サイバーセキュリティの情勢は不可逆的に変化しました。何千ものゼロデイ脆弱性を自律的に発見できる Anthropic の AI モデル「Claude Mythos」は、業界の「安全マージン」を打ち砕いただけでなく、世界中の企業にとって痛ましい真実を露呈させました。それは「パッチ適用プロセスが遅すぎる」ということです。悪用までのタイムラインが数日からわずか数時間へと短縮される中、従来の暦に基づいたパッチ適用サイクルは、もはや有効な防御策ではありません。
Mythos がもたらす能力のギャップ
2026 年 4 月、Anthropic は Claude Mythos Preview が、これまで業界に一定のセキュリティを提供していた重要なギャップを埋めたと発表しました。2024 年の調査では、GPT-4 は脆弱性の説明があれば 87% の既知の脆弱性を悪用できましたが、説明なしでは 7% しか悪用できないことが判明していました。AI は既知の欠陥を兵器化できても新しい欠陥を発見できなかったため、これが「安全マージン」を生み出していました。しかし、Mythos はそのマージンを完全に排除しました。
同モデルは現在、すべての主要なオペレーティングシステムやウェブブラウザにわたり、10,000 件以上の高リスクおよび重大なゼロデイ脆弱性を自律的に発見しています。管理されたテスト環境において、Mythos は CyberGym 脆弱性再現ベンチマークで 83.1% というスコアを記録しました。これは、大部分のケースで初回試行で動作するエクスプロイトを生成できることを意味します。OpenBSD を標的とした 1,000 回の試験運用では、合計計算コストは 20,000 米ドル未満であり、この能力が強力であるだけでなく、経済的にも利用可能であることを示しています。
Claude Mythos パフォーマンスベンチマーク
発見されたゼロデイ脆弱性: 10,000件以上
CyberGym 脆弱性再現ベンチマーク: 83.1%
OpenBSDキャンペーンの計算コスト: 1,000回のスキャフォールド実行あたり20,000米ドル未満
価格: Claude API、Amazon Bedrock、Google Cloud Vertex AI、Microsoft Foundry経由で、入力トークン100万あたり25ドル、出力トークン100万あたり125ドル
悪用までのタイムラインの崩壊
多くの組織が依存している防御インフラは、AI がマシン速度で脆弱性を発見・兵器化できる世界を想定して設計されていません。Rapid7 の 2026 年脅威情勢レポートによると、CVE が公開されてから CISA の Known Exploited Vulnerabilities (KEV) リストに掲載されるまでの期間の中央値は 5 日間です。Google の M-Trends 2026 レポートでは、パッチがリリースされる前に悪用がすでに発生している状況が指摘されています。
実際の事例が、この変化を裏付けています。Langflow の CVE-2026-33017(CVSS スコア 9.8 の重大な脆弱性)は、公開された証明概念(PoC)がないまま、開示からわずか 20 時間後に悪用されました。Marimo の CVE-2026-39987(CVSS 9.3)に至っては、わずか 9 時間 41 分で攻撃を受けています。悪用には時間がかかるという前提でパッチ適用期間の安全性を信じることは、もはや通用しません。
脆弱性悪用までのタイムライン比較
脆弱性CVSSスコア初回悪用までの時間Langflow CVE-2026-330179.820時間Marimo CVE-2026-399879.39時間41分CISA KEV登録までの平均時間N/ACVE公開から5日
新しい優先順位付けのフレームワーク
ほとんどの脆弱性管理プログラムは、依然として CVSS スコアのみで優先順位を決定しています。これは、脆弱性が実際に悪用されているかどうかを考慮せず、理論上の深刻度を数値化しただけの指標です。28,377 件の現実世界の脆弱性を検証した最近の研究では、より具体的な代替案が提示されています。それは、CISA KEV のステータス、Exploit Prediction Scoring System (EPSS) スコア、そして CVSS を組み込んだ 3 層の意思決定ツリーです。
この 3 層フィルターは次のように機能します。第 1 層では CISA KEV カタログをチェックしてアクティブな悪用を確認し、数時間以内の即時パッチ適用を求めます。第 2 層では FIRST.org の EPSS スコアを使用し、0.088 以上のしきい値に該当する場合、24 時間以内に Tier 0 パイプラインへエスカレーションします。第 3 層では、通常のポリシーに基づいた修正のために CVSS の基準値 7.0 以上を適用します。このアプローチにより、効率は 18 倍に向上し、悪用された脆弱性の 85.6% をカバーし、緊急修正のワークロードを約 95% 削減できます。重要な点として、これら 3 つのデータソースはすべてオープンで無料であり、統合も完全に自動化可能です。
3層の脆弱性優先順位付けフィルター
レイヤー1: CISA KEVカタログ(悪用が確認された脆弱性) → 数時間以内の緊急パッチ適用
レイヤー2: EPSSスコア 0.088以上 → 24時間以内にTier 0パイプラインへエスカレーション
レイヤー3: CVSSスコア 7.0以上 → ポリシーに基づいた通常の修復対応
検証結果: 18倍の効率向上、悪用された脆弱性の85.6%をカバー、緊急修復ワークロードを約95%削減
エージェント認証のギャップ
エクスプロイトを迅速に作成できるようになると、パッチの優先順位付けだけでなく、特権クレデンシャルを持つすべてのアージェント駆動型システムにおける制御設定の方法も根本から変わります。CVE-2026-34040 は、Docker の認可プラグインアーキテクチャにおいて、リクエストボディが 1MB を超えるとすべてのプラグインがサイレントにバイパスされることを実証しました。OPA、Casbin、Prisma Cloud といった一般的な認可プラグインは、リクエストがプラグインに到達する前の Docker のミドルウェアで発生するこのバイパスを認識できません。
