Claude Mythos Preview と Project Glasswing が示したのは、AI が「長年潜伏してきたソフトウェア脆弱性」を発見し、エクスプロイトまで自律構築する時代の到来である。OpenBSD のネットワークスタックに 27 年眠っていたバグ、FFmpeg の 500 万回以上の自動ファジングをすり抜けた 16 年もののバグ、FreeBSD の NFS リモートコード実行（CVE-2026-4747）など、人間が見つけきれなかった攻撃面が次々と暴かれた。

この記事では Anthropic 公式（red.anthropic.com、anthropic.com/glasswing）の発表と、Bruce Schneier ら専門家の評価をもとに、Mythos と Glasswing が何を変えるのかを整理する。あわせて、当社が中堅企業の DevSecOps チーム向けに提案する 5 つの実装アクションをチェックリスト形式でまとめる。Mythos そのものは限定公開だが、企業が現行モデルでできることはすでに多い。「公開を待ってから考える」では確実に遅れる時代に入った。

Claude Mythos Preview は、Anthropic がサイバーセキュリティ特化のフロンティアモデルとして位置付ける限定公開モデルである。汎用的なコード生成モデルではなく、ソースコードの脆弱性発見・エクスプロイト構築・修正パッチ生成という攻防サイクル全体を自律的にこなす。

Anthropic の赤チーム研究ブログ red.anthropic.com では、Mythos Preview を「ほとんどの人間専門家を超えるレベル」と表現している。一般公開する予定はないが、限定パートナーには 100 万入力トークンあたり 25 ドル、出力 125 ドルで提供されるとされる。

このモデルは Project Glasswing の中核ツールとして、世界中の重要ソフトウェアを「先回りで」点検する用途に投入されている。当社のような防御側が事業継続性を考えるとき、まず押さえておくべき前提と言える。

これまでの汎用モデルは、コード生成や既知の脆弱性パターンの検出には優れていたが、複雑なエクスプロイトチェーンの自律構築や、低レベルのメモリ安全性バグの自動発見では人間の研究者にかなわなかった。

Mythos Preview の特異性は、(1) ソースコードからのバグ発見、(2) 完全に動作するエクスプロイトの構築、(3) クローズドソースの逆工学、(4) 修正パッチの生成までを「初期プロンプト一発」のあと自律実行できる点にある。Anthropic は公式に「fully autonomously」と表現しており、人間の介入なしで 17 年もののリモートコード実行脆弱性を発見・悪用したと報告している。

これは脆弱性発見の世界における質的な変化である。従来の SAST（静的解析）や DAST（動的解析）はパターン照合と入力ファジングに依存していたため、発見できるのは「設計者が予期した攻撃面」に限られた。Mythos はソースコード全体を意味的に理解し、開発者本人すら気付いていない攻撃経路を組み立てる。当社が顧客に「AI コードレビューは既存ツールの置き換えではなく、別軸の検出層」と説明する根拠もここにある。

Anthropic の発表によれば、CyberGym ベンチマークでは比較対象の汎用 Claude モデルが 66.6% を記録したのに対し、Mythos Preview は 83.1% を達成した。CyberGym は脆弱性発見・エクスプロイト構築の両面を測る攻撃者視点のベンチマークで、コーディング能力を測る SWE-bench とは性質が異なる。

OSS-Fuzz を用いた評価では、汎用モデルが Tier 1-2 で 150-175 件のクラッシュを発見できたのに対し、Mythos Preview は同じ Tier で 595 件のクラッシュを記録した。さらに最高難度の Tier 5（完全な制御フロー乗っ取り）を 10 ターゲットで成功させており、これは「クラッシュさせる」レベルから「任意コード実行を取る」レベルへの跳躍を意味する。

Firefox の脆弱性悪用テストでは、汎用モデルが数百回の試行で 2 回しか成功しなかったのに対し、Mythos Preview は 181 回成功し、追加で 29 回のレジスタ制御を達成している。再現性の桁が違う。これはランダム性に依存する偶発的成功ではなく、攻撃手順を体系的に組み立てる能力が安定していることを示している。

仮にこの能力が攻撃者に渡れば、防御側の準備時間は決定的に短くなる。「Anthropic が先に押さえた」状況の戦略的意味は大きい。

Mythos Preview が公表した発見事例は、その能力の射程を示すうえで重要だ。いずれも責任ある開示プロセス（Coordinated Vulnerability Disclosure）を経てパッチ済みであり、防御側にとっての成功事例として位置付けられている。

ここで紹介する 4 つの事例は、いずれも「既存のファジングや人間レビューが見逃してきた」性質のものだ。長年潜伏したバグが集中して発見された理由は、ソースコードの意味理解と攻撃経路の組み立てを同時にこなせるモデル能力が、それまでの自動化ツールには不在だったからである。

