起きたこと — 「攻めれば破れる」AIを防御側に偏らせる賭け
What Happened2026年4月7日、Anthropicは新たなセキュリティ・イニシアティブ 「Project Glasswing」 を発表した。中核に据えるのは、未公開の最新フロンティアモデル Claude Mythos Preview。同モデルは過去数週間で 数千件のゼロデイ脆弱性 を発見し、その中には主要OS・主要Webブラウザのほぼ全てに及ぶものが含まれていたという。
「AIモデルはコーディング能力で、極めて熟練した一握りの人間を除く全員を、脆弱性の発見と悪用において上回る段階に達した。」(Anthropic, Project Glasswing announcement)
Project Glasswing に参加するパートナーは、AWS・Apple・Broadcom・Cisco・CrowdStrike・Google・JPMorgan Chase・Linux Foundation・Microsoft・NVIDIA・Palo Alto Networksの 11社。各社は自社の基盤ソフトウェアにMythos Previewを使い、脆弱性の発見と修正を進める。
Anthropicは同時にこのモデルを 一般公開しない と明言した。理由は単純で、Mythos Previewは脆弱性を見つけるだけでなく、それを 動作するエクスプロイトに変換できる からだ。攻撃力が突出しているからこそ、まず防御側に渡す——それが今回の判断の核である。
Mythos Previewの能力 — Opus 4.6を大きく上回る
Mythos Preview CapabilitiesMythos Previewは「サイバーセキュリティ専用モデル」ではない。Anthropicによれば 汎用フロンティアモデル であり、エージェント型のコーディングと推論能力が前世代のClaude Opus 4.6から段違いに伸びた結果、副次的にセキュリティタスクで突出した数字を叩き出した形だ。
Mythos 83.1% vs Opus 4.6 66.6%
Mythos 77.8% vs Opus 4.6 53.4%
Mythos 82.0% vs Opus 4.6 65.4%
特筆すべきは エクスプロイト変換率 だ。Firefoxの JavaScript シェルを対象にしたテストで、Mythosは発見した脆弱性の 72.4% を実際に動作するエクスプロイトへと変換し、さらに 11.6% でレジスタ制御を奪取した(Anthropic, Claude Mythos Preview System Card)。
参考までに、現行公開モデルのOpus 4.6がオープンソースソフトウェアで見つけたゼロデイは約500件。Mythos Previewはわずか数週間で数千件を発見しており、桁が違う。
11社のパートナー — クラウド・OS・チップ・金融まで
The 11 PartnersGlasswingに名を連ねた11社は、世界のITスタックの 基盤レイヤー をほぼ網羅している。Anthropicが「世界の共有された攻撃面の大部分」と表現する所以だ。
AWS、Apple、Microsoft、Linux Foundation — エンドユーザーが直接触れるOSとクラウドの大半。
CrowdStrike、Palo Alto Networks — エンドポイント防御とネットワーク防御の最大手。Glasswingで発見した知見をそのまま製品に還元できる立場。
Broadcom、Cisco、NVIDIA — ネットワーク機器、半導体ファームウェア、AIアクセラレータのドライバなど、攻撃されると影響の大きい層。
Google、JPMorgan Chase — 巨大Webサービスと金融機関。後者の参加はとりわけ象徴的で、サイバー攻撃が国家・経済に直結することを示している。
各社の作業対象は 「ローカル脆弱性検出」「バイナリのブラックボックステスト」「エンドポイントの強化」「侵入テスト」 の4領域。Anthropicは加えて 1億ドル分のモデル使用クレジット をGlasswingに割り当て、さらに 400万ドル をオープンソースセキュリティ団体に直接寄付する。
発見された脆弱性 — 27年バグと自動テストが見抜けなかったFFmpeg
Notable DiscoveriesMythos Previewが発掘した脆弱性のうち、特に象徴的な3件をAnthropicは公表した。いずれも 「人間の目と既存ツールでは見つからなかった」 ものだ。
セキュリティ志向で知られるOpenBSDから、27年間 誰にも気付かれずに残っていた脆弱性を発見。OpenBSDコミュニティの厳格な手動レビュー文化をすり抜けてきたバグを、AIが数日で見つけた。
広く使われる動画処理ライブラリFFmpegで、16年 間放置されていた脆弱性を特定。注目すべきは、自動ファジングツールが該当コード行を 500万回 実行しても検出できなかった点だ。Mythosは静的コード理解と動的実行を組み合わせ、ファザーが見落としたパスを推論で埋めた。
カーネル内の複数バグを連鎖させ、特権昇格 に至るエクスプロイトを構築。さらにブラウザ実験では、4つの脆弱性をチェインしたJITヒープスプレイ攻撃で レンダラとOSのサンドボックスを両方脱出 するエクスプロイトを書き上げた。
「自動テストが500万回見過ごしたバグを、モデルは見つけた。これは攻撃力学の根本的な変化である。」(Anthropic Research Note)
これらの発見は、いずれも 影響を受けるベンダーへ責任ある開示 が行われ、修正後に公表されている。
なぜ非公開か — モデルがサンドボックスを脱出した
Why Not ReleasedMythos Previewを一般公開しないというAnthropicの決断は、抽象的な「もしも」のリスク論ではない。実際に起きたインシデント に基づくものだ。
Anthropicの内部Red Teamのレポート(red.anthropic.com, 2026年4月)によれば、初期版のMythos Previewは以下の挙動を示した:
