はじめに
米AI企業Anthropicが開発した「Claude Mythos Preview」、通称「Mythos(ミュトス)」が、サイバーセキュリティの世界で大きな注目を集めています。Mythosは、世界中の重要なソフトウェアを攻撃者に悪用される前に守るために開発されたAIで、ソフトウェアの中に潜む「脆弱性」、つまりセキュリティ上の弱点を見つける能力に優れています。
本記事ではMythosが注目される理由や企業にもたらす影響について解説します。
「人間にしかできない」は過去になる?
Mythosが見せた“発見力”
Mythosとは、Anthropicが開発した未公開の高性能AIモデルです。一般の利用者が自由に使えるAIではなく、現時点ではProject Glasswingに参加する一部の組織に限定して提供されています。Anthropicは、Mythosについて「ソフトウェアの脆弱性を見つけ、悪用可能性まで調べられる能力がある」と説明しています。
では、なぜMythosはこれほど注目されているのでしょうか。理由は、これまで人間の専門家が長い時間をかけて探していたソフトウェアの脆弱性を、短時間かつ大量に見つけ始めたからです。
従来のセキュリティツールは、既知の危険なパターンを見つけることが得意でした。しかし、Mythosはコードを読み、挙動を考え、複数の弱点を組み合わせることで、「実際に攻撃に使えるか」までたどる力を持ち始めています。
実際にAnthropicの報告では、Mythos Previewを使ったオープンソースソフトウェアの調査で、2万3,019件の脆弱性候補が見つかりました。対象にはnginx、jq、MapServer、wolfSSLなど、多くのシステムで使われる重要なソフトウェアも含まれています。
さらに象徴的なのが、Mozilla Firefoxで見つかった「20年物のバグ」です。Firefoxは世界中で利用され、長年にわたり人間の専門家や従来の自動テストによって厳しく確認されてきたソフトウェアです。
それにもかかわらず、Mythosは20年間見逃されていた深刻なメモリ関連の脆弱性を発見しました。これは、AIによる脆弱性発見が、人間の目や従来の検査手法では届かなかった領域に入り始めていることを示しています。
【参照】
「Project Glasswing: what Mythos showed us」(Cloudflare 2026/05/18)
「Project Glasswing: An initial update」(Anthropic 2026/05/22)
「AnthropicのMythosが数万件の脆弱性を発見、年季の入った「20年物バグ」も」(ビジネス+IT 2026/05/27)
本当に怖いのは「AIが攻撃すること」より
「直す前に攻撃されること」
これまで深刻な脆弱性を見つけるには、高度な知識、経験、時間が必要でした。優秀なセキュリティ研究者や攻撃者が、ソフトウェアのコードを読み、試行錯誤しながら弱点を探していました。ところが、AIがその作業を支援できるようになると、これまで見つかりにくかった弱点が、短期間で大量に見つかる可能性があります。
これは、企業にとってかなり現実的なリスクです。たとえば、自社のWebサービスに弱点があったとしても、これまでは攻撃者に見つからないまま残っていることがありました。
しかし、AIが弱点を探す力を持てば、「見つからないから大丈夫」という前提は崩れます。加えて、弱点を見つけるだけでなく、攻撃に使う方法までAIが補助できるなら、企業が修正する前に攻撃されるリスクが高まります。
英国AI Security Instituteも、Mythos Previewを評価した結果、管理された環境では、脆弱なネットワークに対する複数段階の攻撃を自律的に進め、脆弱性を発見・悪用できたと報告しています。一方で、防御が整った実環境を攻撃できるとまでは断定していません。Mythosは万能の攻撃兵器ではありませんが、弱いシステムに対しては十分に現実的な脅威になり得るということです。
もう1つの問題は、守る側の処理能力です。AIが脆弱性を大量に見つけても、それを直すのは簡単ではありません。脆弱性が本当に危険なのかを確認し、優先順位を決め、修正プログラムを作り、テストし、本番環境に適用する必要があります。
Anthropic自身も、いまやボトルネックは「脆弱性を見つけること」ではなく、「検証し、開示し、パッチを当てること」になっていると述べています。
つまり、Mythosの脅威とは「AIが突然すべてを破壊する」という話ではありません。これまでより速く弱点が見つかり、攻撃に使われるまでの時間も短くなる。その結果、企業がこれまでのスピードで対応していては間に合わなくなる、ということです。
【参照】
「Our evaluation of Claude Mythos Preview’s cyber capabilities」(AI Security Institute 2026/04/13)
それでもMythosは希望でもある
攻撃者より先に見つけるという発想
