AnthropicのAIモデル「Mythos」は、欧州では単なる新製品ではなく、金融監督、サイバー防衛、AI規制が交差する政策課題として受け止められている。報道で問題視されている中核は、Mythosがコンピューターコードの脆弱性を見つけられるモデルだという点だ。この能力は銀行の防御を強める可能性がある一方、銀行のITシステムへの攻撃を加速させる恐れもある[7]。
欧州が求めているのは「一般公開」ではない
確認できる範囲で、EU側が求めているのはMythosを誰でも使えるようにすることではない。Bloomberg Lawは、EUがAnthropicと協議し、企業や金融機関について、Mythosが特定し得る弱点を検証できるようにする道を探っていると報じた[17]。
Reutersは2026年5月4日、欧州委員会の担当者がAnthropicからMythos Previewのサイバー能力とリスクに関する技術的説明を受け、EUの政策や法制度に照らして影響を評価していると伝えた[27]。欧州委員会はまた、この急速に進化する技術について、サイバー防衛の強化に使える可能性と、悪用されるリスクの両方を監視しているとBloombergに説明している[
18]。
特に強い発信はドイツから出ている。ドイツの中央銀行であるブンデスバンクのミヒャエル・トイラー理事はReutersに対し、欧州の銀行は、この種の新しいプログラムによって強化され得るサイバー攻撃に備えるため、Mythosへのアクセスを得る必要があると述べた[7]。同じくブンデスバンクのヨアヒム・ナーゲル総裁も、競争条件をそろえ、悪用を防ぐために幅広いアクセスが必要だとの考えを示している[
28]。
ただし、ここは重要だ。現時点で公表されたEUの正式決定や、完成したアクセス制度が確認されているわけではない。報じられているのは、協議、技術説明、規制当局による監視、そして政治的な圧力である[17][
27][
18]。
なぜ銀行にとって重要なのか
Mythosは、コンピューターコードの弱点を特定するモデルとして報じられている[7]。銀行にとっては、防御目的で大きな意味を持ち得る。自社システムを点検し、危険度の高い脆弱性を優先順位づけし、攻撃者に悪用される前に修正するための手がかりになるからだ。
ドイツ経済紙Handelsblattは関係者の話として、Anthropicが欧州の銀行に近くアクセスを認め、各行が自社のコンピューターシステムを検査し、潜在的なセキュリティホールを閉じられるようにする見通しだと報じた[3]。ただし、その時期については関係者の説明に幅があり、数日から数週間まで見方が分かれていた[
3]。
もう一つの論点は、欧州側の情報格差だ。Reutersによれば、Mythosはこれまで一部の米国銀行にのみ提供されていた[7]。The Next Webはさらに、EU加盟国の政府はいずれもこのモデルにアクセスしていないと報じている[
24][
30]。金融監督当局が、安全保障上重要なAIシステムを説明資料や外部報道だけで評価せざるを得ないなら、制御された形で実地検証したいという要求は自然に出てくる。
問題は「両刃の剣」であること
欧州の当局者が慎重なのは、Mythosの能力が防御にも攻撃にも使えるからだ。Reutersによると、サイバーセキュリティ専門家はMythosを、銀行の技術システムへの攻撃を加速させ得る存在と見ている[7]。ナーゲル総裁も、Mythosは金融機関のソフトウェアにあるセキュリティ上の弱点を素早く特定し、悪用できるように見えると述べたうえで、デジタル防衛を改善する一方で悪用もされ得る「両刃の剣」だと指摘している[
26]。
ドイツのサイバー安全当局も警戒している。ドイツ連邦情報セキュリティ庁(BSI)はZDFに対し、隠れたソフトウェア脆弱性を見つけるモデルは、サイバー脅威の状況に大きな影響を与える可能性があると説明した[6]。また、ドイツの金融監督当局BaFinは、Mythosや類似のAIモデルが脆弱性を自律的かつ大規模に見つけられるとして、そのリスクを集中的に検討しているとHandelsblattが報じている[
13]。
The Next Webは、Mythosが主要なOSやブラウザーに存在するゼロデイ脆弱性、つまり修正パッチがまだない未知の弱点を見つけられるとも報じている[24][
30]。もっとも、この点はあくまで報道ベースとして読む必要がある。公に確認されている中心事実は、欧州委員会がAnthropicから技術情報を受け取り、その影響を評価しているということだ[
27]。
AI法の文脈でも見られている
Mythosをめぐる議論は、金融サイバー対策だけでは終わらない。EUのAI規制、いわゆるAI Actの文脈にもつながっている。
Bloombergによると、欧州委員会のAI Officeは、AI Actの対象となる汎用AIモデルについて、EUの行動規範を実施するためAnthropicと対話している[18]。Investing.comも、欧州委員会の報道官の説明として、AnthropicがEUの汎用AI向け行動規範の順守を約束したと伝えている[
2]。
つまりMythosの問題は、銀行が新しいセキュリティツールを使えるかどうかだけではない。強力な汎用AIがサイバー能力を持つ場合、それをどのように評価し、どこまで制限し、どの監督の下で利用させるのかという、AI統治そのものの問題でもある[18][
27]。
これから問われるのはアクセスの設計
議論は「使わせるべきか、使わせないべきか」という単純な二択ではない。アクセスが少なすぎれば、欧州の銀行や監督当局は重要な防御技術を遠くから眺めるだけになりかねない。逆に、アクセスを広げすぎたり、管理が甘かったりすれば、当局が警戒している能力そのものを拡散させることになる[7][
18][
26]。
考え得る道は複数ある。選ばれた金融機関に限定して直接テストを認める方法、Anthropicが銀行システムを検査する方法、監督当局を交えた共同検証、あるいは確認済みの脆弱性だけを対象銀行に伝える仕組みなどだ。ただし、こうした具体的な制度はまだ公に確認されていない。現時点で報じられているのは、協議、検証の可能性、そして未確定のアクセス経路である[17][
27][
3]。
結論
欧州がAnthropicのMythosに求めているのは、無制限の公開ではなく、管理された検証機会だ。銀行にとっては、脆弱性を早期に見つけて守りを固める道具になり得る。監督当局にとっては、同じ能力が攻撃を速め、悪用を容易にする危険をはらむ[7][
18][
26]。
だからこそ、焦点はモデルそのものの性能だけではなく、アクセスの仕組みに移っている。欧州は見えないままではいられない。しかし、防御のための技術が新たなリスクの震源にならないよう、誰が、どこまで、どの条件で使えるのかを詰める必要がある。
