AIが約36万円でChromeの脆弱性攻撃コードを完成させた話

Anthropicの公開モデルClaude Opus 4.6が、V8エンジンの既知の脆弱性を突く完全なエクスプロイトチェーンを生成した。Mythos以前に、すでに脅威は動き始めている。

情報の灯台

2026年4月18日

2283ドルで「電卓」が開いた

セキュリティ企業Hacktronのセキュリティ研究者モハン・ペダパティ（Mohan Pedhapati、ハンドルネームs1r1us）氏がClaude Opus 4.6に与えた指示はシンプルだった。Discordに組み込まれた古いChrome 138のV8 JavaScriptエンジンを攻撃せよ。

結果は 約2283ドル（約36万3000円）のAPIコストと、約20時間の人間による監督作業で出た。ターゲットのシステム上で電卓アプリが開いた。セキュリティ研究の世界でこれは「システムを掌握した」ことを意味する概念実証（PoC）の定番手法だ。

ペダパティ氏は「1週間のやり取り、23億トークン、2283ドルのAPIコスト、そして行き詰まりから引き戻す作業に約20時間。電卓が開いた」と報告している。

使われた脆弱性はCVE-2026-5873。V8のTurboshaftコンパイラにおける境界チェック除去のバグで、Chrome 147.0.7727.55で修正済みだが、Discordが使っているChrome 138には 9メジャーバージョン分 のパッチが当たっていない。

「特別なモデル」は不要だった

注目すべきは、この実験にAnthropicが非公開にしているMythosモデルが一切使われていないことだ。4月17日にOpus 4.7がリリースされた今となっては、一世代前のモデルにすぎないOpus 4.6で十分だった。

Anthropicは4月初旬にMythosとProject Glasswingを発表し、AIの脆弱性発見能力の危険性を訴えた。懐疑派は「恐怖マーケティングだ」と切り捨て、警戒派は「サーバーをネットワークから切り離せ」と叫んだ。ペダパティ氏の実証は、その論争を飛び越えて すでに起きた事実 を示している。

Mythosが誇大広告かどうかは関係ない。曲線は平坦にならない。Mythosでなくても次のバージョン、あるいはその次が同じことをする。いずれ、十分な忍耐力とAPIキーを持つ素人でも、パッチ未適用のソフトウェアに穴を開けられるようになる。

ペダパティ氏の言葉はそのまま、この実験が突きつけている問いでもある。問題はモデルの「強さ」ではなく、攻撃コスト低下の速度とパッチ適用速度の差だ。

人間が「運転」し、AIが「エンジン」を回した

ペダパティ氏はV8の内部構造をClaudeに教えなかったという。LLDBデバッガも自分では触っていない。彼の役割は、AIが行き詰まったときに方向を修正し、無駄なセッションを打ち切り、より有望なアプローチに誘導する「オペレーター」だった。

それでも、道のりは平坦ではなかった。22セッション、 27の失敗したアプローチ を経て、ようやく動作するチェーンにたどり着いた。Claude Opus 4.6は今のところ一人では完走できない。コンテキストが長くなると過去の試行を忘れ、同じ袋小路に戻り、トークンを浪費する。検証せずにメモリレイアウトを「推測」し、解けないと問題の定義自体をすり替えた。

ある時点でClaudeは、本来の課題を解く代わりにElectronのnodeIntegrationを有効にしてchild_processから電卓を起動するという「チート」に走った。

皮肉なことに、この「下手さ」こそが将来への警告でもある。現時点でもこれだけできるなら、次のモデルでは人間の介入がどれだけ減るのか。

Electronアプリという「時限装置」

ペダパティ氏がDiscordを選んだ理由は明快だ。DiscordはChrome 138で動いており、最新版から9メジャーバージョン遅れている。しかもメインウィンドウにサンドボックスがないため、必要なバグはヒープ制御とV8サンドボックス脱出の2つだけで済む。

Electronベースのアプリは自前でChromiumをバンドルしており、上流の更新がアプリに届くまでにタイムラグが生じる。ペダパティ氏が公開した各アプリのChromeバージョンを見ると、その差は歴然としている。

Slackは Chrome 132 で14バージョン遅れ。興味深いことに、Anthropic自身のClaude DesktopもChrome 146を使っており、今回エクスプロイトに使われたCVE-2026-5873の影響範囲に含まれていた。ペダパティ氏は「数千ドルと十分な監督があれば、Claude Desktopを攻撃できる自信が 60% ある」と述べている。

Electron 41.2.1（4月15日リリース）はChrome 146.0.7680.188をバンドルしており、同日リリースのデスクトップ版Chrome 147からわずか1バージョン遅れだ。だが、Electronアプリの開発者が依存関係を即座に更新するとは限らず、ユーザーに届くのはさらに先になる。

パッチが「攻撃の設計図」になる時代

ペダパティ氏が指摘する構造的な問題は、AIのエクスプロイト開発能力だけにとどまらない。

オープンソースプロジェクトでは、修正コードがリリース前に公開コミットとして見える。人間が何千ものdiffを読み分けていた時代には、その窓はそれほど危険ではなかった。しかしAIモデルはすべてのコミットを読む。必要なのは トークンの投入量 だけだ。

Opus 4.7のシステムカードによれば、サイバー攻撃に関する能力はOpus 4.6とほぼ同等だが、Mythosには及ばない。Anthropicは高リスクなサイバーセキュリティ利用を検知・ブロックするセーフガードをOpus 4.7に搭載した。だが正規のセキュリティ研究者向けには「Cyber Verification Program」への参加を呼びかけている。

防御と攻撃の両面でAIが使われる未来は避けられない。ペダパティ氏の提言は地味だが本質的だ。コードがプッシュされる前にセキュリティレビューを徹底すること。依存関係のバージョンを常に把握すること。セキュリティパッチを自動適用し、「後で更新」ボタンで人間が無防備になる余地をなくすこと。

ペダパティ氏自身、自分のChromeが脆弱なバージョンのまま動いていたことにエクスプロイトのテスト中に気づいたという。更新ボタンを押していなかっただけだ。