中国のサイバーセキュリティ企業が、Anthropicが最近発表したClaude Mythosモデルに適用される規模に近づくAI駆動型の脆弱性発見機能を主張している。
これらの主張は、中国に焦点を当てたETH Zurichのサイバーセキュリティ研究者であるEugenio Benincasaによって分析されており、Natto Thoughtsブログに公開された投稿で分析されています。
Anthropicは、新しいMythosフロンティアモデルが自律的に数千の脆弱性を発見したと主張しています。潜在的な悪用を防ぐため、Mythosは公開されておらず、Project Glasswingを通じて数十の大規模組織のみが利用できます。
しかし、Anthropicの最高経営責任者自身が、オープンソースモデルと中国の開発者が6~12ヶ月以内にMythosレベルのパフォーマンスを複製できることを示唆しており、クラウドセキュリティ企業Wizの研究者によっても共有されている見方です。
Benincasaによると、中国最大のサイバーセキュリティ企業の1つである360 Security Technology(Qihoo 360)の360 Digital Security Groupが、Anthropicによる Claude Mythosの発表を取り巻く数週間に行った主張は、同社のAIが同様の脆弱性発見能力を持つ可能性があることを示唆しています。
360 Digital Security Groupの主張は、内部開発された「マルチエージェント協調脆弱性発見システム」を中心としており、これは今年復活した中国の主要なハッキング競技であるTianfu Cupでの1位完走に重要な役割を果たしたと思われます。
同社によると、このシステムはコンテストで特定した脆弱性の約半分に寄与しており、Windows、Microsoft Office、Android、OpenClaw、IoTデバイス、およびその他の製品全体で50以上の高深刻度の欠陥を含む合計1,000近くの脆弱性を発見しました。
最も注目すべき個別の主張はCVE-2026-32190に関するもので、360がそのAIエージェントが数分以内に特定したという重大なOffice脆弱性であり、それは約8年間検出されていなかったとされています。別のWindowsカーネル脆弱性(CVE-2026-24293)も主張されていますが、Microsoftはその発見を台湾と韓国の研究者に帰しており、360の主張に疑いをもたらしています。
Benincasaは、360のAI機能は重要に見えるかもしれませんが、Claude Mythosのために説明された推論機能とはまだ一致していないと注意しています。専門家が示唆する、より近い比較はGoogleのBig Sleepであり、完全に自律的なエージェントとして動作するのではなく、脆弱性研究の離散段階を加速させます。
しかし、専門家は、他の側面は最終的には技術的な比較よりも重要であると信じています。中国の法律では、私企業と研究者が公開前に脆弱性を政府機関に報告する必要があり、エリート的なセキュリティ研究を国家情報パイプラインに効果的に導きます。
Benincasaは、これは中国を米国、ヨーロッパ、および他の民主主義国と比較して有利に置いていると述べました。
Mythosの機能に関しては、Anthropicの主張を除いて、Mozillaは、AIが270以上のFirefoxの脆弱性を見つけるのに役立ったと述べており、Palo Alto Networksは脆弱性発見における大幅な向上を報告しました。
しかし、他の人は、指摘したように、Anthropicに帰属する数十のパブリックCVEのみであり、Glasswingに特別に帰属する1つのみです。
