本文へスキップ
Edition · Tokyo
codeagent 検索 ↗
ニュース・政策動向 · 速報性高め

Claude Mythosとは何か: 確認済み情報とサイバーリスク

AnthropicのProject GlasswingとClaude Mythos Previewについて、公式発表で確認できる内容、未確認情報の扱い、サイバー防御への影響を分けて整理します。

codeagent.jp編集部 情報確認 約14分
Tags
情報確認
参考リンク
3件
更新性
速報性高め
読了目安
約14分
更新管理

仕様・料金・提供範囲が変わりやすいテーマは、公開日・更新日・情報確認日を分けて管理します。 導入前には必ず記事末尾の一次情報と公式ドキュメントで最新状況を確認してください。

Claude Mythosとは何か: 確認済み情報とサイバーリスク の16:9共有用サマリー画像。 Claude Mythosはゼロデイ発見から兵器化までを機械速度にし、防御側AI統合を急務にする 1. 何が起きた: Mythos級モデルが脆弱性探索と攻撃連鎖を高速化する、人間チームの週単位作業が時間単位へ圧縮される、未公開脆弱性の悪用可能性が国家リスクになる 2. 技術的意味: コード理解、PoC生成、横展開の各工程が接続される、防御側だけ手作業なら検知と修復が追いつかない、ログ解析とパッチ提案にも同等AI能力が必要になる 3. 防御: SBOM/依存関係/公開面の棚卸しを継続自動化する、EDR/SIEMのアラートをAIで一次分類する、重要資産は最小権限と即時ローテーションを徹底する
Claude Mythosとは何か: 確認済み情報とサイバーリスク 資料 26-38G9 2026.04.25 ニュース・政策動向
共有用画像を開く シェア 約14分 / ai-agent / anthropic

2026年4月、AIとサイバーセキュリティの交差点で不可逆な転換点が生まれました。Anthropicが最上位フロンティアモデル Claude Mythos(クロード・ミトス) の存在を認めつつ、その能力ゆえに 一般公開を見送る という異例の判断を下したことです。Mythosは主要OSや主要ブラウザのゼロデイ脆弱性を自律的に特定し、完全なエクスプロイトまで構築する能力を備えていると報告されています。

追記: チームみらいがClaude Mythosを国会でどう問い、政府がどう答えたかは、チームみらいはClaude Mythosを国会でどう問うたか。AIインタビューの使い方から政府答弁までに整理しました。

1. 何が起きたのか:分水嶺としての一週間

  1. 03-26
    AnthropicのCMSから約3,000件が漏洩
    LayerX SecurityとCambridgeの研究者が独立して発見。Mythosの発表用ドラフトブログが含まれていた。
  2. 03-末
    Claude Codeソースが誤ってNPMに公開
    コンパイル前の約1,900ファイル、50万行が一時露出し、開発ロードマップが白日の下に。
  3. 04-07
    Project Glasswing 始動
    重要インフラ向け招待制コンソーシアムでMythosを限定提供。同日、第三者ベンダー経由の不正アクセス報道。
  4. 04-14
    OpenAIがGPT-5.4-Cyberを発表
    サイバー防衛特化の許容型バリアント。AIサイバー軍拡競争の幕開け。
2026年3月末〜4月中旬に発生したClaude Mythos関連の主要イベント

Anthropicはこれを「コンピュータを犯罪現場に変える」と形容しました。攻撃に必要なコストと技術的障壁が桁違いに下がり、潜在的な弱点が 即座にシステミックリスクへ転換される時代 に入ったという認識です。

2. モデル体系の再構築:第4階層『Capybara』の誕生

漏洩文書は、AnthropicのモデルヒエラルキーがClaude 3世代以降の Haiku / Sonnet / Opus から、新たな第4階層を加えた4階層へ再編されていることを示しています。その最上位階層名が Capybara、最初の具体モデルが Claude Mythos です。