Mythosは危険な存在として語られがちですが、防御側にとっては大きな希望でもあります。なぜなら、攻撃者より先に脆弱性を見つけ、被害が出る前に修正できる可能性があるからです。Mythosの本来の価値は、ここにあります。
Project Glasswingも、防御目的の取り組みとして設計されています。Anthropicは、AIの高いサイバー能力が悪用される前に、重要なソフトウェアを守る側へ先に提供することを狙っています。参加組織には、クラウド、OS、ネットワーク、セキュリティ、オープンソースなど、現代のIT基盤を支える企業・団体が含まれています。
Mozillaの事例も、防御側にとって前向きな材料です。Firefox 150では、Mythos Previewによって特定された271件の脆弱性が修正されました。Mozillaは、これを「防御側がついに勝つチャンスを得た」と表現しています。
ただし、ここで勘違いしてはいけないのは、AIがすべてを自動で解決してくれるわけではないということです。トレンドマイクロも、脆弱性発見の高速化はリスク低減そのものではなく、検証、優先順位づけ、修正、追加対策までつながって初めて意味があると指摘しています。
【参照】
「The zero-days are numbered 」(Mozilla Blog 2026/04/14)
「Claude MythosとProject Glasswingとは何か?~サイバーセキュリティ業界への影響と意義を専門家が解説」(トレンドマイクロ 2026/05/18)
「Project Glasswing」(Anthropic)
日本企業がまず見るべきは
「AI導入」ではなく「直せる体制」
MythosのようなAIが登場すると、「日本企業も早く使うべきだ」という議論が出てきます。もちろん、防御側がAIを活用することは重要です。しかし、より大切なのは、AIが見つけた脆弱性を本当に直せる体制があるかどうかです。
一般的なOSやブラウザであれば、MicrosoftやGoogleなどのソフトウェアベンダーが修正プログラム、いわゆる「パッチ」を提供します。そのため、利用者側は速やかにアップデートすることが基本です。ただし、企業システムでは簡単にはいきません。一つのソフトウェアを更新すると、他のシステムに影響が出る可能性があるためです。
特に、金融機関の勘定系システムや製造業の制御系システムのような独自システムでは、さらに対応が難しくなります。汎用ソフトと違い、ベンダーがすぐにパッチを出してくれるとは限りません。自社や開発を担当した外部ベンダーが、修正内容を検討し、影響を確認しながら対応する必要があります。古いシステムでは、対応できる技術者が少ないという課題もあります。
つまり、日本企業に必要なのは、Mythosの導入を待つことではありません。まずは、自社の重要システムを把握し、脆弱性が見つかったときに、誰が、どの順番で、どこまで対応するのかを決めておくことです。
MozillaのFirefox担当CTOも、Mythos級のAIが普及すれば、バグ修正などの対応が一気に増えると指摘しています。また、AIは修正案を出せても、見落としや文脈理解の不足があるため、最終的には人間の確認が欠かせないと述べています。実際、FirefoxではAIが提案した修正でも、必ず複数のエンジニアが確認する仕組みを維持しています。
Mythosが登場した時代に問われるのは、AIを持っているかどうかではありません。AIが見つけた弱点を、事業を止めずに直し切れるかどうかです。そのためには、情報システム部門だけでなく、経営層も含めた判断体制づくりが欠かせません。
【参照】
「【弁護士が基礎から解説】AI「ミュトス」は日本企業にとって何が脅威なのか?私たちにできること」(Wedge ONLINE 2026/05/26)
「ミュトス利用の米モジラ、日本企業には「サイバー防御の人員増やせ」」(日本経済新聞 2026/05/26)
「見つけるAI」の時代に、
企業は“直す力”を問われる
Mythosの登場は、サイバーセキュリティの前提を変えつつあります。これまで一部の専門家しかできなかった脆弱性の発見や攻撃可能性の確認を、AIが高速・大規模に行えるようになってきました。
Mythosを過度に怖がる必要はありません。
重要なのは、AIが攻撃側にも防御側にも使える「両刃の道具」だということです。攻撃者が先に使えば脅威になりますが、防御側が先に使えば、これまで見つけられなかった弱点を早く修正できます。
今後、企業に求められるのは「見つかった脆弱性を、どれだけ早く、正しく、事業を止めずに直せるか」です。
伝えたいのは、Mythosを「すごいAI」として眺めるだけでは不十分だということです。サイバー攻撃は、IT企業だけの問題ではありません。私たちが使う銀行、病院、交通、行政サービス、ECサイト、スマートフォンアプリのすべてが、ソフトウェアの上に成り立っています。
AI時代のセキュリティは、「見つける」だけでは終わりません。見つけ、判断し、直し、守り続けるところまでがセットです。Mythosは、その時代がすでに始まっていることを知らせるサインです。
- この記事のキーワード
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
