米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、政府のソフトウェアリポジトリを監査するためにAnthropic製AIモデル「Mythos」の利用を開始しました。
この事実はロイター通信が最初に報じたもので、Anthropicがホワイトハウスとの間でぎくしゃくした関係を抱える中でも、米連邦政府のサイバーセキュリティ運用におけるAI主導の脆弱性発見が、また一段と拡大していることを示しています。
政府ネットワーク全体でデジタルセキュリティ評価やハッキング演習を担う専門部隊、CISAのアタックサーフェス評価チームは、外国の情報機関やサイバー犯罪者が連邦システムへの侵入口として悪用しかねないバグをコードリポジトリから洗い出すため、Mythosを利用しています。
2名の情報提供者がロイターに語ったところによると、この監査によってすでに相当数の脆弱性が浮上しているとのことです。ただし、正確な対象範囲や深刻度、レビューされたコードの量については明らかにされていません。
Mythosの採用は、ここ数カ月にわたりAnthropicと連邦当局の間で大きな摩擦があったにもかかわらず実現しました。
2026年2月、米国防総省はAnthropicに対し正式にサプライチェーンリスクの認定を行いました。これは通常、スパイ活動が疑われる外国企業に対して用いられるレッテルであり、同社が自律型兵器や国内監視用途を阻止するAI安全策の撤廃を拒否したことを受けての措置でした。
3月には連邦判事がこのブラックリスト指定を差し止め、緊張はいくぶん緩和されました。さらに、サイバーセキュリティ上の脆弱性を特定・悪用する能力が突出していると評されるAIモデル、Mythosの非公開リリースを経て、両者の関係はさらに改善しました。
Axiosの報道によると、国家安全保障局(NSA)は少なくとも2026年4月からMythosを利用していたとされ、これは国防総省によるブラックリスト指定が形式上はまだ有効なままだったにもかかわらずの利用だったといいます。
その後ニューヨーク・タイムズ紙は、機密環境下でMythosをテストしたNSAのアナリストたちがその脆弱性発見能力に感銘を受けたと報じており、このツールに対する現場の需要が正式な政策決定を追い越していることをうかがわせています。
Anthropicが、サイバーセキュリティ上の安全策を追加したMythosの一般公開版「Fable」をリリースした際、ホワイトハウスは予想外にも、同モデルへの海外からのアクセスを禁じる制限措置を要求しました。
これがきっかけとなり6月にFableが世界規模で停止に追い込まれ、数週間にわたる混乱を経て、その月の最終日近くになってようやく解除され、より広範なアクセスが復活しました。
NSAによる初期の機密利用、CISAによる本格運用、そしてFableの輸出をめぐる騒動という一連の流れは、AIガバナンスに関する政策論争が決着していないさなかでも、AI主導の脆弱性発見ツールが連邦政府のサイバーセキュリティ基盤に組み込まれつつある実態を物語っています。
Mythosは従来の静的解析ツールとは一線を画す存在です。パターンマッチングのみに頼るのではなく、生成的な推論を用いることで、大規模なコードベース全体にまたがる複雑かつこれまで検出されていなかった脆弱性の連鎖を明らかにします。
最高水準のツールへのアクセスを求める各機関と、ホワイトハウスによる輸出・ブラックリスト規制との間の緊張関係は、異例のガバナンス上のグレーゾーンを生み出しています。
Anthropicが非公開で提出したIPO申請は、特に競合他社が連邦政府のAI調達動向を注視する中、この関係の行方に商業面でもさらなる利害をもたらしています。
翻訳元: https://cyberpress.org/anthropic-mythos-ai-driven-vulnerability/