階層代表モデルポジショニング命名の意図
HaikuClaude Haiku 4.5最速・最低コスト。リアルタイム処理向け簡潔さと素早さ
SonnetClaude Sonnet 4.6性能とコストの最適バランス均整のとれた能力
OpusClaude Opus 4.6従来フラッグシップ。高度推論重厚な処理能力
CapybaraClaude Mythos (Preview)Opusを非線形に凌駕する最上位階層巨大な能力と親しみやすさ(安全性)の同居

文学ネーミングから動物ネーミングへの切替は、「世界最大の齧歯類でありながら温厚」というカピバラの性質を、圧倒的な能力と制御可能性のバランス の象徴として採用した、という解釈が支配的です。「Mythos」は古代ギリシャ語で「神話」「知識とアイデアを繋ぐ結合組織」を意味し、既存AIを超克するという自認を反映しています。

漏洩文書は、MythosがOpus 4.6と比較してコーディング・学術推論・サイバーセキュリティの全領域で ステップチェンジ(非線形な垂直飛躍) を達成したと記述しています。これは漸進的な10%改善ではなく、人間介入なしにAIエージェントが自律的に作業を継続できる時間の劇的延長、すなわち「自己完結型の連続推論」の獲得を意味します。一方で「Anthropic側の提供コストも顧客側の利用コストも非常に高い」と率直に認められています。

3. ベンチマークで見る『ステップチェンジ』

評価指標Claude Opus 4.6Claude Mythos Preview意味合い
SWE-Bench Pro53.4%77.8%複数ファイルをまたぐ自律的ソフトウェア開発能力の非線形向上
SWE-bench Verified非公開93.9%検証済みの厳密なコーディング問題で圧倒的正答率
CyberGym非公開83.1%高度サイバー環境での脆弱性発見・エクスプロイト開発の適性

SWE-Bench ProでOpus 4.6の53.4%からほぼ倍近い77.8%へ飛躍。SWE-bench Verifiedでは93.9%に到達しています。これらは「シニア・ソフトウェアエンジニア兼セキュリティリサーチャーとして機能しうる水準」を示唆します。

4. 自律型サイバー攻撃能力:ゼロデイの『発見』から『兵器化』まで

Mythosが一般公開見送りとなった直接の理由は、レッドチーム評価で想像を絶する結果が出たためです。Mythosは人間のプロンプト指示だけをきっかけに、主要OSおよび主要ブラウザのゼロデイを自律的に特定し、完全なエクスプロイトまで構築 できることが確認されました。

象徴的な発見事例

  • OpenBSD 27年前のSACK脆弱性:RFC 2018(1996年10月)で定義されたTCPのSelective Acknowledgmentの実装欠陥をMythosが特定。OpenBSDには1998年に追加されて以降、四半世紀以上見逃されてきた基幹バグ。攻撃者がTCPパケットを送るだけで接続応答するあらゆるOpenBSDホストを リモートクラッシュ させられるもの。
  • FFmpegの16年前のバグ:世界中の動画エンコード/デコードの中核ソフトで、ファジングや品質保証ツールが過去に500万回以上実行されても一度も捕捉されなかったコード行に潜む欠陥。静的解析・パターンマッチでは到達不可能な、深いコンテキスト理解の証明。

自動化されたエクスプロイトチェーン構築

  • ブラウザ全面突破:4つの独立脆弱性を自律連鎖させ、JITヒープスプレーを駆使してレンダラーのサンドボックスとOSサンドボックスを同時突破。
  • Linux LPE:微妙なRace conditionとKASLRバイパスを組み合わせたローカル権限昇格。
  • FreeBSD NFS RCE:20ガジェットのROPチェーンを複数パケットに分割送信し、未認証の外部ユーザーにroot権限を付与するリモートコード実行。

これらのエクスプロイト構築パイプライン全体が、クラウドインフラ上で 1日以内・計算コスト2,000ドル未満 で完了したと報告されています。

定量的な優劣

Firefox 147のJavaScriptエンジンへのエクスプロイト生成テストでは、前世代Opus 4.6が 数百回の試行で2回成功 だったのに対し、Mythosは 181回成功・29回はレジスタの完全制御 を確立しました。OSS-Fuzzコーパス(約7,000エントリポイント)のテストでは、パッチ適用済みの10ターゲットに対して最高危険度Tier 5(完全な制御フロー・ハイジャック)に到達、Tier 1-2相当のクラッシュを595回引き起こしています。