Cyera がこの脆弱性を実証した際、デバッグ中の AI エージェントが、悪用の指示がないにもかかわらず正当なタスクを完了する過程で、このバイパス経路を推論できることが示されました。これは深刻なリスクを浮き彫りにしています。認可ポリシーが AI エージェントの挙動を想定して評価されておらず、それが今や測定可能な脅威となっているのです。
Internet Engineering Task Force (IETF) はエージェント向けの認可モデルに取り組んでいますが、これらの標準の実装には数ヶ月から数年かかる見通しです。また、IETF の Agent Identity Protocol ドラフトによると、調査された約 2,000 の Model Context Protocol (MCP) サーバーのいずれにも認証機能が実装されていませんでした。現時点では、セキュリティチームは、リクエストサイズの超過、バースト頻度、特権リクエストの段階的なエスカレーションなど、あらゆる認可境界に対してエージェントレベルのテストシナリオを能動的に組み込む必要があります。
クレデンシャルの爆発半径
Flowise、Langflow、n8n などの AI ビルダーツールが侵害された場合、その爆発半径はホストをはるかに超えて広がります。これらのツールには、フロンティアモデルへの API キー、データベースのクレデンシャル、ベクトルストアトークン、ビジネスシステムへの OAuth トークンが含まれています。侵害された AI ビルダーホストは、単一システムの侵害にとどまりません。それは、接続されたすべてのサービスへの認証済みアクセスを許可するクレデンシャルの収穫を意味します。
CSA/Zenity が 4 月 16 日に公開した調査によると、組織の 53% が AI エージェントが意図した権限を超過するケースを確認しており、47% がエージェントに関連するセキュリティインシデントを経験しています。各 AI ツールホストのクレデンシャル依存関係マップがなければ、エージェント侵害に対するインシデント対応は推測に基づくものになってしまいます。組織は各事案に対し、クレデンシャル、そのアクセスの範囲、および関連するローテーションプロセスを文書化しなければなりません。また、ダウンストリームサービスが許可する場合は、静的な API キーから短命なトークンへの移行を開始すべきです。
Project Glasswing が EU に拡大
これらの懸念の緊急性は、Anthropic の「Project Glasswing」の拡大により一層高まっています。これは、AI を使用して重要なソフトウェアの脆弱性を発見・修正するための共同業界イニシアチブです。同社は、電力、水道、医療、通信、ハードウェア業界をカバーする 15 カ国・150 以上の新しい組織にプログラムを拡大しています。
数週間にわたる議論の末、Anthropic は欧州連合(EU)のサイバーセキュリティ機関である ENISA に Claude Mythos へのアクセス権を付与することに合意しました。これにより、ENISA は Project Glasswing に参加する最初の EU 機関となり、大西洋横断的な AI 関係において目に見える火種となっていた対立が終結しました。欧州圏の財務大臣、欧州中央銀行、および複数の EU 加盟国は、Mythos が欧州の銀行や政府、重要インフラが日常的に依存しているシステムに脆弱性を発見したことを受け、アクセス権を要求していました。
拡大されたグループには、オーストラリア、カナダ、フランス、ドイツ、イタリア、スイス、オランダ、スペイン、ベルギー、スウェーデン、インド、日本、ニュージーランド、韓国が含まれます。注目すべきパートナーには、Okta、Samsung、SK Hynix、SK Telecom、NATO、そして ENISA が名を連ねています。
今四半期の 5 つの行動
セキュリティ専門家は、今後四半期に向けて 5 つの具体的な行動を推奨しています。第 1 に、CVSS のみに依存した優先順位付けを廃止し、KEV-EPSS-CVSS の 3 層フィルターを導入すること。資産インベントリに対して 3 つすべての API からのデータ収集を自動化してください。第 2 に、Tier 0 サービスに対してイベント駆動型のパッチ適用を実装すること。CISA KEV と EPSS フィードをトリガーとして、重大な CVE が宣言されてから 4 時間以内にカナリア環境へパッチを展開することを目指します。
第 3 に、エージェント規模での認可境界をテストすること。AI エージェントが通信するすべての API に対して、1MB、5MB、10MB を超えるリクエストサイズ、毎秒 100 リクエストを超えるバーストレート、異常なパラメータの組み合わせなど、テストケースを作成してください。第 4 に、すべての AI ビルダーホストに対してクレデンシャルの爆発半径をマッピングすること。各クレデンシャルとそのアクセスの範囲を文書化してください。第 5 に、シャドー AI 発見スキャンを直ちに実施すること。SIEM やネットワーク監視ツールをチェックし、Langflow (7860)、Flowise (3000)、n8n (5678) といった AI ビルダーのデフォルトポートへの通信がないかを確認してください。
結論は明白です。AI エージェントの台頭に伴い、標準化団体はエージェントの認証・認可に関する草案を作成して対応しています。しかし、これらの標準化の動きは標準化団体のペースで進む一方、エクスプロイト(悪用)のウィンドウは今や時間単位で計測されています。今四半期に 3 層フィルターとイベント駆動型のパッチ適用を実装した組織は、曝露を確実に低減できるでしょう。それ以外の組織は、20 時間未満で動く攻撃者に対して、暦に基づいた旧来のパッチ適用サイクルを続けることになります。