ssecutils
Security / Browser-native guide

Claude Mythosとは - AIによる自律的な脆弱性発見が変える攻防と備え

9Zero tracking reading surface

Claude Mythos とは

Claude Mythos Preview は、Anthropic が 2026年4月7日に公表したフロンティアAIモデルです。最大の特徴は、サイバーセキュリティ、とりわけ脆弱性の発見と悪用(エクスプロイト生成)に「際立って高い能力」を示した点にあります。

本記事は特定の CVE への緊急対応ではなく、「AI が自律的に脆弱性を見つける時代に、攻防とエンジニアの備えがどう変わるか」を整理する解説です。数値・発見事例はいずれもAnthropic の公表値および報道(IEEE Spectrum 等)に基づく事実に絞り、未確認の扇情的な主張は扱いません。

Anthropic が公表した能力と発見

Anthropic および報道によると、Mythos Preview は次のような結果を示したとされています(いずれもAnthropic 公表ベース)。

  • 主要な OS・Web ブラウザに対し、ゼロデイ脆弱性を発見し、動作するエクスプロイトを自律生成した。
  • Firefox の JavaScript エンジンに対するベンチマークで、数百回の試行のうち181回で動作するエクスプロイトを生成(前世代 Opus 4.6 は2回)。
  • 複数の脆弱性を連鎖(チェイン)させてLinuxカーネルのrootやJITヒープスプレー等の高度なエクスプロイトを構成した。
  • 明示的な専用訓練なしに、多数の高〜重大深刻度の脆弱性を発見したと報告。

具体的に開示された発見例には次のものがあります。

  • CVE-2026-4747: 17年間存在していた FreeBSD の NFS の脆弱性。未認証で root を取得し得る RCE。
  • 27年ものの OpenBSD の TCP SACK 実装の脆弱性(修正済み)。
  • 16年ものの FFmpeg の H.264 コーデックの脆弱性(FFmpeg のコーデックの複数の問題が 8.1 で修正)。

Anthropic は「発見した脆弱性の99%超がまだ未修正」であることを理由に、詳細の公開を限定しているとしています。

Project Glasswing と提供方針

Anthropic は同時に、Mythos の発見能力を「世界で最も重要なソフトウェアの防御」に向ける取り組みとして Project Glasswing を打ち出しました。モデルは一般提供(generally available)されておらず、当初は限られた重要産業のパートナーやオープンソース開発者へ限定的に配布されるとしています。

あわせて、危険な出力を検知・ブロックする安全策(セーフガード)の開発や、正当なアクセスを必要とするセキュリティ専門家向けのCyber Verification Program の整備も表明されています。「能力をまず防御側に届ける」という配慮がうかがえます。

本質は「二段刃(デュアルユース)」

この種の能力で最も重要な論点は、脆弱性を「見つける力」と「悪用する力」は表裏一体だという点です。防御に使えるツールは、原理的に攻撃にも使えます。だからこそ、防御側は次の前提で動く必要があります。

  • 「発見から悪用までの時間」がさらに短くなる: AI 支援で攻撃側のエクスプロイト開発が加速すれば、パッチ公開後の猶予はますます縮む。パッチ適用の速度が決定的になる。
  • 「古いコードほど危険」: 27年・17年・16年と、長く生き残ってきたバグが次々に表面化した事実は、レガシーコード・古い依存・メモリ非安全な実装が大きな負債であることを示す。
  • 網羅性の非対称: 機械スケールで「干し草の山の針」を探されると、守る側は一点突破を許さない多層防御と、資産・依存の可視化が不可欠になる。

過信は禁物: 専門家が指摘する注意点

IEEE Spectrum の報道では、専門家は能力を評価しつつ、AI に任せきりにすることへの明確な警鐘も鳴らしています。

  • 誤検知(false positive): AI は誤検知も生み、OSS メンテナにトリアージ(選別)負担を強いる。報告の質を担保する人手が要る。
  • AI 自身が攻撃対象: モデルはプロンプトインジェクションなどで操作され得る。AI を組み込んだパイプラインは新たな攻撃面になる( Langflow の事例 も参照)。
  • 人間の判断は代替できない: 「セキュア設計レビューやペネトレーションテストの代わりにはならない」「検証の層と人間の専門性を組み込んでこそ有効」というのが共通認識。