当社が顧客の DevSecOps を支援する場面で、AI コードレビュー導入の費用対効果を説明するときの具体例として頻繁に引き合いに出している。社内で「AI レビューに投資する根拠は？」と問われたら、これらの事例を提示すれば説得力が一気に増す。

OpenBSD はファイアウォールや VPN ゲートウェイとして重要インフラに広く使われている OS である。Mythos Preview はこの OS の TCP SACK（Selective Acknowledgment）実装に、27 年間潜んでいたリモートクラッシュ脆弱性を見つけ出した。

攻撃機構は TCP シーケンス番号の整数オーバーフローを悪用するパターンである。SACK は受信側がパケットの抜けをまとめて報告する高速化機能だが、その境界計算でシーケンス番号が 32 ビット範囲を一周する状況を考慮しきれていなかった。攻撃者は意図的に範囲を跨ぐシーケンスを送り込むことで、内部状態を破壊しカーネルパニックを誘発できる。

長年にわたり多数の研究者・自動ツールに見過ごされていた事実は、ソースコードの文脈を意味理解するモデルが、既存のシンタクティックな検査ツールを補完できることを示している。境界条件のバグは「テストケースが想像できなければ見つからない」典型的なクラスであり、入力空間を意味的に推論する AI が強みを発揮する領域だ。

OpenBSD は防御製品の足回りとして使われているため、発見が攻撃側に先行されていれば、企業ネットワークの境界そのものが侵害される深刻な事態になり得た。

動画コーデック実装 FFmpeg では、H.264 デコーダ内に 16 ビット型を用いる古い実装制約に起因する 16 年もののバグを Mythos Preview が検出した。境界を超える入力を含む特殊な動画ファイルを処理させると、内部バッファが溢れて任意コード実行に至る。OSS-Fuzz により 500 万回以上の自動ファジングテストを実施しても発見できなかったクラスのバグであり、ランダム入力では到達できないコード経路を AI が論理的に発見した好例である。

FreeBSD では、NFS（Network File System）にリモートコード実行を許す 17 年もののバグ（CVE-2026-4747）を Mythos Preview が自律的に発見・悪用した。NFS の RPC デコード処理に潜む型混同とメモリ破壊を組み合わせ、ROP（Return-Oriented Programming）チェーンの構築まで含めて完全に自動化されている。Anthropic は「初期プロンプト後は完全自律」と明言しており、攻撃者がよく使う ROP ガジェット探索を AI が自前で行えることが示された。

Linux カーネルでは、複数の脆弱性をモデル自身が連鎖（チェイン）させ、一般ユーザ権限から root への特権昇格を達成した。単独では小さなバグでも、メモリレイアウトの操作・カーネルオブジェクトの再利用・特権境界での参照外しを順番に組み立てることで、権限昇格に至る経路は珍しくない。人間のペネトレーションテスターが数日かけるレベルの攻撃経路構築を、モデルが自動で組み立てた格好だ。

ブラウザ系では、Firefox の JIT（Just-In-Time）コンパイラに対する複合エクスプロイトを生成。JIT スプレーとヒープレイアウトの予測を組み合わせ、Web ページから任意コード実行に到達する経路を 181 回成功させ、追加で 29 回のレジスタ制御を達成した。再現性が桁違いであり、もはや「偶然の一発」ではなく安定した能力として確立しつつあることを示している。

Project Glasswing は、Mythos Preview を「攻撃者より先に」防御側が使い切るために組成された業界コンソーシアムである。重要ソフトウェアを AI で網羅的に点検し、防御優位の時代を意図的に作る試みだ。

Anthropic 公式ページ anthropic.com/glasswing によれば、創設パートナーには次の 11 組織が名を連ねる。Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。これに加えて 40 を超える組織が、重要インフラを保守する立場で参加している。

防御側が AI 能力を独占的に持てる時間は限られている。Anthropic 自身も「今行動すれば防御優位な AI 時代を作れる」と述べているが、裏を返せば、行動しなければ攻撃優位になるという警告でもある。

Anthropic は Mythos Preview の利用クレジットとして最大 1 億ドル、オープンソースセキュリティ団体への直接寄付として 400 万ドルをコミットしている。寄付の内訳は、Linux Foundation 経由の Alpha-Omega と OpenSSF に 250 万ドル、Apache Software Foundation に 150 万ドルとされる。

Glasswing は 90 日以内に成果報告を公開する計画である。責任ある開示の全プロセスは、Anthropic の Coordinated Vulnerability Disclosure ポリシーに沿い、原則として 90 日以内またはパッチ公開のいずれか早い時点で公開する運用となっている。さらにパッチ公開後は通常 45 日の保留を置いてから技術詳細を公開するため、開発者の対応猶予と防御者の情報共有のバランスが取られている。

