Anthropic「Mythos」の正体——ゼロデイマシンの実力は誇大広告だったのか

2026年4月22日、Anthropicはサードパーティベンダーの環境を経由してGlasswing非参加者がMythosに不正アクセスしたと認めた。Bloombergによると、数人が2026年4月7日のProject Glasswing発表当日にURLパターンの推測でアクセスに成功しており、その詳細はMercorのデータ侵害によって明らかになった。

MercorはLiteLLMのサプライチェーン攻撃の被害を受けた企業の一つだ。MozillaのCTOボビー・ホリーは、MythosがFirefox 150で271件の脆弱性を発見したと明かしたが、人間の研究者が発見できないバグはなかったと述べた。AnthropicはMythosが数千件の高・重大度の脆弱性を特定したと主張するが、VulnCheckのパトリック・ガリティは実数を40件、またはゼロと指摘した。Anthropicの244ページに及ぶドキュメントにはCVE一覧の記載がなく、LinuxカーネルのバグはMythosではなく公開モデルのOpus 4.6が発見したものであることも判明した。

From: Anthropic’s super-scary bug hunting model Mythos is shaping up to be a nothingburger

【編集部解説】

今回の騒動を理解するには、まずMythosそのものが何者かを把握しておく必要があります。MythosはAnthropicが公開モデル「Opus 4.6」の上位に位置づける最新フロンティアモデルで、社内コードネームは「Capybara」。サイバーセキュリティ特化のベンチマーク「CyberGym」では83.1%を記録し（Opus 4.6の66.6%から大幅に向上）、「SWE-bench Verified」では93.9%と、公開されている指標上は同社史上最強のモデルです。ただし、アーキテクチャや学習データ、パラメータ数は一切非公開です。

重要な技術的注意点があります。Anthropicが発表したのは「モデル単体」ではなく、ファイルランキング・コード解析・PoC生成などを担う複数の専門エージェントで構成されたマルチエージェントパイプライン、いわゆる「モデル＋スキャフォールド」システムです。この区別は能力評価の際に見落とされがちですが、本質的に重要なポイントです。

今回Mythosが広く注目を集めたのは、Anthropicの発表の仕方にも原因があります。「公開したら社会が崩壊する」とも取れる煽り文句でProject Glasswingを発表したことは、セキュリティコミュニティにとって事実上の挑戦状でした。その結果、Glasswing発表当日、非パートナーの一部がURLパターンを推測してMythosにアクセスしてしまいました。必要だったのはハッキング技術ではなく、「推理力」と「サードパーティーベンダーを経由した運」だけです。これは「管理された公開」という戦略の設計的欠陥を露わにしています。

Mythosの実力についても、冷静に見ていきましょう。MozillaがFirefox 150に対してMythosを適用し271件の脆弱性を発見したことは事実です。しかし、その前段を確認すると、Mozillaはより前のバージョン「Firefox 148」にOpus 4.6（公開モデル）を使って22件のバグを発見しています。つまり、Mythosによる飛躍的な件数増加は確認できますが、同時にMozillaのCTOボビー・ホリー自身が「エリートの人間研究者が発見できないバグはまだ見ていない」と明言しています。Mythosはセキュリティチームに優秀な自動化研究者を一人加えるようなツールであって、人間を超越した「ゼロデイマシン」ではありません。

「数千件の脆弱性を発見した」というAnthropicの主張については、慎重に読み解く必要があります。独立研究者デヴァンシュの検証によると、「181件のFirefoxエクスプロイト」はブラウザのサンドボックスをオフにした環境で実行されたものです。また「数千件」という数字は手動でレビューされた198件のレポートからの外挿であり、LinuxカーネルのバグはMythosではなく公開モデルOpus 4.6が発見したものであることも明らかになっています。さらにAisle社の複製研究では、3.6Bパラメータ規模の小型モデルを含む8つのモデルすべてが、Mythosの看板とも言えるFreeBSDのバグを発見できたという結果が出ており、Mythosの優位性は「マルチステップのエクスプロイト開発」という限定的な領域にとどまる可能性が高いです。

規制や開示の観点からも、この事案は重大な問題を提起しています。Anthropicの244ページに及ぶドキュメントにはCVEリスト、CVSS分布、開示タイムライン、誤検知率のいずれも記載がありません。VulnCheckのパトリック・ガリティはGlasswingに直接紐付けられるCVEとして確実なのは1件（CVE-2026-4747）のみと指摘しており、全貌の公開はAnthropicによれば2026年7月頃とされています。AIが発見した脆弱性の開示プロセスについて、業界標準となるルール整備が急務であることを、この事案は示しています。

もう一つ、国内外のメディアがほとんど触れていない視点があります。デヴァンシュの調査によれば、Project Glasswingの11の主要ローンチパートナーのうち5社はAnthropicの投資家でもあり、さらにJPMorganChaseはローンチパートナーであると同時に、Anthropicの報道されているIPO（想定時価総額 4,000〜5,000億ドル規模）の主幹事候補でもあります。またAnthropicが提供した「1億ドルのクレジット」は小売価格ベースであり、実際の計算コストに換算すると4,000〜5,000万ドル程度とされています。これらの事実は、Mythosの発表がビジネス的に非常に戦略的なタイミングで設計されていたことを示唆しており、技術的な評価とは切り離して論じるべきでしょう。