エンジニア・防御側の備え

  1. パッチ速度を上げる: 依存の自動更新(Dependabot 等)、KEV/EPSS を軸にした優先度付け、緊急パッチの自動適用を整える。「悪用されているか」を最優先シグナルに。
  2. 資産と依存の可視化(SBOM): 「今どのコンポーネントのどのバージョンが動いているか」を即答できる状態にする。発見が機械スケール化するほど、棚卸しの速さが効く。
  3. 古い負債を計画的に減らす: メモリ安全な言語・最新の保守された依存へ移行し、長期放置のレガシーを優先的に手当てする。
  4. AI を「補助」として正しく使う: AI 支援の SAST/ファジングは強力だが、人間による検証・トリアージを必ず挟む。出力を鵜呑みにしない。
  5. AI 基盤自体を守る: 社内で動かす AI ツール/エージェントは、認証・ネットワーク分離・プロンプトインジェクション対策を施し、不用意に公開しない。

まとめ

Claude Mythos は、AI による自律的な脆弱性発見が現実の段階に入ったことを示す象徴的な事例です。ポイントは過度な楽観でも悲観でもなく、「発見の自動化は攻防双方を加速させる二段刃」だと理解し、防御側がパッチ速度・可視化・レガシー削減・人間によるレビューという基本を一段引き上げることにあります。

新しいツールが登場しても、効く守りは Web とソフトウェアの基礎の延長線上にあります。全体像は OWASP Top 10 入門、AI 基盤特有のリスクは Langflow(CVE-2025-34291)の解説、サプライチェーンの観点は Shai-Hulud 詳解 も合わせてご覧ください。

※ 本記事の数値・発見事例は Anthropic の公表内容および報道に基づきます。提供状況や対象は変わり得るため、最新情報は公式発表をご確認ください。

Related reading

関連記事

Security11
MCPのセキュリティ - Tool Poisoning・Rug Pull・サプライチェーンの実例と対策AIエージェントの標準プロトコルMCPの攻撃面を体系整理。ツール説明文に指示を仕込むTool Poisoning、承認後に定義を差し替えるRug Pull(CVE-2025-54136)、偽MCPサーバのサプライチェーン、過剰権限トークン、MCP Inspector RCEなど2025〜26年の実例と、最小権限・人間による承認・サーバ検証の防御を日本語で解説します。
Security11
ClickFix攻撃とは - 偽CAPTCHAで「自分で感染させる」手口とFileFix亜種・対策偽CAPTCHA・偽エラーでWin+RやPowerShellにコマンドを貼り付け実行させ、Lumma/StealCなどを自分で感染させるClickFix攻撃を解説。Run無効化を回避するFileFix亜種、700サイト改ざん(CVE-2026-26980)などの実例、利用者教育・GPO・ASR・ログ監視による多層防御を日本語で整理します。
Security11
AIブラウザの危険性 - Comet/Atlasを乗っ取る間接プロンプトインジェクションPerplexity CometやChatGPT AtlasなどのAIブラウザを狙う間接プロンプトインジェクションを解説。Webページに隠した指示でAIを操り、ログイン中のGmailや1Passwordを横断悪用してOTPを盗むBraveのPoC、Zenityのゼロクリック乗っ取り、Same-Origin Policyが無力化される理由、入力分離・操作ゲート・モード分離による対策を日本語で整理します。
Security11
インフォスティーラーとセッションCookie窃取 - MFAを回避するpass-the-cookie情報窃取マルウェアがMFAを突破ではなく迂回する仕組みを解説。Lumma/StealCが数十秒で全ブラウザのCookieと保存パスワードを盗み、攻撃者がpass-the-cookieで本人になりすます流れ、3.9億件規模の被害、ClickFix等の感染経路、ChromeのDBSC・FIDO2・短命セッション・条件付きアクセス・異常検知による多層防御を日本語で整理します。
Learn の記事一覧へ戻る