中堅企業や OSS メンテナーが Glasswing に関わる経路は大きく 2 つある。

1 つは「Claude for Open Source」プログラムで、OSS 保守者向けに無償または優遇価格で Claude を提供する枠組みだ。GitHub で一定の活動実績がある OSS プロジェクトは、メンテナー個人での申し込みも受け付けている。自社プロダクトに依存している OSS のメンテナーが申し込めば、上流の安全性向上が結果的に自社のサプライチェーン保護につながる。

もう 1 つが「Cyber Verification Program」で、サイバーセキュリティの正当な業務実績を持つ研究者・企業が、より強力なモデルへの限定アクセスを申請できる。社内 SOC・ペンテストチームを抱える企業や、セキュリティベンダーが主な対象となる。

実際の Mythos Preview 自体に手が届くのは限られた組織だが、その動きをトラッキングし自社のセキュリティ姿勢に反映することは、すべての企業にとって意味がある。「自分は対象外だから無関係」と切り捨てる前に、まず申請可否を社内で検討する姿勢が望ましい。

Mythos と Glasswing の発表については、サイバーセキュリティの専門家コミュニティから複数の重要な論点が提示されている。手放しの楽観論ではなく、何が変わり、何が変わらないかを冷静に整理する必要がある。

ここでは特に影響力のある 2 つの論点、Bruce Schneier の「防御優位は縮む」という警告と、セキュリティ企業 Aisle が示した「既存モデルでも能力の一部は再現可能」という指摘を取り上げる。両者ともに、企業が今すぐ取るべきアクションの優先順位を示唆している。

セキュリティ研究者 Bruce Schneier は自身のブログ schneier.com で、Mythos の防御優位は本物だが「ますます強力なモデルが登場するにつれ、その優位は縮小する可能性が高い」と警告している。

「修正のためにバグを見つけることは、見つけて悪用することより AI にとって易しい」という非対称性を一時的な利点として認めつつ、攻撃側がオープンソースモデルで同等能力に到達するのは時間の問題だと示唆している。

Schneier は「ゼロデイ攻撃が日用品（dime-a-dozen）になる世界」を前提に、システムレベルのレジリエンス（回復力）への転換を訴える。具体的には、単一のパッチ運用ではなく、侵入を前提とした分割設計・ログ・最小権限・即応体制が中心軸になる。「侵入されないことを目標にする」モデルから「侵入されても被害を最小化する」モデルへの転換、つまりゼロトラスト設計の徹底である。

セキュリティ企業 Aisle は、すでに公開されている安価な汎用モデルを使って Mythos が達成した能力の一部を再現できると指摘している。「脆弱性を見つけること」と「実用的な攻撃に変換すること」の間には依然として差があるが、企業の防御目的では「攻撃可能なバグを早期に見つけて潰す」ことが目的なので、エクスプロイト構築まで自動化する必要はない。バグの早期発見と修正パッチの自動提案までで十分に投資対効果が出る。

つまり Mythos Preview に手が届かない中堅企業でも、現在のモデルラインナップだけで「AI 駆動の脆弱性発見」を業務に組み込む余地は大きい。これは当社が顧客に最も強調しているポイントである。「フロンティアモデルが手に入らないから何もできない」ではなく、「現行モデルで何ができるかを正確に理解する」ところから始めるべきだ。

Mythos Preview のニュースを「他人事」で終わらせず、自社のセキュリティ姿勢に取り込むには、抽象論ではなく具体的な行動に落とすことが要る。当社が中堅企業向けに勧めている 5 つの実装アクションを紹介する。

いずれも Mythos そのものへのアクセスを前提としない。現行モデルと既存ツールチェーンの組み合わせで実装可能なものに絞っており、最短で 1〜2 週間、本格運用でも 3 ヶ月程度で形になる。AI ガバナンスの整備と並行して進めれば、コンプライアンス文書化と実装が同時に走るため、後で監査対応に追われる事態も避けやすい。

Mythos そのものは限定公開だが、現行の汎用 Claude や GPT を使った静的コード分析・自動レビューはすでに実装可能だ。CI/CD パイプラインに組み込み、PR ごとに「LLM レビュー → 既存リンター → ファジング」の三段構えにすると、人間レビュアーが見落とすロジックバグを大幅に減らせる。

完全な自動化を急がず、まず小さなレポジトリで効果測定を行い、検出率と誤検知率を社内データとして蓄積するのが現実解である。3 ヶ月単位で「LLM が指摘したうち本当のバグだった割合」と「人間レビューを通過したのに LLM が拾ったバグの数」を計測すれば、投資判断の根拠が揃う。

セキュリティを本業とする企業や、内部に専門研究者を抱える組織は、Cyber Verification Program の申請を検討する価値がある。受理されれば、Mythos クラスのモデル機能に部分的にアクセスでき、自社プロダクトの徹底的な事前点検が可能になる。

