AnthropicのAIモデル「Claude Mythos」が、主要OS・ブラウザに潜む数千件のゼロデイ脆弱性を発見し、83%以上のケースで動作するエクスプロイトを初回から生成できることが明らかになりました。その能力の高さから、Anthropicは「Project Glasswing」を発動し、Apple・Amazon・JPMorgan Chase・Palo Alto Networksなど12社のみへの限定リリースという異例の措置を取っています。
Claude Mythosが示した最も衝撃的な事例の一つが、Firefoxに存在していた271件の脆弱性の発見です。これらは最長15年にわたって誰にも気づかれることなくコードの中に潜んでいたものとされており、従来の手動・自動のセキュリティ審査がいかに見落としを生んでいたかを浮き彫りにしました。SecurityWeekによると、MythosはOSやブラウザの仕様を深く理解した上で、人間のセキュリティ研究者が見落としがちな構造的な欠陥を体系的に探索できるとされています。
Anthropicがリリースを12社に限定したのは、この能力が攻撃者の手に渡れば既存のセキュリティツールをすべて陳腐化させるリスクがあるという判断からです。防御側に先にアクセスを与えるという戦略は一定の評価を受けていますが、X(旧Twitter)では「12社限定では不十分——漏洩リスクは消えない」という懸念の声も根強くあります。Hacker Newsではこの動きを「脆弱性発見のパラダイムシフト」と位置づけながら、閉鎖的なリリース体制の限界を現実的に指摘する議論がトップを占めました。
Claude Mythosの登場は政策面にも波紋を広げています。これまでAI規制に慎重だったトランプ政権が、Mythosのサイバーセキュリティ能力を受けてAI規制姿勢の見直しを検討しているとされています。r/netsecでは「セキュリティ研究者の仕事が根本的に変わる」と予測する声が多く、AIによる脆弱性スキャンが防御と攻撃の両面で産業標準になる未来が議論されています。
Mythosが実際に安全性を高める方向で使われるのか、それとも新たな攻撃の道具になるのか——その答えは、12社のうちのどこかから情報が漏れる前に、どれだけ早く防御インフラが強化されるかにかかっています。