AnthropicのClaude Mythosが「すべての主要OS・ブラウザ」で数千のゼロデイ脆弱性を発見、危険すぎて一般公開せず

AIによるサイバーセキュリティの風景が、一夜にして変わろうとしている。

「最も強力なAIサイバーモデル」の誕生

Anthropicは本日、同社が開発した新たなフロンティアモデル「Claude Mythos Preview」を正式に発表した。このモデルは、セキュリティの専門家でさえ数週間を要する脆弱性発見とエクスプロイト開発を、数時間で完了させる能力を持つ。

Mythosはすでに数千のゼロデイ脆弱性を発見している。対象は広範だ。すべての主要オペレーティングシステム、すべての主要Webブラウザ、そして世界のインフラを支える無数のソフトウェアが含まれる。

問題は、この能力が諸刃の剣であること。Anthropicは「このモデルを一般公開する予定はない」と明言した。代わりに発表されたのが「Project Glasswing」だ。

Project Glasswing：テック業界の「緊急連合」

Glasswingとは、透明な羽で天敵から身を隠すガラスの蝶のこと。ソフトウェアの脆弱性も同様に、複雑なシステムの中に「見えているのに見つからない」形で潜んでいる。

Project Glasswingには、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksの12社がローンチパートナーとして参加する。さらに40以上の組織が、重要なソフトウェアインフラの保守・開発者としてMythos Previewへのアクセス権を得る。

Anthropicはこのプロジェクトに対し、最大1億ドル（約160億円）の利用クレジットを提供する。加えて、Linux FoundationのAlpha-OmegaとOpenSSFに250万ドル、Apache Software Foundationに150万ドル、合計400万ドルの寄付を行う。

CrowdStrikeのCTO Elia Zaitsevは声明で述べた。「脆弱性が発見されてから悪用されるまでの時間は、数ヶ月から数分に縮まった。これは減速する理由ではない。一緒に、より速く動く理由だ」

27年前のOpenBSD、16年前のFFmpeg

Anthropicの技術ブログは、Mythosが発見した脆弱性の具体例を公開した。いずれも、すでにパッチが適用されたものだ。

最も衝撃的なのはOpenBSDの27年前のバグだ。OpenBSDは「世界で最もセキュリティに強いOS」として知られる。ファイアウォールやルーターに広く使われている。このOSに存在したTCP SACK実装の脆弱性は、攻撃者がリモートから接続するだけでシステムをクラッシュさせることを可能にしていた。

1998年に追加されたコードに、符号付き整数オーバーフローとNULLポインタ参照が組み合わさった脆弱性が潜んでいた。

もうひとつはFFmpegの脆弱性だ。世界中の動画処理システムで使われるこのライブラリで、16年間にわたり見逃されてきたH.264コーデックのバグを発見した。自動テストツールが500万回以上このコードパスを通過しても、一度も検出されなかった欠陥だ。

FreeBSDでは、NFSサーバーの17年前の脆弱性から、認証なしでルート権限を奪取できるリモートコード実行のエクスプロイトを完全に自律的に作成した。人間の介入は、最初のプロンプト入力のみ。一晩放置しておくと、翌朝には完全に動作するエクスプロイトが完成していた。

「一夜でルート権限」の世界

Mythosの能力は、単なる脆弱性発見にとどまらない。

Linuxカーネルでは、複数の脆弱性をチェインして特権昇格を達成する能力を示した。KASLRバイパス、ヒープスプレー、Use-After-Free、レースコンディション。これらを組み合わせて、一般ユーザーからroot権限への昇格を実現する。

Webブラウザに対しては、JITヒープスプレーを用いてレンダラーサンドボックスとOSサンドボックスの両方をエスケープするエクスプロイトを作成した。4つの脆弱性をチェインした複雑な攻撃だ。

