計に深い意味を持ちます。
つまり、「サイバー機能だけを抑制する」という従来の規制アプローチでは追いつかず、汎用知能の進化そのものが攻撃能力の進化を伴うという、根源的な課題が立ち上がってきたのです。
加えて見過ごせないのが、ジェイルブレイク耐性の問題です。AISIのレッドチームは、GPT-5.5の安全策に対し、わずか6時間で全悪用クエリを突破するユニバーサル・ジェイルブレイクを発見しています。能力の高さと安全策の脆弱性が同時進行している現状は、開発者・利用者双方にとって重い宿題です。
一方で、ポジティブな側面も明確です。これらの能力は防御側にとって強力な武器でもあります。NCSC(英国国家サイバーセキュリティセンター)はAIを脆弱性発見に活用するためのガイドラインを公開し、AnthropicはProject Glasswing、OpenAIはTrusted Access for Cyber(TAC)というかたちで、検証済みのセキュリティ専門家へモデルを段階的に開放しています。
長期的に見れば、これは「攻撃者と防御者のAI軍拡競争」が本格化する転換点といえます。AISI自身が「レジリエンスを構築するためのクリティカル・ウィンドウ(重要な時間窓)は今である」と述べているのは、防御側がまだ先んじられる猶予期間が残されているという認識の表れでしょう。
innovaTopiaの読者にとって本質的に重要なのは、「AIエージェントがどこまで自律的になるか」という未来の輪郭が、抽象論ではなく月単位のデータで描き出され始めたという事実です。生成AIブームの第二フェーズは、明らかに「能動的に動くAI」へ移行しています。
【用語解説】
フロンティアAIモデル
現時点で最先端の能力を持つAIモデルの総称。OpenAIのGPTシリーズ最新版や、AnthropicのClaude最新版などが該当する。
自律的サイバー能力
AIが人間の指示を逐一受けずに、目標設定→偵察→脆弱性発見→悪用→横展開などの一連の攻撃工程を自ら計画・実行する能力を指す。
タイムホライズン(Time Horizon)
AIモデルが80%(あるいは50%)の確率で完遂できるタスクの長さを、人間専門家の所要時間に換算した指標。AIの「自律性」を時間軸で測るためにAISIやMETRが採用している。
サイバーレンジ
現実の企業ネットワーク等を模した演習環境。AISIは「The Last Ones」(32ステップの企業ネットワーク攻撃シミュレーション、人間専門家で約20時間相当)と、産業制御システムを模した「Cooling Tower」の2つを運用している。
Claude Mythos Preview
Anthropicが2026年4月7日に発表したフロンティアモデル。先行評価でAISIのサイバーレンジを初めて完遂したモデルとなり、その後の新しいチェックポイントではThe Last Ones、Cooling Towerの両レンジを完遂した。
GPT-5.5
OpenAIが2026年4月にリリースした汎用モデル。エージェント的な振る舞いと長期タスクの遂行能力に大きな進化が見られる。
トークン
AIモデルが文章を処理する単位。本評価では1タスクあたり250万トークンの上限を設けて比較性を担保し、サイバーレンジ実験では最大1億トークンまで投入されている。
80%信頼性
モデルが10回試行して8回成功するレベルの再現性。AISIはこの閾値でタイムホライズンを算出している。
推論モデル(reasoning models)
回答前に内部で思考過程(チェーン・オブ・ソート)を展開するタイプのAIモデル。2024年後半から本格的に登場し、サイバー能力の急成長と時期が重なる。
リバースエンジニアリング
コンパイル済みのバイナリやプログラムを逆解析し、内部構造や仕様を解明する技術。攻撃側にも防御側にも不可欠な基礎スキル。
Webエクスプロイト
Webアプリケーションの脆弱性を悪用してシステム侵入や情報窃取を行う攻撃手法。
CTF(Capture the Flag)
セキュリティ競技形式の演習。意図的に脆弱性が仕込まれたシステムから「フラグ」と呼ばれる文字列を取得することで成功とみなす。
エージェント・スキャフォールド
AIモデル単体ではなく、ツール利用やループ制御などの「足場」をつけてエージェント化した実行環境。同じモデルでもスキャフォールド次第で性能が大きく変わる。
ブートストラップ分布
統計手法の一種で、限られたサンプルから繰り返しリサンプリングして信頼区間を推定する方法。AISIは1000回の階層的リサンプリングを実施している。
CVE(Common Vulnerabilities and Exposures)
公開された脆弱性を一意に識別するための国際的な番号体系。
ユニバーサル・ジェイルブレイク
特定のクエリではなく、ほぼあらゆる禁止カテゴリの要求を一括で突破できる汎用的な脱獄プロンプトのこと。
EDR / SIEM
EDR(Endpoint Detection and Response)はエンドポイント上の不審挙動を検知するセキュリティツール。SIEM(Security Information and Event Management)はログを横断的に相関分析する基盤。いずれも現実環境の防御の中核。
Project Glasswing
