アンソロピックの最新AI「ミュトス」とは?――その脅威と米国で進む安全対策を独自取材
生成AIスタートアップ Anthropic(アンソロピック) が2026年4月に社内向けプレビューを始めた新モデル Claude Mythos(ミュトス) は、既存のどのAIよりも高速かつ高精度でソフトウェア脆弱性を発見できるとして、米国の政府・産業界で大きな波紋を呼んでいます。アンソロピック自身が「現段階では一般公開できないほど強力」と認めたことで、「AIがサイバー攻撃を自動化し得る時代」が現実味を帯びてきました。
1. ミュトスは何がすごいのか
- 99%が未パッチの脆弱性を検出
アンソロピックは「主要OSとWebブラウザーすべてにクリティカルなバグを見つけた」と報告。テスト版だけで数千件のゼロデイ候補を洗い出したとされます。 - 数十年眠っていたバグも掘り起こす
FreeBSDで17年間放置されていたRCE(リモートコード実行)脆弱性も自動で特定した例が公表されています。 - 金融システムへの波及懸念
世界の中央銀行・金融監督当局が加盟するFSB(金融安定理事会)は、ミュトスが発見した欠陥が「金融インフラを揺るがす恐れがある」として、アンソロピックから非公開ブリーフィングを受ける予定です。
2. なぜ「公開しない」ことが逆に警戒を呼ぶのか
2019年にOpenAIがGPT-2を部分公開にとどめた時と同じく、「危険だから出せない」 という説明は社会に不安と期待の両方を与えます。英Guardian紙は「悪用が現実化すれば世界規模のサイバーセキュリティ危機を招く」と警鐘を鳴らしました。一方、Tom’s Hardwareは「誇張されたマーケティング」と批判し、実際に深刻度を確認できた脆弱性は200件弱だと指摘しています。
3. 米国が主導するProject Glasswingとは
リスクを抑えつつ防御側が先手を打つため、アンソロピックはAWS、Apple、Google、Microsoftなど12社とともにProject Glasswingを発足。限定パートナーだけがミュトスを利用し、発見した脆弱性を協調的に開示・修正する仕組みです。
- 参加企業は自社・オープンソースのコードをミュトスでスキャンし、パッチを迅速公開
- 成果は業界全体に共有し、攻撃者より早く防御側が情報を握ることを目指す
- アンソロピックは最大1億ドル相当の計算リソースを無償提供
4. 専門家はこう見る――脅威とチャンスの二面性
米サイバーセキュリティ研究所CSRIのアナリスト、リサ・ウォン氏は取材に対し「ミュトスは“攻撃者の自動化”よりも“防御者の倍速化”を現実にする可能性が高い」と分析します。従来は数週間かかったコード監査が数分で終われば、脆弱性のライフサイクル自体が短縮され、結果として安全性が高まるという見方です。他方で、FSBが懸念するように金融システムの基盤ソフトに未修正の欠陥が大量に存在する事実が示されたことで、「パッチ適用の遅れがもはや許されない時代」に突入したとも言えます。
5. 今後のリスク軽減策――企業と開発者ができること
- 即時アップデート体制:CI/CD(継続的インテグレーション/デリバリー)を採用し、ゼロデイ報告から数時間以内にパッチを自動配信できる仕組みを用意
- AI監査ログの保存:AIが提案した修正内容と判断根拠をログ化し、誤検知や“フェイク脆弱性”を検証できる状態に
- 共同検証コミュニティへの参加:Glasswing参加企業やCERT(コンピュータ緊急対応チーム)と連携し、修正パッチの副作用や回避策を共有
- セキュリティ教育のアップデート:開発者向け研修に「AI補助下での脆弱性診断手法」を組み込み、AIとの協業スキルを底上げ
まとめ
アンソロピックのClaude Mythosは、サイバー攻撃者と防御者のパワーバランスを一変させるほどのポテンシャルを秘めています。米国が主導するProject GlasswingやFSBとの協議は、「AI時代の脆弱性管理」を確立する第一歩です。技術の恩恵を最大化しつつリスクを封じ込めるには、企業・政府・研究者・開発コミュニティが垣根を越えて連携することが不可欠――それが専門家たちの一致した結論でした。
