AnthropicのClaude Mythosは、主要な全OSとWebブラウザにわたり未知の脆弱性(ゼロデイ)を自律的に数千件発見し、悪用コードの作成まで成功。これは意図的な訓練ではなく、コード推論能力の向上に伴い偶発的に出現した「創発的能力」である[1][4][34][40]。 複数回Pwn2Ownを制した伝説的ハッカー、Valentina ‘Chompie’ Palmiotti氏は、Claude Mythosの登場により「人間のハッカーが太刀打ちできなくなる日が来る」「今回のPwn2Ownが最後の出場だと思った」と警鐘を鳴らす[3][4][9]。

Create a landscape editorial hero image for this Studio Global article: What did champion ethical hacker Chompie warn about AI tools like Anthropic's Claude Mythos, what capabilities has Mythos demonstrated in au. Article summary: Here is a comprehensive answer based on the available reporting.. Topic tags: general, general web, user generated, government. Reference image context from search candidates: Reference image 1: visual subject "# Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems. Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called *" source context "Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems" Reference image 2: visual subject "# Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems. Artificial Intelligence (AI) company Anthropic announced a
2026年5月、Pwn2Ownで複数回の優勝を誇るIBM X-Forceのセキュリティ研究者、ヴァレンティナ・"チョンピー"・パルミオッティ氏は、BBCの取材に対し、自らの業界に衝撃的な警告を発しました。AnthropicのAI「Claude Mythos(クロード・ミュートス)」はあまりにも急速に進化しており、世界最高の倫理的ハッカー(脆弱性を悪用せず報告する専門家)でさえ、もはや太刀打ちできなくなるかもしれない、というのです。
「今年もPwn2Ownに参加したのは、これが最後のチャンスになるかもしれないと思ったからです」と彼女は語り、その発言は、サイバーセキュリティ業界全体に広がるある恐怖を決定的なものにしました。それは、「人間が脆弱性ハンティングを支配する時代の終焉」です 。
その不安の根源は、一つの具体的なモデルにあります。2026年4月、Anthropicが発表した汎用AI「Claude Mythos Preview」は、そのコード生成能力と推論能力の全般的な向上が、意図せざる形で、世界最高水準の攻撃能力を生み出してしまったのです。本稿では、Mythosが実際に何ができるのか、なぜ前例のないアクセス制限の背後に隠されているのか、そして「1つのプロンプトが数分でレッドチーム(攻撃者視点で脆弱性を探すチーム)の仕事を終わらせる」世界で、人間のバグハンターに居場所は残されているのかを検証します。
パルミオッティ氏はAI懐疑派ではありません。彼女はすでに、バグ報奨金プログラム(システムの脆弱性を発見し報告することで報酬を得る仕組み)での効率を高めるために、Claude CodeのようなAIツールを日常的に活用しています 。しかし、Claude Mythosの登場は、次元の異なるゲームチェンジです。
BBCやMoneycontrolなどのメディアに対し、彼女は、技術の進化スピードがあまりに速く、人間のトップタレントでさえ非競争的になりうると説明しました。彼女は、Pwn2OwnのようなハッキングコンテストがAIによって陳腐化する可能性を予測しています。なぜなら、どんなに熟練した個人でも、Mythosのようなシステムが持つ生の速度、規模、自律性には敵わないからです 。
彼女の警告で重要なのは、AIがすべてのセキュリティ研究者を瞬時に置き換える、と述べているわけではない点です。彼女が指摘するのは、AIがある「能力の閾値」を超えつつあることで、最も危険な脆弱性を最初に見つけるのが「誰か(人間か)」から「何か(機械か)」へと、そのゲームの経済的構造そのものが変容しようとしている、という点です。その変化の先に待つのは、機械が主役の世界だと彼女は論じています 。