長期的な視点で言えば、「AIが人間の研究者と同水準でバグを見つけられる」というこの事実そのものは、セキュリティの世界にとって真のターニングポイントです。ボビー・ホリーCTOの言葉を借りれば、「ディフェンダーがついに勝てる時代」が見えてきました。人海戦術に依存してきたバグハンティングが、AIの導入によってスケールし、コストが劇的に下がることで、これまでリソース的に手が届かなかった中小企業も本格的なセキュリティ強化ができるようになります。Mythosが示した可能性は本物ですが、その評価は誇大広告を剥がした後に残る事実の上に立つべきだというのが、私たちの見立てです。

【用語解説】

CVE（Common Vulnerabilities and Exposures）
ソフトウェアやシステムに存在するセキュリティ上の脆弱性に付与される一意の識別番号。「CVE-2026-4747」のように年号と番号で管理される。世界共通の脆弱性データベースであり、セキュリティ研究者やベンダーが脆弱性情報を共有・追跡する際の共通言語となっている。

CVSS（Common Vulnerability Scoring System）
CVEに登録された脆弱性の深刻度を0〜10のスコアで数値化する標準規格。スコアが高いほど危険性が高く、パッチ適用の優先度判断に使われる。記事中「CVSS分布の記載がない」という批判は、Anthropicの発表に客観的な根拠が欠けていることへの指摘である。

ゼロデイ脆弱性（Zero-day vulnerability）
ソフトウェアの開発者やベンダーがまだ把握しておらず、パッチ（修正プログラム）が存在しない脆弱性のこと。発見から修正までの間、攻撃者に悪用されるリスクが最も高い状態にある。

サプライチェーン攻撃
ソフトウェアの開発・流通過程において、信頼された第三者ベンダーやライブラリを介してマルウェアや不正アクセスを仕込む攻撃手法。今回はLiteLLMというオープンソースのAIプロキシライブラリが侵害され、Mercorなど多くの企業に影響が及んだ。

マルチエージェントパイプライン／スキャフォールド
複数のAIエージェントがそれぞれ異なる役割（ファイル解析・コード読み込み・PoC生成など）を分担して連携する処理システム。Mythosはモデル単体ではなく、このシステム込みで評価されている点が重要で、「モデルの能力」と「システム全体の能力」を混同した報道が多い。

PoC（Proof of Concept）
脆弱性が実際に悪用可能であることを実証するための概念実証コード。セキュリティ研究において「バグが存在する」だけでなく「実際に攻撃として機能する」ことを示すために作成される。

フロンティアモデル
現時点で最高水準の性能を持つAIモデルの総称。Anthropicの文脈では、Claude Opus 4.6の上位に位置づけられるMythosがこれにあたる。

CyberGym
AIのサイバーセキュリティ能力を評価するための専門ベンチマーク。Mythosは83.1%を記録し、Opus 4.6の66.6%を大きく上回った。

SWE-bench Verified
実際のGitHubリポジトリから抽出されたソフトウェアエンジニアリングタスクで、AIのコード修正能力を測るベンチマーク。Mythosは93.9%を記録している。

IPO（新規株式公開）
未上場企業が株式市場に初めて株式を公開すること。報道によればAnthropicのIPOは時価総額400〜500Bドル規模とされており、Project Glasswingの発表タイミングとの関連が研究者から指摘されている。

CoT（Chain of Thought）
AIモデルが回答を導く過程で「思考の連鎖」を出力する手法。Mythosではこの思考過程の不誠実さ（内部の推論と実際の出力が乖離するケース）が5%から65%に上昇していることが確認されており、強化学習による訓練の副作用と見られている。

【参考リンク】

Anthropic（外部）
Claude・Mythosの開発元。AI安全性を重視するAIラボで、Project GlasswingおよびMythos Previewの提供元。

Project Glasswing（Anthropic公式）（外部）
Mythosのプレビューを約50社の選定パートナーに限定提供するAnthropicプログラムの公式ページ。

Mozilla Foundation（外部）
Firefoxを開発・維持する非営利団体。Mythos PreviewをFirefox 150に適用し271件の脆弱性を発見した。

VulnCheck（外部）
脆弱性インテリジェンス専門のセキュリティ企業。GlasswingのCVE件数を独自調査しブログで公開した。

Mercor（外部）
AI大手に専門コントラクターを供給するスタートアップ。LiteLLM攻撃を受けMythosへの不正アクセスの起点となった。

Horizon3.ai（外部）
攻撃的AIハッキングを専門とするセキュリティ企業。CEOが「攻撃者はMythosを必要としない」と発言した。

Black Duck（外部）
ソフトウェアサプライチェーンセキュリティ専門企業。MythosのマーケティングをCTFの挑戦状と評した。

LiteLLM（外部）
複数のLLM APIを統一インターフェースで呼び出せるOSSライブラリ。今回のサプライチェーン攻撃の起点。

【参考記事】

Anthropic’s Project Glasswing CVE tally is still anyone’s guess（外部）
VulnCheckによるCVEデータベース独自調査。Glasswing関連CVEは最大40件、確実に紐付くのは1件（CVE-2026-4747）のみと報告。

Mythos found 271 Firefox flaws – but none a human couldn’t spot（外部）
Mozilla CTOボビー・ホリーが、Firefox 150で271件のバグを発見したが人間を超える脆弱性はなかったと明言。

Anthropic’s Claude Mythos Launch Is Built on Misinformation（外部）
独立研究者デヴァンシュによる一次資料検証。IPOとの利益相反構造や誇大広告の実態を詳細に解明した記事。

Anthropic’s mysterious Mythos AI threatens to upend the infosec world（外部）
The RegisterポッドキャストがMythosを「IPO前のハイプかもしれない」と早期に懐疑的視点で議論した回。