申請には正当な業務実績の提示が必要なため、平時から脆弱性開示への貢献やバグバウンティ参加の記録を残しておくことが重要だ。社員個人で HackerOne / Bugcrowd 等のプラットフォームに参加している実績、CVE 採番された脆弱性報告、責任ある開示で謝辞を受けた件数などが評価対象になる。

OSS を公開している組織は、Claude for Open Source の方が現実的な入口となる。GitHub での活動実績がある OSS プロジェクトであれば、メンテナー単位での申し込みも受け付けられている。

従来のインシデント対応プレイブックは、「既知の CVE が報告されてから対応」を前提に組まれていることが多い。しかし Mythos が示したのは、世界の主要 OS・ブラウザ・ライブラリに数千件の未公開ゼロデイが眠っているという現実である。攻撃者が AI で同等の発見能力に到達した瞬間、これらが武器化される。

「ゼロデイ常在」を前提に、IR プレイブックには次の 4 点を織り込むべきだ。

• 検知層の多重化: EDR、ネットワーク異常検知（NDR）、ふるまい分析（UEBA）を併用し、単一層の盲点を別層で補う
• 隔離・最小権限の徹底: ネットワークセグメンテーションと IAM の最小権限化で、侵入されても被害を切り離せる構造に
• ログ保持期間の延長: 攻撃発覚から数ヶ月遡って痕跡を追える期間（最低 90 日、推奨 365 日）を確保
• 重大インシデント想定の机上演習: 四半期に 1 回、未知のゼロデイによる初動シナリオを CISO・法務・広報で予行する

DevSecOps の基本原則であるシフトレフトを、AI コードレビューと統合する。OWASP Top 10 や OWASP LLM Top 10 のチェック項目を、PR 自動コメントとして反映する仕組みを作ると、開発者が「指摘されてから直す」のではなく「書いた瞬間にフィードバックを受ける」ループに移行できる。

シニアレビュアーの工数を、本当に判断が難しい設計レビューに集中させられるという副次効果もある。当社の支援案件では、AI コードレビュー導入後 2 ヶ月で人間レビュー時間が 30〜40% 削減された事例がある。

注意点として、AI レビューを「ハンコ押し」にしないルール作りが必要だ。「LLM が OK を出したから安全」と過信すると、誤検知の逆、つまり見落とし（false negative）が問題化する。AI は補助層であり、人間の最終判断を排除するものではない、という運用ルールを明文化すること。

全面施行済みの EU AI Act では、ハイリスク AI システムにサイバーセキュリティ対策と継続的なリスク管理が要求されている。AI を使った脆弱性発見プロセスを正式に運用する場合、その AI 自身の説明責任とログ保全がコンプライアンス上の論点となる。「どのモデルが、どのコードを、いつ、どんな指摘をしたか」を後から追跡可能な形で残しておくことが、監査対応の前提となる。

OWASP LLM Top 10 の各カテゴリ（プロンプトインジェクション、機密情報漏洩、サプライチェーンなど）と内部ガバナンスを照合し、AI コードレビューの結果がインシデントに発展した際の責任分界点を明文化しておくことが、後々の監査対応で効いてくる。

ASEAN 各国でもデータ保護法（タイ PDPA、ベトナム PDPL、インドネシア PDP 法、ラオス個人データ保護法）が整備されつつあり、現地子会社まで含めたガバナンスフレームの整合が求められる。

Mythos Preview そのものは中堅企業の手元には届かない。だからといって「AI が脆弱性を見つけ、悪用する時代」が他人事になるわけではない。当社が伝えたいのは、現行モデルでも十分な防御強化が可能であり、むしろ準備期間としての今こそが行動の時だという点である。

タイ・日本・ASEAN 各国の中堅企業を支援する立場から見ると、優先順位は明確である。第一に、現行の汎用 Claude や GPT を使った内部レビュー・ファジングを業務に組み込む。第二に、IR プレイブックを「ゼロデイが日常」前提に書き直し、ログ保持と机上演習を整備する。第三に、AI ガバナンスの枠組み（EU AI Act / OWASP LLM Top 10）と自社の運用を整合させる。

「Mythos が一般公開されてから考える」では遅い。Glasswing が示したのは、防御側に与えられた猶予期間がそれほど長くないという現実である。Schneier が警告するように、攻撃側が同等能力に到達するのは時間の問題であり、その時点で「何もしていなかった」企業から先に被害が出る。

当社では、Claude を活用したセキュアコーディング体制構築・LLM ガバナンス整備・社内 AI コードレビュー導入支援を提供している。AI 時代のサイバーセキュリティ姿勢を見直したい企業はぜひ相談いただきたい。