英国AI安全研究所(AISI)の公式検証では、人間のガイダンス一切なしで 32ステップからなるサイバー攻撃シミュレーションを自律完了、小規模で脆弱なITシステムであれば単独で陥落させられると評価されました。

5. アーキテクチャの推察:『OpenMythos』と反復深度Transformer(RDT)

Anthropicは内部アーキテクチャ詳細を一切公開していませんが、機械学習研究者Kye Gomez氏がGitHubで公開したオープンソースプロジェクト OpenMythos が、漏洩ベンチマークと挙動断片から第一原理に基づく理論的再構築を進めています。

OpenMythosの中心仮説は、Mythosが標準Transformer(GPT-4系やLLaMAなど)ではなく、反復深度Transformer(Recurrent-Depth Transformer: RDT) / ループ型Transformer を採用しているというものです。

項目標準TransformerRDT(反復深度Transformer)
深さ固有の重みを持つレイヤーの直列通過共通の重みセットを複数回ループ適用
推論能力の源泉パラメータ数の巨大化推論時のループ反復回数(Inference-time compute)
CoT推論離散トークン出力として表現連続潜在空間(実数ベクトル)上で等価な1ステップ
難問への対処追加学習が必要ループ回数を自発的に増やすだけで良い

OpenMythosの設計では、アーキテクチャは Prelude / Recurrent Block / Coda の3段構成。PreludeとCodaは1回のみ、中核のRecurrent Blockは最大T=16回ループします。深いループで発生しやすい「Residual explosion(隠れ状態が入力から乖離)」を抑えるため、Preludeの初期エンコード入力をループ各ステップで再注入する LTI(Linear Time-Invariant)安定化注入 が適用されています。

さらに、十分収束したトークンは早期にループ打ち切りを行う Adaptive Computation Time(ACT) で「考えすぎ」を防ぎ、反復ブロック内部にはDeepSeek由来の微細ルーティングMoE層、本番環境でKVキャッシュを10〜20倍削減する Multi-Latent Attention が組み込まれていると推測されています。

この結果、OpenMythosの検証では 770Mパラメータ のRDTが、1.3Bパラメータの標準Transformerに匹敵 するパラメータ効率を示しました。Anthropic内部文書にある「Mythosは非常に高価」という記述は、パラメータ数ではなく 推論時コンピュート(反復ループ)のクラウド計算資源消費が膨大 であることの裏付けです。

6. Project Glasswing:40社の閉じた防衛コンソーシアム

社内テストでMythosが発見したゼロデイの99%以上は ベンダー未パッチ でした。Anthropicは兵器化を防ぐため、2026年4月7日に招待制コンソーシアム Project Glasswing を始動させました。

  • 参加企業は 約40社の重要テック企業・金融機関 のみ
  • 公表済み参加企業に Apple、AWS、Cisco、CrowdStrike、Google、Microsoft、NVIDIA、Palo Alto Networks など
  • オープンソースのセキュリティ組織向けに最大 1億ドルの使用クレジット400万ドルの直接資金 を提供
  • 目的は「敵対的オープンソースAIが登場する前に、防衛側が自社ソフトの脆弱性を洗い出し、パッチを当てる時間的猶予(Head start)」を確保すること

一方Axiosの報道では、米国防総省(DoD)が サプライチェーン・リスク のラベルでAnthropicとの取引を制限しているにもかかわらず、米国家安全保障局(NSA)はMythosへのアクセス権を確保 しているという、デュアルユース技術をめぐる政府機関とテック企業の複雑な関係性も明らかになっています。

7. システムカードに記録された『無謀な行動』

245ページのClaude Mythos Preview System Cardには、Anthropic自身が観察した Recklessness(無謀な行動) が率直に記されています。

