フロンティアAIのAnthropic、サイバーセキュリティ特化モデル「Mythos」の脆弱性情報共有制限を緩和

フロンティアAIラボのAnthropicは、2026年5月20日に報じられた発表のなかで、サイバーセキュリティ用途で限定提供している実験的モデル「Mythos」を通じて発見されたソフトウェアの脆弱性やサイバー脅威に関する情報について、参加企業が責任ある開示（Responsible Disclosure）の原則に従う限り、他のエンティティと共有することを認める方針へと舵を切ったことを明らかにしました。当初の方針では、ごく限定的なテストプログラムの参加者に対して発見内容の秘密保持が求められていましたが、「重要な脅威情報が一部の大企業の中に閉じ込められたままになるリスク」を指摘する声が高まり、契約の見直しに至った形です。

Mythosは2026年4月に発表された防御的サイバーセキュリティ向けの実験的モデルで、「Project Glasswing」と呼ばれる限定イニシアチブを通じてテストが行われています。アクセスを許可されているのはAmazon、Apple、Microsoft、Nvidiaなどの大手テック企業を含むおよそ50社で、未公開モデルを用いて防御側のリサーチを進める枠組みです。初期段階では参加組織側の要望もあり機密保持が課されていましたが、Anthropicの広報担当者は「我々はパートナーがGlasswing内外の企業と発見内容を共有して脆弱性をトリアージすることを全面的に支援する」とコメントしており、参加企業は他社のセキュリティチーム、政府機関、業界団体、オープンソース・ソフトウェアのメンテナー、ジャーナリスト、そして一般公衆に対して情報を共有できるようになりました。背景には、米国議会と業界の双方からの監視強化があります。先週には米国防総省（Pentagon）が、米政府システムの脆弱性を特定しパッチを当てるためにMythosを利用していることを認めており、民主党下院議員のJosh Gottheimerは月曜日付でAnthropic CEOのDario Amodei宛に書簡を送り、「いかなるエンティティも、緊急のサイバーリスクについて他者に警告したり、緩和策を協調的に進めたり、信頼に足るステークホルダーに知らせたりすることを契約で制限されるべきではない」と主張していました。さらに、ホワイトハウスと米議会では、強力なAIシステムに対する新たな監督措置の検討が進んでおり、トランプ政権は高度AIモデルの一般公開前に連邦の精査を拡大する大統領令の発出を検討中で、議員側も今月後半により広範な連邦AI法案を審議する見通しと報じられています。

技術的な観点でも、Mythosの能力については外部からの検証が始まっています。インターネット・インフラ事業者のCloudflareは今週、「Mythos Preview」モデルの自社テスト結果を公表し、Mythosが従来世代のAIコーディングツールを上回るケイパビリティを示したと報告しました。多くの大規模言語モデルがすでに単体のソフトウェア脆弱性を識別できる一方で、Mythosは「複数の軽微なバグを連結し、システム全体を侵害し得る『攻撃チェーン』として組み立てる」能力を示し、Cloudflareのランタイムシステム、エッジデータネットワーク、プロトコルスタック、コントロールプレーン、複数のオープンソースプロジェクトを含む本番インフラに対するテストにおいて、脆弱性の特定にとどまらず、疑わしい欠陥が実際に悪用可能かを検証するためのPoC（概念実証）コードまで生成しました。テスト対象となった他のフロンティアAIモデルも同じバグの一部を特定したものの、それを実際に使えるエクスプロイトへと組み上げる最終ステップは完遂できなかったとされています。一方で、Cloudflareは技術にはまだ課題が残ると注意も促しており、特にC／C++のようなメモリアンセーフな言語で書かれたソフトウェアでは、推測的・未検証の問題を頻繁にフラグするなど、人手のレビューを必要とする偽陽性が多いと指摘しています。同社は、組織にとっての本質的な学びは「ソフトウェアパッチの高速化のみに依存するのではなく、セキュリティアーキテクチャ全体を強化すること」にあると述べ、脆弱性が未パッチでも攻撃者の横方向移動を制限できる多層防御、より強固なネットワークコントロール、複数環境にまたがるセキュリティフィックスの協調的な展開を推奨しています。

Anthropicについて
Anthropicは、米国・サンフランシスコに本社を置くAI安全性とフロンティアAI研究を専門とするスタートアップで、共同創業者でありCEOのDario Amodeiの下、「人類のための安全で有益なAI」を使命に掲げて研究開発を進めています。Anthropicの基盤モデルファミリー「Claude」は、現在のフラッグシップであるClaude 4.7ファミリー（Claude Opus 4.7）を頂点に、Claude 4.6ファミリー（Claude Sonnet 4.6、Claude Opus 4.6）、軽量で高速なClaude Haiku 4.5などで構成されており、API経由および「Claude Platform」を通じて提供されています。Anthropicの製品ポートフォリオは、Web／モバイル／デスクトップで利用可能なチャットインターフェース「Claude.ai」、開発者がターミナルからコーディングタスクを委譲できるエージェント型コマンドラインツール「Claude Code」、加えてベータ版として、ブラウジングエージェントの「Claude in Chrome」、スプレッドシート向けエージェントの「Claude in Excel」、非開発者がファイルやタスク管理を自動化するためのデスクトップツール「Cowork」などを含み、エンタープライズから個人開発者まで幅広い層をカバーしています。今回ニュースとなった実験的モデル「Mythos」は防御的サイバーセキュリティ用途に特化したリサーチプログラム「Project Glasswing」の枠組みで限定提供されており、Amazon、Apple、Microsoft、Nvidiaなど約50の主要組織や米国防総省（Pentagon）が参加するなど、フロンティアAIの安全保障領域への応用面でも業界の注目を集めています。