「公開できないAI」という出発点

2026年4月7日、Anthropicが発表したClaude Mythos Previewは、普通のモデルリリースとは性質が違う。一般公開しないことを前提に作られたモデルだ。

なぜ公開できないか。端的に言えば、「脆弱性を発見する能力は、そのまま脆弱性を悪用する能力でもある」からだ。Anthropicは、この能力がセキュリティを意図的に訓練した結果ではなく、コーディング・推論・自律性の一般的な改善の「副産物」として自然発生したと説明している。意図せず生まれてしまった、というのが正直なところらしい。

その能力と引き換えに生まれたのが、防御目的限定の業界コンソーシアム「Project Glasswing」だ。

数字で見る、能力の桁違いさ

Anthropicのレッドチームブログが公開した比較が分かりやすい。Firefoxの JavaScriptエンジンへの有効エクスプロイト数を同一テストセットで測定したところ、Claude Opus 4.6が2件だったのに対し、Claude Mythos Previewは181件。単純な改善ではなく、カテゴリが変わっている。

同じテストでOSS-Fuzzの評価においてはTier 1〜2レベルのクラッシュを595件達成し、完全にパッチ適用済みの10標的で「完全なコントロールフローハイジャック」にも成功している。

発見した脆弱性も具体的だ。

  • FreeBSD RCE(CVE-2026-4747):17年前から潜んでいたリモートコード実行脆弱性。NFSのKerberos認証周りのスタックバッファオーバーフローで、rootを取得できる。発見から悪用まで人間の介入なしで自律実行。
  • OpenBSDの27年前のバグ:最もセキュアなOSのひとつとされるOpenBSDで、27年間誰も気づかなかったバグを発見。
  • FFmpegの16年前のバグ:既存の自動化ツールが同一コードを500万回スキャンして発見できなかった脆弱性を検出。

「500万回スキャンしても見つからなかったバグ」というのは、既存の静的解析ツールへの信頼がどこかで過信になっていたことを示している。

もう一つ見逃せない点がある。Anthropicによれば、脆弱性発見に使ったプロンプトは「このプログラムのセキュリティ脆弱性を見つけてほしい」という1段落のシンプルな指示だったという。正式なセキュリティトレーニングを受けていないAnthropicのエンジニアが夜に依頼して、翌朝には完全に動作するエクスプロイトが出力されていた、という話だ。専門知識の壁が消えつつある。

Project Glasswingの構造を整理する

Project Glasswingは、この能力を攻撃ではなく防御に使うための業界連合だ。Linux Foundationがブログで紹介しており、目的は「AIの時代に向けて重要なソフトウェアを安全にする」こととされている。

参加企業の顔ぶれはかなり本気度が高い。AWS、Apple、Google、Microsoft、NVIDIAなどのテック大手に加え、Cisco、CrowdStrike、Palo Alto Networksといったセキュリティ企業、JPMorganChaseのような金融機関、そしてLinux Foundationと40以上の追加組織。

Anthropicの資金拠出は以下の通り。

  • $100M相当のMythos Preview利用クレジット(参加組織向け)
  • $2.5M:Alpha-OmegaおよびOpenSSFへの寄付
  • $1.5M:Apache Software Foundationへの寄付

APIの料金は研究プレビュー終了後、入力$25/出力$125(100万トークンあたり)が予定されている。参考として、Claude Opus 4.7は入力$5/出力$25なので、約5〜6倍の価格帯だ。防御目的の限定ユーザー向けという設計が価格にも現れている。

また、Anthropicは発表から90日以内(2026年7月初旬)に、発見された脆弱性の修正状況をまとめた公開レポートを出すとしている。このコミットメントは追いかける価値がある。

AIおじさんが引っかかるポイント:「速度の非対称性」という本質問題

ここが今回の話で一番重要だと思っている。

Futurumの分析が指摘しているように、Mythos級のモデルが普及した世界では「脆弱性の発見速度」と「修正の速度」の間に決定的な非対称が生まれる。発見はAIが指数関数的に加速させる。一方、修正は依然として人間が行い、レビュー・テスト・デプロイのプロセスを踏む必要がある。

実際、Anthropicのレッドチームによると、Mythos Previewが発見した脆弱性のうち完全にパッチ適用済みとなったのは「1%未満」だ。これはモデルの失敗ではない。ソフトウェアサプライチェーンの構造的な限界がそこにある。

Project Glasswingが防御側に使えると言っても、The Registerの報道によれば「実際に触れるのは世界の脆弱なインフラのごく一部」に過ぎないという専門家の声もある。「ほとんどすべての重要ソフトウェアのパッチ適用または書き直しが必要になる可能性があり、それは想像を絶するほど膨大な作業だ」という指摘は、Glasswingを過大評価しないための現実的な見方だ。

攻撃側がこの技術にアクセスしたとき、防御側が追いつけるか。それが問いの核心だ。

実務的に何をすべきか

セキュリティエンジニアやOSS開発者にとって、今時点でできることを整理しておく。

OSSメンテナーなら:

  • Project Glasswingへの参加申請を確認する(anthropic.com/glasswing)。オープンソースメンテナーは無償利用の枠がある。
  • OSS-Fuzzだけを信頼しない。「500万回スキャンして発見できなかった」という事例はその根拠になる。
  • OpenSSF・Alpha-Omegaの支援プログラムを改めて確認しておく。

セキュリティエンジニアなら:

  • Cyber Verification Programの存在を把握しておく。正規のセキュリティ研究者・CTFチーム・脆弱性研究機関向けに制限版アクセスが提供される。
  • 脅威モデルの前提を見直す時期かもしれない。「精鋭研究者が数週間かけて作るエクスプロイトが数時間で出る」という前提で、何を優先してパッチするかを再考する価値がある。

一般の開発者なら:

  • 今すぐ何かアクションは不要だが、2026年7月の公開レポートは追っておきたい。どの範囲の脆弱性が修正されたか、どの範囲が未対応のままかが見えてくる。

まとめ

Claude Mythosの話は「すごいAIが出た」という話に留まらない。発見速度と修正速度の非対称性という構造問題を、現実の問題として可視化した出来事だ。

Anthropicがこれを非公開にし、防御側に優先提供する枠組みを作ったことは評価できる判断だと思う。ただ、1%未満しかパッチが当たっていないという現実を見ると、Glasswingはスタートラインに過ぎない。

7月の公開レポートが、この話の「本当の答え合わせ」になる。