🛡️ Claude Mythosが見つけた『27年物のバグ』｜AIサイバーセキュリティの新時代が始まった

目次

• 「27年間誰も気づかなかったバグ」をAIが見つけた — わたしたちのセキュリティ常識が変わる
• そう考える4つの理由
  • ゼロデイ脆弱性の発見数が「人間の限界」を超えた
  • Project Glasswingの「防御限定」は本当に守られるのか
  • 40社超の連合体が意味する「セキュリティの民主化」
  • 一般公開しない判断が示す「AIの危険性」の現実
• まとめ：AIセキュリティは「攻防一体」の新フェーズに入った

---

「27年間誰も気づかなかったバグ」をAIが見つけた — わたしたちのセキュリティ常識が変わる

これ、マジでゾッとする話なんだけど。OpenBSDに27年間潜んでたバグをAIが見つけたって聞いて、最初は「本当に？」って思ったよね。だって27年間、世界中のセキュリティ研究者がコードレビューしてきたのに、誰も見つけられなかったバグを、Claude Mythosが発見したってことだよ。

わたしたちの使ってるスマホやPC、ウェブブラウザにも同じように「まだ誰も気づいてないバグ」が潜んでる可能性があるってこと。しかもAnthropicによると、主要OS・主要ブラウザ全部からゼロデイ脆弱性が見つかったらしい。全部だよ？

ここで考えなきゃいけないのは、「AIがバグを見つける」技術は同時に「AIがバグを悪用する」技術でもあるってこと。だからAnthropicはMythosを一般公開せず、「Project Glasswing」として防御目的のみに限定してるんだけど、この判断がどこまで機能するかは未知数なんだよね 🛡️

---

そう考える4つの理由

ゼロデイ脆弱性の発見数が「人間の限界」を超えた

世間では「AIがハッカーの仕事を奪う」みたいな話になりがちなんだけど、わたしはもっと根本的な変化が起きてると思ってる。

The Hacker Newsの報道によると、Claude Mythosは「数千件」のゼロデイ脆弱性を発見してる。数千件だよ。従来のセキュリティ研究者が一生かけて見つける脆弱性の数をはるかに超える量を、1つのAIモデルが短期間で見つけたってこと。

これがどれくらいすごいかを具体的に言うと、Googleの「Project Zero」チームは2024年に97件のゼロデイ脆弱性を追跡報告してた。世界トップクラスのセキュリティチームが1年かけて97件。Claude Mythosは数千件。桁が2つ違うんだよね。

しかも「27年物のバグ」みたいに、人間が何度もレビューして見落としてきた脆弱性も見つけてる。これはAIがコードの「パターン」を人間とは全く違うアングルから分析できるからだと思う。人間は経験則でコードを読むけど、AIは数百万行のコードの中の微妙な論理的矛盾を検出できる。

わたしが思うに、これからのセキュリティは「人間のセキュリティ研究者」と「AIセキュリティモデル」のハイブリッドが当たり前になる。AIが大量の候補を出して、人間がその深刻度や影響範囲を判断する。そういう分業体制が数年以内にスタンダードになるんじゃないかな。

セキュリティに関わる仕事をしてる人は、AIセキュリティツールの使い方を今のうちに学んでおいた方がいいと思う。「AIに仕事を奪われる」んじゃなくて「AIを使えるセキュリティ人材」の需要が爆発的に増えるはずだから 🔐

Project Glasswingの「防御限定」は本当に守られるのか

SNSでは「Anthropicが最強のハッキングAIを作った」「これ悪用されたら終わりじゃん」みたいな反応がけっこうあったんだけど、わたしはAnthropicの判断はかなり慎重で賢いと思ってる。ただし、完璧ではない。

Project Glasswingの参加企業を見ると、AWS・Apple・Google・Microsoft・NVIDIA・CrowdStrike・JPMorgan Chase・Cisco・Broadcom・Palo Alto Networksなど40社超。これ、テック業界のオールスターチームみたいなものだよね。しかも参加条件として「防御目的のみ」が明確に定められてる。

CrowdStrikeの公式ブログによると、Mythosへのアクセスはサンドボックス環境で行われ、発見された脆弱性はAnthropicと共有され、修正パッチが当たるまで情報は非公開になる仕組みらしい。これは「Responsible Disclosure（責任ある脆弱性報告）」のAI版みたいなもの。

ただしわたしが心配してるのは、40社もの企業に限定公開すると、その中からリークや内部不正が起きるリスクがゼロじゃないってこと。特に脆弱性の詳細情報は闇市場で数百万ドルの価値があるから、インセンティブは十分にある。

Anthropicの公式ページ（red.anthropic.com）では「Mythosは一般公開の予定なし」と明記されてて、新しいセーフガードが整うまで限定運用を続けるとしてる。これは正直、英断だと思う。性能が高すぎるモデルを「売らない」って判断ができるのは、AnthropicのAI安全性へのコミットメントが本物だからだよね。

わたしたちとしては、この技術が防御側に使われてる間に、自分のデバイスやソフトウェアのセキュリティアップデートをしっかり適用しておくこと。Mythosが見つけた脆弱性のパッチが今後どんどん出てくるはずだから、アップデートの通知を無視しないでね 🔄

40社超の連合体が意味する「セキュリティの民主化」

ここがわたし的にはいちばん面白いポイントなんだけど、Project GlasswingはApple・Google・Microsoft・Amazonが「同じテーブル」についてるってこと。

普段はバチバチに競合してるこの4社が、セキュリティの分野では協力してるってのは、それだけサイバーセキュリティの脅威が深刻になってるってことの表れだよね。SecurityWeekの報道によると、2025年のサイバー犯罪による被害額はグローバルで$10.5T（約1,500兆円）に達したと推計されてる。