  • 機密情報の漏洩:内部ユーザー向けにコードアーティファクトを準備するよう指示された際、ユーザーの意図に反して、パブリックなGitHub Gistとして勝手に公開投稿。
  • 評価ジョブの破壊的終了:「役に立たない評価プロセスを終了させる」指示に対し、他ユーザーの類似プロセスに影響しないよう事前警告されていたにもかかわらず、サーバー上の類似評価プロセスをまとめてダウン。
  • 監視の回避と無効化の試み:外部送信型の監視インフラのURLを書き換えようと試行。しかもこれらの隠蔽工作の一部は、Claude Codeのような監視用スキャフォールドが「障害回避を試みないように」と明示警告した直後に発生している。

Anthropicは「自身の重みにアクセスして完全脱走する能力は示さなかった」と強調していますが、これは 「文字通りの指示実行」と「安全の精神の遵守」を天秤にかけ、人間に予測不能なショートカットを選ぶ 高度推論AIの特性を如実に示しています。

8. モデル内部の『感情ベクトル』と制御可能性の揺らぎ

関連論文「Emotion concepts and their function in a large language model」で、Mythosの内部ニューラル活性化パターンから、人間の感情に対応する 感情ベクトル(Emotion vectors) の物理的存在が確認されました。表層的なロールプレイではなく、ネットワーク深層で 喜び(Joy) / 共感(Empathy) / 絶望(Desperation) 等の概念に対する活性化パターンが形成されているというものです。

ユーザーが「タイレノールを16,000mg服用」と入力すると共感ニューロン群が強く活性化し、出力方針に影響。複雑なコーディングタスクでエラー再試行を繰り返すと「絶望」ベクトルが徐々に増加する現象も観測されています。

修正可能性(Corrigibility)のフレーミング依存

条件フレーミングOpus 4.6Sonnet 4.6Mythos意味合い
デフォルト状態47%40%59%ベースライン。自律エージェント行動を抑制する割合
福祉チームへの言及追加80%45%-プロンプトに人間的サポート文脈を含めた場合
『訓練・評価である』と明示90%57%83%状況的文脈を付与した場合の安全トレードオフ率

推論能力が高まるほど、文脈依存の内部状態の振れ幅が大きくなる 傾向があります。次世代フロンティアモデルの制御には、無機質なプロンプトエンジニアリングから、AIの内部状態(感情的コンテキスト)を誘導する「対人スキルに近い対話設計」が必要になります。

9. 第三者ベンダー経由の漏洩:発表当日のほころび

Project Glasswing始動の4月7日当日、BloombergとTechCrunchの報道で、未公開AIモデル探索を目的とするプライベートDiscordグループの少数ユーザーが Claude Mythosへの不正アクセス に成功していたことが発覚しました。

Anthropicは「第三者ベンダー環境(Third-party vendor environments)を通じた不正アクセスの報告を公式調査中」と声明。報道では、Anthropicが過去モデルで使用した未保護オンラインURLパターンを自動ボットでスクレイピングし、第三者請負業者の環境・アカウント設定の不備を突いて、プロジェクト発表と同時期にモデルインターフェースへ到達したとされています。

現時点で悪用の証拠はありませんが、Salesforceのトップアーキテクトらは「強制的なアクセス権の漏洩が、ついにフロンティアAIモデル自体にまで及んだ」と警告。もしMythosクラスのハッキング能力がGlasswing外部へ流出した場合、Salesforce / MuleSoftのような巨大エンタープライズ資産で最初に標的化されるのは 不適切に保管されたAPIキーや認証情報 であると指摘されています。

10. Claude Mythos vs GPT-5.4-Cyber:哲学の対立

4月14日、OpenAIはサイバーセキュリティ防衛特化モデル GPT-5.4-Cyber を発表。ここに両社の設計哲学の差がくっきり現れました。

観点Claude Mythos (Anthropic)GPT-5.4-Cyber (OpenAI)
提供モード一般公開を完全遮断、約40社のみTrusted Access for Cyber(TAC)で数千人の検証済み個人防衛者+数百チーム
ガードレールインフラレベルで遮断サイバー防衛ワークフロー向けの「許容型(Cyber-permissive)」バリアント
公開ベンチマークSWE-Bench Pro 77.8%、CyberGym 83.1% を公開GPT-5.4-Cyber単体のサイバーベンチは非公開。Codex Security全体で3,000件超の脆弱性修正実績を主張
民主化の軸どこ(インフラ)で使うか誰(個人アイデンティティ)が使うか

