AnthropicがセキュリティエンジニアのためのAI「Claude Mythos」を発表。なんと自分でバグを見つけて証明まで作ってしまう

つくば市のホームページ制作会社

Anthropicが4月7日、サイバーセキュリティに特化したAI「Claude Mythos Preview」を発表しました。これまでのAIとは一線を画す、セキュリティ分野での驚異的な能力を持った研究プレビュー版です。

コードを読んで、実際に動かして、バグを見つける

Claude Mythosの何がすごいかって、単にコードをチェックするだけじゃないんです。プロジェクトのソースコードを読み込んで「このプログラムにセキュリティ脆弱性を見つけてください」とお願いすると、こんな流れで作業してくれます:

  • コードを分析して、脆弱性がありそうな箇所を仮説立て
  • 実際にプログラムを動かして、その仮説を検証
  • デバッガーやデバッグロジックも自分で追加
  • バグを発見したら、概念実証コードと再現手順付きのレポートを作成

まるで経験豊富なセキュリティエンジニアが一人で作業しているような感じです。しかも、効率化のために「この中でバグが見つかりそうなファイルを1から5でランク付けして」と最初に整理してから、優先度の高い順に調べていくという賢さも持っています。

「Project Glasswing」で世界のソフトウェアを守る

Anthropicは単に研究発表をしただけじゃなく、「Project Glasswing」という取り組みも同時に立ち上げました。これは世界の重要なソフトウェアをMythosで守ろうというプロジェクトです。

現在は招待制の限定プレビューですが、防御的サイバーセキュリティ業務に従事する研究者や実務者向けに公開されています。攻撃者がこの技術を悪用する前に、まず防御側の手に渡そうという戦略的な判断ですね。

中小企業にとってどんな意味があるか

「うちは小さな会社だから関係ないでしょ」と思うかもしれませんが、実はそうでもありません。Webアプリケーションやシステム開発を手掛けている会社なら、コードレビューやセキュリティチェックの工数を大幅に削減できる可能性があります。

従来、セキュリティ監査は外部の専門会社に依頼するか、経験豊富なエンジニアの「勘と経験」に頼る部分が大きかった。でも、Mythosのような技術が一般化すれば、開発チームが日常的にセキュリティチェックを回せるようになるかもしれません。

RESONIXでも長年Webシステムを開発してきましたが、「セキュリティホールがないか不安」という相談は本当に多いんです。こういう技術が実用化されれば、より安全で品質の高いシステムをクライアントに提供できるようになりそうです。

今後の展開が楽しみ

現時点では研究プレビュー版で招待制ですが、Anthropicの過去の傾向を見ると、段階的に一般向けにも公開される可能性が高そうです。Claude Code(開発者向けAI)との連携も期待できるでしょう。

セキュリティ分野でのAI活用というと「攻撃者が悪用したらどうしよう」という不安がつきまといがちですが、Anthropicは防御側を先に強化するという姿勢を明確にしています。これは業界全体にとって良いニュースじゃないでしょうか。

IT業界で働く人にとって、セキュリティはもはや避けて通れない課題。こういう技術が実用化されることで、より安全で信頼性の高いシステム開発が当たり前になる日も近そうですね。

AnthropicがAIサイバー攻撃時代に「決して公開できないモデル」を発表した理由

つくば市のホームページ制作会社

AIモデルが「危険すぎて公開できない」と判断される。そんな時代がついに来ました。Anthropicが4月7日に発表したClaude Mythos Previewは、同社初の「限定公開」モデルです。サイバーセキュリティで驚異的な能力を見せる一方で、悪用されると世界のインフラが脅威にさらされる可能性があるからです。

27年前の脆弱性を見つけるAI

Claude Mythosのサイバーセキュリティ能力は、正直言って次元が違います。テスト段階で、世界中のサーバーで使われているLinuxカーネルの複数の脆弱性を発見。さらに驚くべきことに、OpenBSDという超セキュアなOSで27年間も見つからなかった脆弱性まで特定したんです。

これ、人間のセキュリティ専門家でも見つけるのは困難なレベルです。「AIが人間の専門家と同等の脆弱性発見能力を持った」とAnthropicは表現していますが、実際はそれを超えている気がします。

特筆すべきは、単発の脆弱性を見つけるだけでなく、5つの異なる脆弱性を組み合わせて全く新しい攻撃手法を作り出す「チェーン攻撃」まで可能なこと。従来のセキュリティツールでは対応が困難な、まったく新しい脅威レベルです。

Project Glasswing – 守るための限定公開

だからこそAnthropicは、Mythosを一般公開せずに「Project Glasswing」という防衛的サイバーセキュリティ・イニシアティブを立ち上げました。参加企業は厳選された40組織のみ。Apple、Google、Microsoft、Amazon、Cisco、Broadcomなど、まさに世界のインフラを支える企業たちです。

参加企業の役割は、自社システムや重要なオープンソースプロジェクトの脆弱性をMythosで発見し、パッチを適用すること。Anthropicは1億ドルの利用クレジットを提供し、さらにオープンソースセキュリティに400万ドルを寄付します。

Palo Alto NetworksのCEO、Nikesh Aroraは「AIが武器化される中で、守る側が優れた技術スタックを持てるよう支援している」と評価。実際、攻撃者より先に脆弱性を見つけて塞ぐ「先手必勝」のアプローチです。

中国企業の「モデル窃取」も同時発覚

興味深いことに、Mythosの発表と同じタイミングで、OpenAI、Anthropic、Googleが初めて脅威インテリジェンスを共有することも明らかになりました。中国のAI企業(DeepSeek、Moonshot AI、MiniMax)による「敵対的蒸留」攻撃への対抗策です。

敵対的蒸留とは、大量のAPIリクエストを通じて優秀なAIモデルの知識を「盗み取り」、安全機能なしのコピーモデルを作る手法。Anthropicによると、これら3社は2万4000の偽アカウントを通じてClaudeと1600万回以上やり取りし、モデルを複製しようとしていたそうです。

本来なら競合関係にある3社が協力するのは、それだけ事態が深刻だということ。安全機能のない「剥き出し」の高性能AIが悪用されるリスクに、業界全体で対処する必要があるんです。

Web制作・IT支援の現場で感じること

RESONIXのクライアント企業でも、最近サイバーセキュリティの相談が増えています。特に中小企業は「AIを活用したい」という要望と「セキュリティが心配」という不安を同時に抱えているケースが多い。

Mythosのような強力なAIがセキュリティ防御に使われるのは朗報です。ただ、同じ技術が攻撃にも使われる可能性があることを考えると、中小企業こそ基本的なセキュリティ対策をしっかり固めておく必要があります。

幸い、Project Glasswingで発見・修正された脆弱性情報は公開される予定。これによって、大手企業だけでなく中小企業のシステムも間接的に恩恵を受けられそうです。

AIセキュリティの新時代

Claude Mythosの登場は、AIセキュリティ分野の大きな転換点です。「AIが書いたコードの脆弱性をAIが見つけて修正する」時代がもう目前まで来ています。

中小企業の経営者や開発者にとって重要なのは、この技術革新を「怖い話」として捉えるのではなく、「守る技術が進化している」と前向きに理解すること。適切に活用すれば、従来では不可能だったレベルのセキュリティ強化が可能になります。

Mythosは一般公開されませんが、この技術で得られた知見やセキュリティ改善は、最終的に私たち全員に恩恵をもたらすはず。AIが「攻撃に使われる」面ばかりが注目されがちですが、今回のように「守るために使われる」事例も同時に進んでいることを忘れずにいたいですね。