Anthropicはサイバーセキュリティ特化モデル「Claude Mythos Preview」を発表しました。Project Glasswingと名付けられた構想の下で開発されたこのモデルは、27年前のOpenBSDの未修正バグや16年前のFFMpegの欠陥を含む数千件のゼロデイ脆弱性を発見しましたが、悪用リスクの高さを理由に一般公開は見送られ、AWS・Apple・Google・Microsoftなど50の限定組織にのみ提供されます。
Claude Mythosが見つけた脆弱性の多くは、単体では深刻度が低くても複数を組み合わせることで致命的な攻撃を可能にする「脆弱性連鎖」タイプのものです。主要OS・ブラウザのほぼ全ての実装に影響が及ぶとされており、Hacker Newsでは「数億台の組み込みデバイスはアップグレード不可能であり、パッチ適用できない脆弱バイナリが永遠に動き続ける。脆弱性連鎖の容易さは問題を新次元に押し上げる」という実務的懸念が最上位コメントを占めました。Anthropicが一般公開を避けた判断の背景には、こうした「修正が間に合わない」デバイス群への現実的な懸念があったとみられます。
一方でReddit(r/netsec)では、Anthropicがリリースした250ページに及ぶ報告書のうち「20ページ以上がモデルの哲学的嗜好について語っており、安全性の主張と意識論の混在に懐疑的」という批判的分析が注目を集めました。Anthropicが自社モデルの「意識」に関する記述を安全性報告に含めた点が、研究者の間で論争を呼んでいます。
X(旧Twitter)では、CounterPunchやForeign Policyの「AIがサイバー攻撃の主権概念を変える」という論考が安全保障研究者の間で大量にリポストされました。中国語圏では「西側の主要なセキュリティ組織と非公開共有する行為自体が地政学的懸念だ」という反応も広まっており、Mythosの知見がどの国・組織の手に渡るのかという問いは、純粋な技術的議論を超えた外交問題にもなりつつあります。
今後、同様のAIセキュリティモデルが各国政府・軍事機関に普及した場合、既存の脆弱性開示(CVE)プロセスや国際的なルール体制では対応しきれない局面が来る可能性があります。Claude Mythosは「AIがセキュリティを守る」ツールであると同時に、その力をどこが独占するかという問いを社会に突きつけた存在とも言えます。