米Anthropic(アンソロピック)のAI(人工知能)モデル「Claude Mythos Preview(クロード・ミュトス・プレビュー)」が大きな注目を集めている。ソフトウエアの脆弱性(セキュリティー上の弱点)を見つける能力が、既存のAIよりも高いとされているためだ。企業はサイバーセキュリティー体制を再構築する転換点に立っている。
Mythosの登場は必然だったといえる。さらに、その性能は特定モデルのブレークスルーというよりも、AIモデル全般の進化に向けたトレンドと捉えられる。
本記事では、Mythos登場に至るまでの出来事と今後を解説する。
「6カ月以内に大惨事が発生」
とりわけ、Mythosのインパクトが大きかったため、「脆弱性を見つけるAIはMythosが初めて」という認識が一部にあるようだ。しかし、AIを使って脆弱性を見つけるという取り組みは数年前から存在する。
その能力が「危険視」されるようになったのは、2025年以降だ。例えば2025年6月、「XBOW」と呼ばれるAIエージェントが、脆弱性発見サービス「HackerOne」で米国ランキングトップになった。HackerOneは、企業システムなどの脆弱性を見つけると、報奨金を受け取ることができる。見つけた脆弱性の数などで、報告者にランクが付く。多数のセキュリティー専門家を押しのけて、AIが初めてトップを獲得したとされる。
2025年8月には、米Google(グーグル)が開発したAIエージェント「Big Sleep」が、OSS(オープンソースソフトウエア)の脆弱性を20件発見した。脆弱性が見つかったOSSには、有名な動画処理ソフト「FFmpeg」や、画像加工ソフト「ImageMagick」などが含まれる。
一連の出来事を受けて、グーグルでセキュリティー責任者を務めるHeather Adkins氏と、セキュリティー企業の米Knostic(キノスティック)でCEO(最高経営責任者)を務めるGadi Evron氏は「AI脆弱性の大惨事が迫っている(The AI Vulnerability Cataclysm is Coming)」という文書を2025年8月に公開した。
両氏は文書の中で「AIは6カ月以内に、サイバー防御を破るほどの速さで攻撃を実行できるようになる可能性がある」と警告した。
「予言」は的中する。アンソロピックは2025年11月、中国が支援していると見られる攻撃者グループが同社のAIエージェント「Claude Code」を悪用したと発表した。世界中の政府機関や金融・IT企業など30組織ほどを対象に、偵察から情報窃取までを自律的に実行したとする。
2026年1月には、セキュリティー企業の米AISLE(アイル)が独自のAIエージェントで「OpenSSL」のゼロデイ(未知の脆弱性)を12件発見したと明らかにした。OpenSSLは暗号化通信に広く利用されているソフトウエアであり、影響は大きい。
2026年2月になると、アンソロピックがAIモデル「Claude Opus 4.6」を使って、OSSの深刻な脆弱性を500件以上発見する。セキュリティー企業の米Sysdig(シスディグ)は、AIを使ってクラウド環境への侵入に成功。侵入から管理者権限の奪取まで8分しかかからなかったという。
これらは脆弱性の発見・悪用という観点で、AIが人間を凌駕(りょうが)し始めたことを示す。そして2026年4月、Mythosが登場した。多数の深刻な脆弱性を見つけており、エクスプロイト(脆弱性を悪用するプログラム)も自動的に作成するという触れ込みで世間を騒がせたが、これまでの「進化」の延長線上にあったといえるだろう。
次のページ
GPT-5.5がMythosの性能を上回るこの記事は有料会員限定です
