Cloudflareの検証で、AnthropicのAI「Claude Mythos Preview」は複数の軽微なソフトウェアバグを組み合わせ、実際に成立するエクスプロイトチェーンを構築できることが確認された。[6][13] AIは脆弱性を見つけるだけでなく、PoC(概念実証)コードを書き、コンパイル・実行し、結果を見て試行を繰り返すなど、実際の攻撃検証に近い作業を自動化できた。[9][17] 一方で誤検出や安全制御の不安定さも見られ、強力な防御ツールになり得る一方で攻撃側にも利用される“デュアルユース”のリスクが指摘されている。[3][6]

Create a landscape editorial hero image for this Studio Global article: What did Cloudflare find when testing Anthropic’s Claude Mythos Preview on more than 50 internal and open-source code repositories, specific. Article summary: Cloudflare tested Mythos Preview as part of Project Glasswing against more than 50 of its own internal and open-source code repositories.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Claude Mythos: Benchmark-Dominating AI with Real Risks. Claude Mythos Preview is Anthropic’s most powerful AI yet, outperforming benchmarks and uncovering critical vulnerabilitie" source context "Claude Mythos: Benchmark-Dominating AI with Real Risks" Reference image 2: visual subject "Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called **Project Gla
Cloudflareのセキュリティチームは、Anthropicが開発したサイバーセキュリティ研究向けAIモデル 「Claude Mythos Preview」 を評価する実験を行いました。テストはAnthropicの限定プログラム Project Glasswing の一環として実施され、50以上の社内およびオープンソースのコードリポジトリが対象となりました。結果として、このAIは単に脆弱性を見つけるだけでなく、複数のバグを連鎖させて実際に機能する攻撃経路を構築し、PoCコードまで自動生成できることが確認されました。
同時に、誤検出や安全制御のばらつきなど、AIをセキュリティ用途に本格導入するうえでの課題も浮き彫りになりました。
従来の自動セキュリティツールの多くは、個別のバグや脆弱性を検出することが主な役割です。しかしCloudflareのテストでは、Mythosはさらに踏み込んだ挙動を見せました。
コードベースを分析する中でAIは次のような推論を行いました。
つまり、脆弱性を単独の問題として扱うのではなく、攻撃者がどのように組み合わせて悪用するかまで推論できたということです。
この挙動はCloudflareのランタイムシステム、エッジデータパス、プロトコルコード、コントロールプレーン、そしてオープンソースプロジェクトなど、複数の環境で確認されました。
通常、このレベルの攻撃シナリオ構築は経験豊富なセキュリティ研究者が行う作業とされています。
もう一つ注目されたのが、PoCエクスプロイトの自動生成能力です。
Cloudflareの観察によると、Mythosは次のようなプロセスを自律的に進めることができました。
このような反復プロセスにより、AIは単なる脆弱性の指摘から、実際に悪用可能かどうかを検証する段階まで自動化しました。
セキュリティ現場では、PoCを作ることで「本当に攻撃可能なバグか」を判断できます。この工程が自動化されると、脆弱性の優先順位付けや修正判断が大幅に効率化される可能性があります。
Anthropic自身の説明でも、Mythos Previewは以下のような能力を示したとされています。
このことから、Mythosは一般的なコーディング支援モデルではなく、構造的な脆弱性分析と攻撃ロジックの推論に特化した設計になっていると見られます。
ただし、Cloudflareのテストでは問題点も確認されました。
AIは時に実際には悪用できない脆弱性を報告することがありました。特にCやC++のようなメモリ安全でない言語で書かれたプロジェクトでは誤検出が増える傾向が見られ、人間による検証が依然として必要です。
安全対策として組み込まれている拒否機能も、挙動にばらつきがありました。
これは、強力なセキュリティ研究能力と悪用防止のガードレールを両立させる難しさを示しています。
今回の結果は、AIが脆弱性研究のあり方を変える可能性を示しています。
防御側にとっては、こうしたAIは次のような利点をもたらします。
しかし同じ能力は、攻撃者にとっても魅力的です。もし同様のモデルが広く利用できるようになれば、バグ発見から実際の攻撃コード生成までのハードルが大きく下がる可能性があります。
Cloudflareはこの結果から、単にパッチを速く適用するだけでは不十分になる可能性があると指摘しています。AIによる高速な脆弱性発見を前提とした、新しいセキュリティアーキテクチャが必要になるかもしれません。
Claude Mythos Previewは典型的なデュアルユース技術の例です。
このリスクのため、Mythos Previewは現在一般公開されておらず、Project Glasswingを通じて一部の企業や組織に限定提供されています。
Cloudflareのテストが示したのは、AIが単なるコード補助を超え、脆弱性発見からエクスプロイト構築までを一貫して推論できる段階に近づいているという現実です。これは今後のサイバー防御と攻撃の両方に大きな影響を与える可能性があります。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Cloudflareの検証で、AnthropicのAI「Claude Mythos Preview」は複数の軽微なソフトウェアバグを組み合わせ、実際に成立するエクスプロイトチェーンを構築できることが確認された。[6][13]
Cloudflareの検証で、AnthropicのAI「Claude Mythos Preview」は複数の軽微なソフトウェアバグを組み合わせ、実際に成立するエクスプロイトチェーンを構築できることが確認された。[6][13] AIは脆弱性を見つけるだけでなく、PoC(概念実証)コードを書き、コンパイル・実行し、結果を見て試行を繰り返すなど、実際の攻撃検証に近い作業を自動化できた。[9][17]
一方で誤検出や安全制御の不安定さも見られ、強力な防御ツールになり得る一方で攻撃側にも利用される“デュアルユース”のリスクが指摘されている。[3][6]