AnthropicのProject Glasswingは、未公開のフロンティアAIモデルが1万件を超える高深刻度または重大なゼロデイ脆弱性を発見できることを実証し、サイバーセキュリティの世界を根本から変えました。
2026年4月初旬にリリースされたClaude Mythosは、高度な脅威アクターが自律型AIモデルを武器化する前に、重要なソフトウェアインフラを保護することを目的としています。
約50社のテクノロジーパートナーとの共同取り組みの一環として、このプロジェクトはAIの驚異的な防御ポテンシャルを示すとともに、加速する脆弱性発見がもたらす体系的なリスクを浮き彫りにしています。
Claude Mythosプレビューは、従来のモデルや人間の能力を大幅に上回る攻撃的なサイバーセキュリティ能力を発揮しています。
Cloudflareを含むプロジェクトパートナーは、数千件のバグを発見し、人間のテスターを上回る低い誤検知率を報告しました。
英国のAIセキュリティ研究所(AISI)は、Mythosプレビューが厳格な企業ネットワーク攻撃シミュレーションを完全に解いた初のモデルであり、32ステップ中平均22ステップを完了し、30%の試行でエンドツーエンドの完全侵害を達成したと報告しました。
さらに、学術ベンチマークのExploitGymでは、Mythosが実世界の脆弱性898件中157件を悪用することに成功し、GPT-5.5などの競合モデルを大幅に凌駕しました。
Mozillaはこのモデルを効果的に活用し、Firefox 150で271件のゼロデイ脆弱性を発見・修正しました。これは以前のAIイテレーションで発見された件数の10倍以上です。
1,000件を超える重要なオープンソースプロジェクトをスキャンした結果、Mythosプレビューは23,019件の脆弱性候補を特定しました。
これらの候補のうち、外部セキュリティ企業がトリアージして確認した有効な発見は1,726件で、90.8%という高い真陽性率を達成しました。Anthropicはこれらの脆弱性のうち1,596件をソフトウェアメンテナーに直接開示しました。
このフェーズで注目すべき発見は、広く使われているwolfSSL暗号ライブラリに存在する深刻な欠陥CVE-2026-5194でした。
CVSSスコア9.3を持つこの脆弱性は、攻撃者が暗号ダイジェストチェックを回避してデジタル証明書を偽造することを可能にし、完全ななりすまし攻撃を可能にするものでした。
大量の開示にもかかわらず、これまでにアップストリームでパッチが適用されたバグは97件にとどまり、88件のパブリックアドバイザリが発行されています。
発見件数の膨大さが深刻なボトルネックを生み出しており、ソフトウェアのトリアージ・報告・パッチ適用を行う人間の処理能力が、AI主導の脆弱性検出によって急速に圧倒されています。
一部のオープンソースメンテナーは、深刻なキャパシティ制約を理由に開示のペースを落とすよう要請しており、既知の欠陥がパッチ未適用のまま残る危険な移行期間が生じています。
未パッチのゼロデイはフロンティアモデルの真の能力を示す遅行指標であることから、業界はセキュリティパッチをスケールで管理・展開する方法を根本的に見直す必要があります。
これらの防御上のギャップに対処するため、Anthropicによると、組織は直ちに積極的な対策を講じる必要があります。
Anthropicは最近、エンタープライズ顧客向けにClaude Securityのパブリックベータを開始し、組織が自社のコードベースをスキャンして自律的にパッチを迅速生成できるようにしました。
さらに、Cyber Verification Programにより、審査済みのセキュリティ専門家が正規のペネトレーションテストやレッドチーミング活動においてAnthropicのモデルを標準のサイバーセーフガードなしで利用できるようになりました。
ネットワーク防御者は、パッチサイクルの短縮、多要素認証の徹底、そしてAIツールを活用したコード修正の自動化によって、悪意ある攻撃者が同様の自律的な脆弱性悪用能力を入手する前に、この加速する脅威の状況に緊急に適応しなければなりません。
翻訳元: https://cyberpress.org/claude-mythos-preview-0-day/