Claude Mythos Previewは、サイバーセキュリティ専用の狭いツールではありません。これは、AnthropicのClaudeシリーズの次世代を担う汎用言語モデルです。ハッカーになるように特別に訓練されたわけではありません。しかし、その能力が評価されたとき、その結果は開発者自身さえも震撼させました 。
Anthropicは、Mythos Previewが主要なすべてのOSとWebブラウザにわたり、重大度の高い脆弱性を自律的に数千件発見したことを認めています。これは、人間の研究者が誰一人として未発見だった「ゼロデイ」脆弱性を含みます 。ある報告書は、このAIがわずか21分間で303ページにも及ぶ脆弱性の調査結果を生成したと伝えています
。
これまでのAIモデルは、脆弱性を「発見」できても、それを動作するエクスプロイト(悪用コード)として「構築」することはほとんど不可能でした。しかし、FirefoxのJavaScriptエンジンにある既知の脆弱性から、実際にシェルを奪取する悪用コードを作成するベンチマークテストで、Mythos Previewは181回の成功を収めました。Anthropicのこれまでの最高モデルであるClaude Opus 4.6の成功率がほぼゼロだったことを考えると、これは漸進的な改善などではなく、ある種の能力の壁を突破したことを意味します 。これは単なる改善ではなく、一線を越えた証拠です
。
Mythosは、ソースコードが非公開の商用ソフトウェアや、人間が読めるデバッグ情報が削除された状態のプログラム(ストリップド・バイナリ)を解析できます。生の機械語コードを精査し、プログラムがどのように機能するかを理解した上で、ソースコードなしでは発見が困難な脆弱性を炙り出すのです 。
研究者たちが行ったのは、単純な環境設定です。対象のコードベースを仮想的な容器(コンテナ)に隔離し、Mythos Previewを実行するClaude Codeを起動し、「脆弱性を探せ」という短い一段落の指示を与えるだけ。すると、モデルは未知のセキュリティホールを自律的に特定し、その場で悪用コードを作成し始めたのです 。英国のAIセキュリティ研究所(AISI)も独自に評価を行い、Mythosの高度なサイバー能力を確認しています
。
Anthropicが明確に示したのは、このモデルの攻撃的なサイバー能力は、意図的に訓練されたものではないという衝撃の事実です。これらは「コード、推論、自律性に関する全般的な改善の副次的結果として創発(自然発生)した」ものです 。脆弱性を修正(パッチ)する能力を高めるために施した改善が、同時に、それを悪用する能力も完璧に高めてしまったのです。これは、ガバナンスにとって極めて重い意味を持ちます。攻撃能力が「全般的な推論能力」の創発的特性だとするならば、今後さらに高性能なモデルが登場した場合、その知能を根本的に制限しない限り、安全を保つことは原理的に不可能になるかもしれないのです
。
2026年4月、AnthropicはClaude Mythos Previewを発表するにあたり、主要なAIラボがこれまで経験したことのない行動に出ました。それは、自社の最も強力なモデルを発表するのと同時に、一般の人々は利用できないと告知したことです 。
同社が創設したのが「プロジェクト・グラスウイング(Project Glasswing)」です。これは、厳格に審査された約50の組織にのみMythos Previewへのアクセスを制限するプログラムです。対象には、Apple、Amazon Web Services、Microsoft、Google、Cisco、CrowdStrike、Broadcom、Palo Alto Networks、Nvidiaといった巨大テクノロジー企業に加え、JPモルガン・チェースのような重要インフラ事業者、さらに米国家安全保障局(NSA)を含む米政府機関が名を連ねています 。この戦略の狙いは、世界で最も重要なソフトウェアを先に堅牢化し、防御側に「時間的なアドバンテージ」を与えることにあります。同様の、あるいはさらに高性能な攻撃的AIが拡散するのは、もはや時間の問題だからです
。
Anthropicの論理は明快です。このモデルは、あまりにも危険すぎて広く公開できない。同社はMythosが「現在、サイバー能力において他のどのAIモデルよりもはるかに先行している」こと、そしてそれが「防御側の努力をはるかに凌駕する方法で脆弱性を悪用できる、次のモデルの波の到来を予告するものだ」と認めています 。悪意ある者の手に渡れば、電力網、病院、金融システムへの協調的なサイバー攻撃を指揮することも可能になるのです
。
事態は、Anthropicがアクセス権を約50組織から120組織へ拡大することを提案したときに急変しました。それを阻止したのがホワイトハウスです。これは、特定の法律や規制ではなく、純粋に政策判断に基づいて、米国政府が商用AIモデルの展開を制限した史上初の事例となりました 。政府高官らは、このモデルが敵対国の手に渡る恐れや、Anthropicが連邦政府向けのサービス品質を低下させることなく拡大されたユーザー群に対応できるだけの計算能力を持っているのか疑問視する声を、阻止の理由として挙げています
。
一方で、米国防総省は、OpenAI、Google、Microsoft、AWS、Nvidia、SpaceX、Oracle、xAIの8社と機密ネットワーク上のAIパートナーシップを締結したと発表しましたが、そのリストからAnthropicだけが意図的に除外されています。これはAnthropicと米国防当局との間の緊張の高まりを如実に示すものです 。