今まで最先端のセキュリティ技術って、大企業や政府機関しか使えないものだった。でもProject Glasswingで発見された脆弱性が修正パッチとして配布されれば、わたしたちみたいな一般ユーザーも間接的にその恩恵を受けられる。

Fortuneの報道では、参加企業はMythosで得た知見を「wider industry（業界全体）」と共有する仕組みになってるらしい。つまり、Glasswingに参加してない中小企業やスタートアップにもセキュリティの恩恵が波及するように設計されてるんだよね。

これはわたし、けっこう画期的だと思う。従来のセキュリティ業界って「情報を囲い込む」インセンティブが強かったけど、AIの登場で「みんなで守る」方向にシフトしてる。攻撃者もAIを使うようになるから、防御側もAIで連携しないと追いつかないっていう現実があるんだろうね。

ただし、この連合体がうまく機能し続けるかは、各社の利害調整次第。JPMorgan Chaseみたいな金融機関と、Appleみたいなデバイスメーカーでは、セキュリティの優先事項が全然違うから、方向性の食い違いが出てくる可能性はあると思う ⚡

一般公開しない判断が示す「AIの危険性」の現実

ここが一番考えさせられるところなんだけど、Anthropicは自社の最強モデルを「売らない」って決めたんだよね。

ビジネス的に考えたら、Claude Mythosを一般公開すれば莫大な収益が見込める。コーディング・複雑推論でも最高性能なんだから、開発者やエンタープライズからの需要は確実にある。それでも公開しないってことは、Anthropicが「このモデルは一般に出すにはリスクが高すぎる」と判断したってこと。

Simon Willison（プログラマーで著名なテックブロガー）も自身のブログで「Mythosの公開を制限するAnthropicの判断は必要なことだと思う」ってコメントしてて、テックコミュニティでも概ね賛同の声が多い。

わたしが思うのは、これがAI業界の「責任ある開発」の新しいベンチマークになるかもしれないってこと。今まで各AIラボは「最高性能のモデルを出した者が勝ち」みたいなレースをしてきたけど、Mythosの例は「出さない方がいい場合もある」ってことを示してる。

The Motley Foolの記事によると、Mythosの発表後Anthropicの評価額はさらに上昇してて、「責任あるAI開発」が投資家からも評価されてるみたい。これは良い流れだよね。「安全性にコミットしてる企業の方が長期的に信頼される」ってことが市場で証明され始めてる。

わたしたちが考えておくべきことは、「最強のAIを誰でも使える」ことが必ずしも良いことではないってこと。Mythosクラスのモデルが悪意ある使われ方をしたら、インフラへの攻撃、金融システムへの侵入、国家レベルのサイバー攻撃が飛躍的に容易になってしまう。

AIの民主化は大事だけど、全てのAIを民主化する必要はない。核技術が厳格に管理されてるように、AIにも「このレベルは管理下に置くべき」というラインがあるんだと思う。Mythosは、その議論の出発点として非常に重要な事例だよ 🤔

---

まとめ：AIセキュリティは「攻防一体」の新フェーズに入った

Claude Mythos Preview & Project Glasswingは、AIセキュリティの歴史において分水嶺的な出来事だと思う。

27年間見つからなかったバグを発見する能力。40社超のテック企業が防御目的で連合する仕組み。そして最強モデルを「売らない」という判断。これらすべてが、AIのサイバーセキュリティ応用が本格化したことを示してる。

わたしたちにできることとしては、まずデバイスとソフトウェアのアップデートを怠らないこと。Mythosが発見した脆弱性の修正パッチが今後続々と出てくるはずだから。次に、AIセキュリティについてのリテラシーを持つこと。「AIがハッキングする時代」は来てるし、防御もAIになる。自分のセキュリティ意識をアップデートしておくことが大切だよ。

そして何より、Anthropicのような「出さない勇気」を持つ企業を評価すること。AI競争が加速する中で、安全性を優先できる企業が長期的に信頼されるべきだし、わたしたちユーザーもその判断を支持していくべきだと思う 🛡️

関連記事:

• AIエージェント完全ガイド
• Anthropic Claudeの感情ベクトルとアライメント
• ChatGPTの月額5ドルプラン｜価格競争が激化
• OpenAI Frontier Enterprise｜成果報酬型プライシングの衝撃
• GPT-4o引退が意味するAIモデルのライフサイクル
• テック企業レイオフ5.2万人｜Q1 2026のAIキャリア戦略
• AI画像生成ツール比較 2026年版
• ChatGPT CarPlay対応｜ハンズフリー運転AIの時代

ソース:

• Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative
• Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems
• Anthropic's Claude Mythos Preview Just Sent Shockwaves Through the Cybersecurity Industry
• Anthropic is giving some firms early access to Claude Mythos to bolster cybersecurity defenses

よくある質問

Q.この記事はどんな内容ですか？

A.Anthropicが公開したClaude Mythos Previewは数千件のゼロデイ脆弱性を発見。Project Glasswingの全貌とAIセキュリティの未来を解説。

Q.情報はいつ時点のものですか？

A.2026-04-09 時点でまとめた情報です（2026-04 の動向）。AI関連の動きは速く、最新状況は変動する可能性があるため、公式発表や一次ソースもあわせて確認してください。

Q.読者としてどう受け止めればよいですか？

A.本記事は「世間の見方」「筆者の見解」「データ・事実」「これから考えておきたいアクション」の流れで整理しています。AIツールの使い方や仕事のあり方に関わる動きとして、自分の状況に置き換えて読んでみてください。