AIが塗り替えるセキュリティ人材市場：Claude MythosとGPT-5.4-Cyberが引き起こす2026年の「バグ黙示録」

Claude Mythos：脅威の計算式を変えたモデル

Anthropicは2026年4月7日、モデルのサイバーセキュリティ能力が一般公開するには危険すぎると判断し、制限付きアクセスプログラム「Project Glasswing」の下で「Claude Mythos Preview」をリリースしました 。英国のAI安全研究所（AISI）は、ネットワークアクセスを与えられた場合、Mythosが自律的に「多段階の攻撃を脆弱なネットワークに対して実行し、自律的に脆弱性を発見・悪用する」ことが可能であると確認しました。これは本来、人間の専門家であれば数日を要する作業です 。

既存のベンチマークにおけるパフォーマンスは前例がありません。Mythosは専門家レベルのCTF（Capture The Flag）チャレンジの73%を突破しました。これは従来のあらゆるモデルが達成できなかった高みです（これまでは0%） 。また、企業ネットワークを模した32ステップのペネトレーションシミュレーション「The Last Ones」をエンドツーエンドで完遂した初のAIとなりました。10回の試行中3回で完全な成功を収め、失敗したケースでも平均24ステップまで到達しました。従来のモデルは平均16ステップ未満でした 。

競技以外でも、Mythosはクローズドソースソフトウェア上のエクスプロイトをリバースエンジニアリングし、既知だが未パッチの「N-day脆弱性」を実用的なエクスプロイトコードに変換する能力を発揮しています 。特定のFirefoxエンジンのベンチマークでは、181件の有効なエクスプロイトを開発しました 。こうした理由から、Anthropicとそのパートナー（創設メンバーであるCrowdStrikeなど）は、アクセスを脆弱性発見や攻撃シミュレーションといった防御用途に厳格に限定しています 。

GPT-5.4-Cyber：防御のために設計された専用ツール

その1週間後、2026年4月14日、OpenAIは根本的に異なるアプローチで対抗しました。「GPT-5.4-Cyber」は、防御的なサイバーセキュリティ業務専用にファインチューニングされた「サイバー寛容型」の亜種で、標準モデルがブロックしてしまうようなタスクへの拒否反応の境界線を意図的に引き下げるように設計されています 。

特筆すべきは、このモデルはソースコードへのアクセスなしにバイナリのリバースエンジニアリングを実行できる点です。これにより、セキュリティ専門家はコンパイル済みのマルウェアや未知の脆弱性を直接解析できるようになりました 。審査を通過した専門家によるマルウェア解析、脆弱性スキャン、検知エンジニアリングなどが許可されています 。

アクセスはOpenAIの「Trusted Access for Cyber (TAC)」プログラムによって管理されており、すでに数千人の検証済み防御担当者や、重要インフラを守る数百のチームに拡大されています。このモデルは承認ユーザーに対して「より緩和された分類器ベースの制限」の下で動作しますが、資格情報の窃取のような明らかに悪意のある活動をブロックするセーフガードは保持されています 。OpenAIは2026年5月には「GPT-5.5-Cyber」の限定プレビューを開始しており、防御側に焦点を当てた能力開発の加速を示しています 。

「バグ黙示録」：洪水とフィルター

「バグマゲドン（Bugmageddon）」という言葉は、セキュリティチームに押し寄せる、AIによって発見された脆弱性の圧倒的な津波を表現しています。2026年第1四半期だけで、1万5200件を超える新たな脆弱性が公開され、そのうち40件は実際に悪用が確認されています。これは2025年第4四半期と比較して43%の増加です 。AIを活用した発見ツールが、直接的な要因の一つとして挙げられています 。

この洪水は、脆弱性調査の経済性を根本から覆しています。バグ報奨金プログラムには、AIが生成した低品質で重複した報告が殺到し、トリアージ（優先順位の仕分け）のパイプラインが逼迫し、一部の組織ではプログラムの停止を余儀なくされています 。

しかし、この混乱は一様ではありません。Bugcrowdの2026年予測では、AIが設定ミスのような一般的な脆弱性を発見することには長けている一方で、ビジネスロジックの深い理解を必要とするような「最重要資産への侵入経路」は依然としてエリートな人間の研究者に依存しており、その才能はかつてないほど価値を増していると指摘しています 。

セキュリティキャリアの再形成

これらのモデルと「バグ黙示録」の複合的な影響は、サイバーセキュリティの雇用市場を二層構造に再編しています。

シニア・専門職の需要増加： インシデント対応の責任者、AIセキュリティアーキテクト、そしてAIツールを操作できる脆弱性研究者は、最も高い報酬プレミアムを獲得し、極めて深刻な人手不足に陥っています。現在、サイバーセキュリティの求人の約10%が特にAIスキルを明記しており、64%以上がAI、機械学習、自動化の能力を要件としています 。

初級・定型業務への圧力： 自動化された脆弱性発見は、ルーティン化したバグハンティングの市場を圧縮しています。パターンベースのスキャンに特化した初級職は淘汰されつつあります。しかし一方で、その同じ自動化技術が、依然として人間の判断を必要とする膨大なトリアージやパッチ管理の業務を新たに生み出してもいます。

新しいスキルプレミアム： 2026年に最も価値がある人材は、最も速くバグを見つけられる人ではありません。AI駆動型のセキュリティツールを使いこなし、AIが発見した脆弱性を解釈し、自動化システムでは処理できない複雑なトリアージを管理できる人材です。AIの流暢さと深いセキュリティ専門知識を兼ね備えた人材の年収中央値は上昇し、かつては年単位で採用活動が行われていたポストが、今では週単位で必死に埋められているのです。