Anthropic、未公開モデル「Claude Mythos」が主要OSとブラウザのゼロデイ脆弱性を大量発見 — Project Glasswingを始動

概要

Anthropic は 2026 年 4 月、未公開のフロンティアモデル「Claude Mythos Preview」を使って主要なオペレーティングシステム（OS）およびウェブブラウザ全般にわたる数千件のゼロデイ脆弱性を発見したと発表した。サイバー攻撃への悪用リスクが高いとして一般公開を見送り、代わりに Amazon・Apple・Broadcom・Cisco・CrowdStrike・Google・JPMorgan Chase・Linux Foundation・Microsoft・NVIDIA・Palo Alto Networks など大手テック企業が参加する「Project Glasswing」コンソーシアムを通じた脆弱性修正支援プログラムを開始した。

※本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。

事実のポイント

• Claude Mythos Preview は主要 OS とブラウザ全般の「数千件」のゼロデイ脆弱性を発見
• 発見された脆弱性の中には 27 年前から存在していた OpenBSD のバグも含まれる
• NFS を実行するマシンで root 権限を取得できる FreeBSD の 17 年前からのリモートコード実行脆弱性を完全自律で特定・悪用実証
• Anthropic は同モデルを「一般公開するには危険すぎる」として非公開とした
• Project Glasswing コンソーシアムに参加する組織（Amazon AWS・Apple・Broadcom・Cisco・CrowdStrike・Google・JPMorgan Chase・Linux Foundation・Microsoft・NVIDIA・Palo Alto Networks 等）に限定的なアクセスを提供
• 英国 AI Security Institute（AISI）がサイバー能力の独立評価を実施済み
• UK AISI は「フロンティアモデルのサイバー攻撃能力が 4 カ月ごとに倍増している」と推計

用語・背景の補足

ゼロデイ脆弱性 とは、ソフトウェアの開発者・ベンダーが把握していない未知の欠陥。悪意ある攻撃者が先に発見した場合、パッチが存在しない状態で攻撃（ゼロデイ攻撃）が成立してしまう。

フロンティアモデル とは、現時点で最高水準の能力を持つ AI モデルの総称。Anthropic の Claude Mythos はこのカテゴリに属するが、危険性を理由に一般公開されていない。

Project Glasswing はAnthropicが立ち上げた業界横断の脆弱性発見・修正プログラム。Anthropic が AI で脆弱性を発見し、参加企業が自社製品の修正に取り組む構造。「守る側が AI を使う」という防御的活用の事例。

解説

Claude Mythos の事例は「AI モデルが人間の最優秀なセキュリティ研究者を超える脆弱性発見能力を持つ段階に達した」ことを公式に示した最初の大規模ケースとして注目される。ポジティブな側面（防御への応用）と懸念（悪用リスク）の両面があり、非公開という判断はその倫理的緊張の反映だ。

同時に、英国 AISI による独立評価の実施は、政府機関が最先端 AI モデルのサイバー能力を定期的に検証するモデルとして注目されており、今後の AI 規制の土台になりうる。

注意点

• Claude Mythos Preview は一般利用不可であり、本記事は公開情報の範囲でのサマリ
• 脆弱性の詳細は非公開のため、技術的な詳細には言及できない
• Project Glasswing 参加企業以外の組織は公式チャネルで情報を確認すること

編集部見解

（追記予定）