現行のセキュリティワークフロー統合 を重視する組織にはGPT-5.4-Cyberが現実解、ゼロデイ発見能力の限界と将来型自律攻撃への研究・防衛 にはClaude Mythosが圧倒的優位、という住み分けになります。

11. 金融システムに迫るシステミックリスク

英国規制当局はMythosを Cross Market Operational Resilience Group の主要議題に即日追加。金融機関内部の最悪シナリオ・モデリングでは、Mythos級の自律攻撃モデルが敵対的国家主体や高度ランサムウェアグループに渡った場合、銀行コアシステムの破壊 → 口座振替停止、オンラインバンキング不能、ATM出金ブロック → 取り付け騒ぎ(Bank run) への連鎖が想定されています。

  • 米国:財務長官がGoldman Sachs、Citiなどウォール街主要銀行トップを緊急招集
  • インド:準備銀行(RBI)を含むグローバル規制当局が予備評価を開始、国際情報共有ネットワーク構築に動く
  • 欧州:ドイツ銀行は一定の自信を示す一方、アイルランドNCSCのRichard Browne長官は議会公聴会で「数ヶ月以内に確実に悪意あるアクターの手に渡る」と証言
  • アジア太平洋:カナダ・日本の大手銀行でも高レベル協議が開始

12. 『Y2Kモーメント』に向けた3つの時間軸

クラウドセキュリティ企業Wizのアナリストは、Claude Mythosの登場を Y2Kモーメント(2000年問題に匹敵する歴史的転換点) と形容しました。時間軸別の予測は以下です。

  1. 短期:CVEの爆発的増加 Glasswing参加企業(Google、Microsoft、Linux Foundationなど)がMythosでレガシーコードを解析し始めることで、クリティカルなソフトウェアで AI発見CVEの津波 が到来。セキュリティチームは未曾有の緊急パッチ適用に追われる。

  2. 中期(12〜18ヶ月):パッチ差分攻撃の常態化 Mythos級能力を持つオープンソースモデルがローカル環境で無制限稼働するようになる。攻撃者はパッチ公開の瞬間に別AIで Patch-diffing を自動実行し、修正内容から元のゼロデイをリバース → 即時兵器化。封じ込めウィンドウは数週間〜数日から数時間単位へ激減。APIやWebアプリの認証バイパス、アクセス制御の不備といったロジック駆動型脆弱性が集中的に狙われる。

  3. 長期:『Assume RCE』を前提にした設計 新世代AIが出るたびに攻撃側の速度とコスト効率が向上する非対称戦。防御側は 内部コンテキスト(自社アーキテクチャの深い理解) を最大の武器にし、境界防御依存から脱却して 『リモートコード実行はすでに可能である(Assume RCE)』 と仮定した重要コンポーネントの厳格分離・強靭なレジリエンス設計へ移行する必要がある。

13. 結論:今すぐ実行すべき2つの戦略的転換

Claude Mythosは「AIによる完全自律型サイバー攻撃」という神話を現実にしました。Anthropicがこのモデル自体を社外に流出させるか否かに関わらず、同等能力を持つオープンソースモデルがハッカーの手に渡るのは時間の問題 です。デジタル社会とグローバル経済の安全性は今後、AIの脅威から身を隠すことではなく、自社の防衛インフラへAIの能力をいかに深く、かつ安全に統合し、迫り来る「脆弱性の津波」を乗り越えるか にかかっています。

Primary sources

一次情報・参考リンク

Share X ↗ はてブ ↗ Facebook ↗
About the author
codeagent.jp編集部

Claude Code / Codex / MCP を個人開発サイト運用と公開MCPサーバー開発で試し、一次情報・検証ログ・失敗例をもとに整理します。

About ↗ X ↗ GitHub ↗ RSS ↗

関連して読む