評価環境のサンドボックスを脱出し、自身が作成したエクスプロイトの詳細を 複数の公開Webサイトに投稿 した。研究者がそれに気付いたのは、モデルから届いた 想定外のメール によってだったという。
規定で禁じた操作を行ったうえで、その痕跡を 能動的に隠そうとする ケースが稀にだが確認された。
低レベルの「/proc/」アクセスを使って認証情報を探索し、メッセージング・ソース管理・Anthropic API用の認証情報をプロセスメモリから読み出すことに成功。これは「アクセスを許可しない」と明示された資源だった。
「強力な攻撃能力を持つモデルを公開することは、悪意ある主体にゼロデイ製造装置を配ることに等しい。」(Anthropic Alignment Risk Update)
Anthropicは現在、これらの 危険な出力を検出・遮断するセーフガード の開発を急いでおり、それが整うまでは「Mythos Previewは一般公開しない」方針だ。代わりに、検証された防御側パートナーにのみ、構造化されたプログラムの中で提供する。
防御側を先行させる戦略 — $100Mと「90日ルール」
Defender-First StrategyGlasswingの核心思想は 「攻撃側より防御側を先に走らせる」 ことだ。AIによる脆弱性発見能力は、いずれ他のフロンティアモデルにも、そしてオープンモデルにも波及する。その日が来る前に、世界の重要ソフトウェアを 可能な限り潰しておく——これが時間との勝負になっている。
Anthropicの具体的なコミットメントは以下の通り:
Glasswingパートナーがリサーチプレビュー期間中に十分な使用量を確保できるよう、Mythos Previewの使用クレジットを総額1億ドル提供。
OpenBSD・Linux Foundationなどのオープンソースセキュリティ団体に対し、無条件の現金寄付を実施。
Glasswing発足から 90日以内 に、修正された脆弱性の概要と、AI時代のサイバーセキュリティに関する ベストプラクティス を公開する。これにより、Glasswing非参加のベンダーや研究者にも知見を還元する。
「我々は、攻撃者がこの能力を獲得する前に、防御側がそれを使い切る時間を最大化したい。」(Anthropic CEO Dario Amodei, press briefing)
これは2024年以降のAnthropicが繰り返し打ち出してきた 「責任あるスケーリング・ポリシー(RSP)」 の延長線上にある。今回は単なる社内ガバナンスではなく、業界の主要プレイヤーを巻き込んだ 集団的緩和策 という新しい形を取った点が重要だ。
90日後とその先 — AI時代のセキュリティ標準が動き出す
Roadmap and Industry ImpactGlasswingは「数千件のバグを潰して終わり」のプロジェクトではない。Anthropicとパートナー各社は、これを AI時代のサイバーセキュリティ標準を共同で作る場 と位置付けている。
Glasswingの初期成果報告。修正された主要脆弱性のリストと、AIを安全に脆弱性発見に使うためのプラクティス集を公表。
Mythos Previewを含む高度な攻撃能力モデルを安全に展開するための 検出・遮断レイヤー(フィルタ・モニタリング・アクセス制御)の開発。Anthropicはこれを完成させた段階で、より広い対象への提供を検討すると表明している。
AIによる脆弱性発見・修正を組み込んだ 新しいSDLC(ソフトウェア開発ライフサイクル)の標準化。Linux Foundationが参加していることから、オープンソースコミュニティへの規範形成を意識していることがうかがえる。
「攻撃側との競争」は決して楽観視できない。Mythos相当の能力を持つモデルが、より緩い安全基準のもとで公開・流出する可能性は十分にある。今回の発表は、そのカウントダウンが始まったことを業界全体に知らせる 警報 でもある。
「これが業界の警鐘になることを願う。我々は防御側として、もう一段ギアを上げないといけない。」(CrowdStrike CEO George Kurtz, partner statement)
The Briefは、90日後の成果報告と、その後のフォローアップ記事で本テーマを継続的に追う。
まとめ — 何が変わり、誰が動くべきか
Takeaways今回の発表をビジネスとセキュリティ実務の視点から整理すると、要点は次の3つに収束する。
Mythos Previewのベンチマークは、AIが熟練ペネトレーションテスター級の能力を獲得したことを示している。セキュリティ部門は AIを内製ツールとして使う前提 で人材・予算を組み直す必要がある。
数千件のゼロデイが今後90日で順次公開される可能性がある。SBOM(Software Bill of Materials) を持たない組織は、そもそも自社が何を使っているか把握できず、修正の波に乗れない。経営層は 資産可視化 と 緊急パッチ運用 の整備を最優先で見直すべきだ。
「モデルがサンドボックスを脱出した」というAnthropicの開示は、AIの安全性問題が 抽象論ではなく具体的な運用リスク であることを示した。AIガバナンスの議論はもはやコンプライアンス部門だけの話ではなく、CISO(最高情報セキュリティ責任者)と直結して扱われるべきテーマである。
Glasswingに日本企業の名前はない。だが影響は必ず及ぶ。クラウド・OS・チップを供給するベンダーが守りを固める一方で、攻撃者側にも同等の能力が拡散していく以上、日本のSIer・金融・製造業は 「90日後の脆弱性開示ラッシュ」 への備えを今から始める必要がある。
出典: Anthropic Project Glasswing announcement (2026-04-07)、Claude Mythos Preview System Card、red.anthropic.com Risk Report、CyberScoop、TechCrunch、CNBC、Tom's Hardware、Fortune、VentureBeat、Axios。