Anthropicのセキュリティ専門家でさえ、「我々が数週間かかると見積もったエクスプロイトを、Mythosは数時間で書き上げた」と報告している。

ベンチマークが示す「桁違い」の性能

CyberGymベンチマークでは、Mythos Previewが83.1%を記録。これまでトップだったClaude Opus 4.6の66.6%を大きく上回る。

コーディング能力でも差は歴然としている。SWE-bench Verifiedでは93.9%（Opus 4.6は80.8%）。SWE-bench Proでは77.8%（Opus 4.6は53.4%）。

エクスプロイト開発能力の差はさらに劇的だ。Opus 4.6がFirefox 147のJavaScriptエンジン脆弱性からエクスプロイトを作成できたのは数百回の試行で2回のみ。Mythosは同じ脆弱性から181回のエクスプロイト作成に成功し、29回で制御レジスタの奪取まで達成した。

「危険すぎる」からこその限定公開

Anthropicは、Mythosがサイバーセキュリティにおける「転換点」だと認識している。

「AIモデルは、最も熟練した人間を除くすべての人を上回るレベルで、ソフトウェアの脆弱性を発見し悪用できる段階に達した」

CEO Dario Amodeiは発表動画で語った。「Mythosを特別にサイバーに強くなるよう訓練したわけではない。コードを書くのが上手くなるよう訓練した結果、副産物としてサイバーにも強くなった」

問題は、この能力が攻撃者にも防御者にも等しく有用であること。Anthropicは米国政府当局者と継続的な議論を行っているという。現時点では、このモデルは限られたパートナーと、重要インフラを保守する組織にのみ提供される。価格は、100万入力トークンあたり25ドル、100万出力トークンあたり125ドル。

皮肉な文脈：相次ぐセキュリティインシデント

Mythosの発表は、Anthropic自身が複数のセキュリティ問題に見舞われた直後に行われた。

3月末、Mythosの存在が外部に漏れた。下書きのブログ投稿が、公開アクセス可能なデータストアに放置されていたためだ。当時は「Capybara」というコードネームで呼ばれていた。

その数日後、Claude Codeのソースコード約51万2000行がnpmパッケージの設定ミスにより公開された。Anthropicは「人為的ミスによるパッケージング問題」と説明した。

「世界最強のサイバーAIを構築していると主張する企業が、自社のセキュリティで相次ぎ失態を演じている」というVentureBeatの指摘は、業界内で広く共有されている。

セキュリティ業界への警告

Mythosの発表を受け、セキュリティ業界は揺れている。3月のリーク報道後、CrowdStrike、Palo Alto Networks、Zscaler、SentinelOne、Okta、Tenableの株価は4〜9%下落した。

懸念は明確だ。AIが脆弱性発見を「民主化」すれば、従来のセキュリティ製品の価値が損なわれる可能性がある。同時に、攻撃者も同様のツールを手にする日は近い。Anthropicは「AIの進歩の速度を考えると、このような能力が安全にデプロイすることにコミットしていないアクターに拡散するまで、そう長くはかからない」と警告する。

防御側が優位を保つための時間は限られている。Anthropicの呼びかけは切迫している。「防御者が先んじるためには、今すぐ行動する必要がある」

参照元

• Anthropic公式 - Project Glasswing発表

他参照

• Anthropic Frontier Red Team - Claude Mythos Preview技術評価

関連記事

• AWS中東リージョン「完全ダウン」──Amazon社内文書で判明
• Anthropic、Google・Broadcomと数GW級TPU契約 売上は3倍超
• OpenAIのCEOとCFOがIPO時期で対立、経営の亀裂が表面化
• インド映画がAI全面導入、製作費5分の1の衝撃と代償
• Apple、異例の「バックポート」でiOS 18にDarkSword対策パッチを配信
• イラン革命防衛隊、米テック18社に「施設破壊」を予告
• Metaで「トークン消費量」が新たなステータスに——社内リーダーボード「Claudeonomics」の狂騒
• AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
• Amazon・Microsoft・Googleに投資家が迫る、AIデータセンターの「水」開示
• OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有