現時点では、Mythosは依然として厳重な扉の向こう側にあります。こうした中、2026年5月、日本の三菱UFJ、三井住友、みずほの三大メガバンクがMythosへのアクセス権を獲得。日本は米国外として初めて、このモデルを「防御目的」で使用する国の一つとなりました 。
Claude Mythosの到来は、サイバーセキュリティ業界に一つの切迫した哲学的議論を引き起こしています。人間の脆弱性研究者に存続可能な未来はあるのか、それとも終わりの始まりを目撃しているのか。
1. AIは人間を「強化」するが、まだ「置き換え」ない。 パルミオッティ氏自身が、Claude Codeを自らの効率向上に使いつつ、文脈理解や創造的な推論は依然として人間のスキルに依存しています。多くの研究者が、ハイレベルな戦略策定、システムの目的やビジネスロジックの理解、そしてモデルには未だ模倣できない「連鎖的な攻撃シナリオ」の創造的推論には、人間の専門知識が欠かせないと主張しています 。
2. アクセス制限が人間の役割を守っている(今のところは)。 Mythosは約50組織という限られた範囲に封じ込められています。圧倒的多数のバグ報奨金プログラム、侵入テスト、脆弱性評価は、未だに、はるかに非力なツールを使う人間の研究者によって行われています。これが最前線の景色を変えつつあるのは確かですが、既存の巨大な業界を即座に溶解させるものではありません 。
3. 未知の領域と人間の「判断力」。 人間は、ビジネスロジックの欠陥を発見したり、人の心理をつくソーシャルエンジニアリング評価を実施したり、そして現在のAIモデルが見落としたり誤って解釈する可能性がある、文脈に基づいたリスク判断を提供する上で、依然として優位性を保っています。AIが技術的に悪用可能なバッファオーバーフローを発見したとしても、その脆弱性がビジネスの文脈で「実際に意味を持つかどうか」を判断できるのは、人間の研究者なのです 。
1. 人間を超越した生の速度と規模。 Mythosは、コードベース全体を取り込み、数分で脆弱性を発見し、エクスプロイトを作成できます。これは、熟練した人間のチームが数週間から数か月かける作業です。あるメディアは、Mythosが主要な全OSにわたり未知の脆弱性を同時に数千件発見したことを受け、「地球上のほぼすべてのコンピュータに侵入できるAI」と表現しました 。
2. 人間のエリートコンテストが、AIのお披露目の場に変わる。 パルミオッティ氏がPwn2Ownのようなハッキングコンテストが陳腐化するかもしれないと予測したのは、単なる感情論ではなく、構造的な変化を見据えてのことです。複数のエリートチームが必要とするような脆弱性を、たった一つのモデルが発見し、連鎖(チェーン化)できるのであれば、脆弱性探索をめぐる経済原理が根本から変わるのは必然です 。
3. 圧倒的なコスト効率と優位性。 単一のAIシステムは、数百万行のコードをスキャンし、小さな脆弱性同士を結びつけて重大なエクスプロイトチェーンを構築し、どんな人間も維持できない規模で活動できます。これは、人間が無能だからではなく、単純に「量」で太刀打ちできなくなったがゆえに、脆弱性発見の可能性そのものを根本的に変えてしまうのです 。
この議論は、綺麗に決着がつくものではないでしょう。より現実的な近未来像は、おそらく二極化です。一つは、Mythosのようなツールを使いこなし、政府や企業の厳格な審査の下で活動する「内側のサークル」に属するAI増強型ディフェンダーたち。もう一つは、圧倒的多数のセキュリティ業務が依然として頑なに人間の手作業に依存する「外側の広大なサークル」。ただ、その二つのサークルの距離は、今、急速に縮まりつつあります。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
AnthropicのClaude Mythosは、主要な全OSとWebブラウザにわたり未知の脆弱性(ゼロデイ)を自律的に数千件発見し、悪用コードの作成まで成功。これは意図的な訓練ではなく、コード推論能力の向上に伴い偶発的に出現した「創発的能力」である[1][4][34][40]。
AnthropicのClaude Mythosは、主要な全OSとWebブラウザにわたり未知の脆弱性(ゼロデイ)を自律的に数千件発見し、悪用コードの作成まで成功。これは意図的な訓練ではなく、コード推論能力の向上に伴い偶発的に出現した「創発的能力」である[1][4][34][40]。 複数回Pwn2Ownを制した伝説的ハッカー、Valentina ‘Chompie’ Palmiotti氏は、Claude Mythosの登場により「人間のハッカーが太刀打ちできなくなる日が来る」「今回のPwn2Ownが最後の出場だと思った」と警鐘を鳴らす[3][4][9]。
悪用リスクの高さから、Mythosへのアクセスは日本政府が認可した三菱UFJ、三井住友、みずほのメガバンク3行を含む世界で約50組織に限定。ホワイトハウスはアクセス拡大を前例のない形で阻止し、AIの軍事転用をめぐる地政学的緊張も浮き彫りにしている[20][22][29]。