Claude Mythosが示した「AI時代のセキュリティ」―利点と脅威、Project Glasswingとは
2026年、Anthropicが発表した新しいAIモデル「Claude Mythos Preview」は、ソフトウェアの脆弱性を見つけ、条件によっては悪用の手順まで導き得る能力で注目を集めました。AIは防御を強くする一方で、攻撃の自動化も加速させます。本記事では、Claudeの基本的な位置づけから、Mythosが示したセキュリティ上の利点と脅威、そして防御側の共同対策「Project Glasswing」について、解説します。
Claudeとは何か
2026年4月、Anthropicは新しいAIモデル「Claude Mythos Preview」を公表し、同モデルが一般的な文章生成にとどまらず、コンピュータセキュリティの領域で際立った能力を示したと説明しました。Anthropicの技術ブログによれば、Mythos Previewは主要なオペレーティングシステムやWebブラウザにおいて、ゼロデイ脆弱性の特定と悪用まで行い得る能力を示しており、同社はこれを「セキュリティにおける転換点」と位置づけています。
今回の内容に入る前に、今一度、Claudeとは何かについて、簡単に触れておきます。
Claudeは、Anthropicが開発する対話型AIアシスタントです。文章作成、要約、分析、コード支援など幅広い用途に使われており、企業利用を含む実務向けAIとして位置づけられています。AnthropicはClaudeを、安全性や信頼性を重視したAIとして設計していると説明しており、同社の製品群の中核を担う存在です。
Claudeは、生成AI市場における主要プレイヤーの一つという点にあります。特に、長文の処理、業務文書の作成、分析支援、コーディング支援といった領域で存在感を持ち、企業の知的作業を支える実務ツールとして比較されることが多いモデルです。Anthropicは、Claudeを単なるチャットボットではなく、仕事の生産性を高めるための汎用AIとして訴求しています。
何が起きたのか
Anthropicは、Claude Mythos Previewが実ソフトウェアを対象に、未修正の脆弱性を見つけ、条件次第では攻撃手順の作成に至る可能性があると報告しました。ブログでは、ゼロデイ脆弱性だけでなく、既知だが十分に修正されていないN-day脆弱性の悪用にも触れており、同社はこの能力を一般公開せず、限定的な防御用途に絞る方針を示しています。
この点が注目されるのは、AIが「文章をうまく書く」段階を超え、脆弱性探索や攻撃準備の速度そのものを変えうるからです。Anthropicは、すでに多数の高深刻度脆弱性を発見しているとし、今後はこうした能力が広く普及する前提で防御側の体制を整える必要があると訴えています。
Assessing Claude Mythos Preview’s cybersecurity capabilities
Earlier today we announced Claude Mythos Preview, a new general-purpose language model that is strikingly capable at computer security tasks. This post provides technical details for researchers and practitioners who want to understand exactly how we have been testing this model, and what we have found over the past month. We hope this will show why we view this as a watershed moment for security, and why we have chosen to begin a coordinated effort to reinforce the world’s cyber defenses."
セキュリティ上の「利点」:防御側が先に強くなる可能性
最大の利点は、脆弱性の発見と修正の速度を大きく引き上げられる可能性にあります。従来は熟練した研究者が時間をかけてコードを読み、再現し、修正方針を詰める必要がありました。これに対して、AIが大量のコードや依存関係を短時間で横断的に確認できれば、攻撃を受ける前に欠陥を潰す「予防型」のセキュリティへ移行しやすくなります。
Anthropicが2026年2月に示した「LLM-discovered 0-days」の流れも、この方向性を補強しています。AIモデルが高深刻度の脆弱性を大規模に見つけられるなら、防御側は監査範囲を広げ、修正の優先順位付けをより速く行えるようになります。
セキュリティ上の「脅威」:攻撃の“工業化”が進むリスク
一方で、同じ能力は攻撃側にとっても強力です。Anthropicの評価では、Mythos Previewは主要OSや主要ブラウザでゼロデイ脆弱性を見つけ、悪用することが可能だとされます。これは、攻撃の立ち上がりが短くなり、守る側の猶予が縮むことを意味します。
特に問題なのは、組織のパッチ適用、審査、展開といった運用が従来の速度のままだと、AIによる探索・悪用のスピードに追いつきにくい点です。つまり、AIは攻撃と防御の双方を加速させますが、その差を埋める運用能力がなければ、リスクだけが先に拡大します。
Project Glasswingとは:防御側に“先行配備”する共同防衛
このギャップを埋めるために立ち上げられたのが「Project Glasswing」です。Anthropicは、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどの組織と連携し、Mythos Previewを防御目的で先行利用する枠組みを構築しています。
さらに、40以上の重要インフラや重要OSSに関わる組織にもアクセスを広げ、最大1億ドル相当の利用クレジットと、OSSセキュリティ組織への400万ドルの寄付も表明しています。狙いは明確で、「強力な道具が広く悪用される前に、守る側が先に使って欠陥を減らす」ことです。
私たちが今日からできること
この話は研究者だけの問題ではありません。AIによって脆弱性発見が速くなるほど、狙われるのは高度な欠陥だけではなく、日常の運用ミスや認証、情報管理の穴にも広がります。Anthropic自身も、AI時代の防御では組織横断の協調が必要だと強調しています。
実務上は、次の基本がより重要になります。
- 多要素認証(MFA)を徹底し、認証通知の違和感は放置しない
- 添付・リンクは「急かす」「いつもと違う送信元」「不自然な文面」をまず疑う
- 社内データを生成AIに貼り付けない(機密/個人情報/認証情報/設計資料など)
- PC更新や再起動の依頼を先延ばしにしない(“直す速度”が重要になる時代)
こうした基本動作は地味ですが、AI時代ほど効果が大きい対策です。防御の前提が変わる今こそ、個人の注意と組織の運用を同時に強化することが重要です。AI時代は「特別な人だけが守る」ではなく、全員の基本動作が組織の耐久力(レジリエンス)を決める方向に進みます。
おわりに
Claude MythosとProject Glasswingは、攻撃者が強くなる未来を示すと同時に、防御側が先に強くなる道も示しました。重要なのは技術の勝負だけではなく、私たちの組織が「見つかった脆弱性を、どれだけ早く減らせるか」という運用力です。
“基本の徹底”は地味ですが、AI時代ほど効果が大きい対策です。今日から一緒に、事故を起こしにくい習慣を積み上げていきましょう。