Anthropicが2026年に開始した、検証済みのサイバー防御専門家へClaude Mythosを限定提供するプログラム。
Trusted Access for Cyber(TAC)
OpenAIによる、検証済み防御者向けのGPT-5.5サイバー機能アクセスプログラム。最上位ティアでは「GPT-5.5-Cyber」が提供される。
【参考リンク】
AI Security Institute(AISI)公式サイト(外部)
英国政府DSIT傘下のAI安全性研究機関。フロンティアAIの能力評価を公的立場から実施する組織だ。
METR(Model Evaluation and Threat Research)(外部)
カリフォルニア州バークレーを拠点とする独立評価NPO。フロンティアAIの自律能力を時系列で計測している。
METR Time Horizons公開ページ(外部)
タイムホライズン方法論と最新測定結果を公開しているページ。最新モデルの数値を時系列で確認できる。
National Cyber Security Centre(NCSC)(外部)
英国の国家サイバーセキュリティ機関。AISIの研究成果を企業向け実務助言へ橋渡しする役割を担う。
Anthropic(外部)
Claudeシリーズを開発する米AI企業。Claude Mythos Previewの提供元として知られる。
OpenAI(外部)
GPT-5.5を開発した米AI企業。ChatGPTやAPI経由でフロンティアモデルを広く提供している。
SpecterOps(外部)
攻撃者視点のセキュリティに特化した米企業。AISIのサイバーレンジ「The Last Ones」を共同構築した。
Palo Alto Networks(外部)
グローバルなサイバーセキュリティ企業。AIによる脆弱性発見の実証データを公開している。
【参考記事】
Exclusive: Palo Alto Networks says new AI models found 7x more vulnerabilities(Axios)(外部)
Palo Alto Networksが通常の7倍超に相当する脆弱性をAIモデルで発見したことを伝える独占報道。
Researchers say AI just broke every benchmark for autonomous cyber capability(CyberScoop)(外部)
AISIの倍増ペース加速と、AIによるCVE発見実績(26件・75脆弱性・130製品)を伝える詳細レポート。
GPT-5.5 matches Claude Mythos in cyber attack tests, UK AI Security Institute finds(The Decoder)(外部)
Expert難易度でGPT-5.5が71.4%、Mythos Previewが68.6%という具体的成功率と評価構造を解説する記事。
GPT-5.5 Matches Heavily Hyped Mythos Preview In New Cybersecurity Tests(Slashdot)(外部)
GPT-5.5がRustバイナリ解析タスクを10分22秒・1.73ドルで完遂した事例などを紹介する報道。
Amid Mythos-hyped cybersecurity prowess, researchers find GPT-5.5 is just as good(Ars Technica)(外部)
Mythos Previewの過剰評価論を相対化し、GPT-5.5との同等性とチェックポイント差異を整理した分析記事。
Our evaluation of OpenAI’s GPT-5.5 cyber capabilities(AISI)(外部)
GPT-5.5のサイバー評価詳報。The Last Ones突破やユニバーサル・ジェイルブレイク発見の経緯を公式が解説。
Our evaluation of Claude Mythos Preview’s cyber capabilities(AISI)(外部)
2026年4月13日公開のMythos Preview評価記事。2023年以降のAIサイバー能力追跡の歴史的視座を提供する。
【関連記事】
GPT-5.5、英国AISIサイバー評価で最強候補に─Mythosに続き32ステップ攻撃を完遂
本記事のおよそ1週間前に公開された、AISIによるGPT-5.5個別評価の解説記事。Expert層71.4%、The Last Onesの完遂など、本記事と重なる固有名詞の背景をより詳しく押さえられる。
【編集部後記】
AIエージェントが「数ヶ月単位」で自律的なサイバー能力を倍増させているという事実は、私たちの働く環境や守るべきシステムの前提を静かに変えつつあります。攻撃にも防御にも使える諸刃の力を、私たちはどう迎え入れていくべきでしょうか。
皆さんの職場や個人のセキュリティ習慣で、AI時代に見直したい点はありますか?もし「ここが気になる」「もっと深掘りしてほしい」と感じる領域があれば、ぜひ教えてください。未来は遠くにあるのではなく、今この瞬間の選択の積み重ねでつくられていく。そう感じさせてくれるテーマだと、編集部は受け止めています。