Anthropicの新モデル（Mythos）が突きつけた、AIネイティブなセキュリティのパラダイムシフト

2026年4月に発表されたAnthropicの Claude Mythos Preview を巡る一連の動きは、これまでのモデル進化とは明らかに性質が異なります。

今回の一連の発表で明らかになったのは、AIが「便利なツール」の段階を超え、サイバーセキュリティにおける「攻防のタイムライン」を劇的に圧縮し、これまでの防御の前提を根底から崩し始めている という事実です。

Anthropicは、Mythos Preview が「主要なOSや主要なWebブラウザ、その他重要ソフトウェアにまたがる多数の重大な脆弱性」を発見したと説明し、一般公開を見送りつつ、防御目的の限定的な枠組みとして Project Glasswing を開始しました。

さらに英国のAI Security Institute（AISI）は、このモデルが 32段階の企業ネットワーク攻撃シミュレーション を最後まで完遂した初のモデルだと報告しています。

ここで問われているのは、攻撃と防御のリードタイムが消失しつつある中で、防御側はどう動くべきか という、きわめて実務的な戦略転換です。

---

まず起きたことを、事実ベースで整理する

今回の事態は非常にセンセーショナルですが、まずは公開されている事実を整理します。

Anthropic側の技術説明では、Mythos Preview はテスト中に OpenBSDの27年物のバグ や FFmpegの16年物の脆弱性 を自律的に発見したとされています。OpenBSDについては、特定の実行で発見に要したコストが50ドル未満だったとも説明されています（Claude Mythos Preview | red.anthropic.com）。

またAISIの評価では、現実に近い攻撃連鎖を模した「The Last Ones」という32ステップの企業ネットワーク攻撃シミュレーションで、Mythos Preview が 10回中3回、最初から最後まで完遂 しました。平均でも 32段階中22段階 を進めており、次点モデルを上回っています（Our evaluation of Claude Mythos Preview’s cyber capabilities | AISI Work）。

Anthropicは、こうした能力を踏まえて一般公開を見送り、Glasswing参加企業や重要ソフトウェアに関わる組織を中心に限定提供するとしています。Reutersも、Anthropicが約40社にアクセスを限定し、米政府と継続的に協議していると報じています。

この件は金融当局にも波及しました。Reutersによれば、米財務長官スコット・ベッセント氏とFRB議長ジェローム・パウエル氏は、大手銀行CEOらに対してMythosに伴うサイバーリスクを説明するため、緊急の会合を開いています。英国でもイングランド銀行のアンドリュー・ベイリー総裁が、金融当局はこの新しいAIモデルの意味を早急に理解しなければならないと述べています。

市場も反応しました。Reutersによると4月9日、Cloudflare、Okta、CrowdStrike、SentinelOne といったサイバーセキュリティ銘柄は 4.9%〜6.5%下落 しました。ここで重要なのは、単に「サイバー企業が売られた」というより、AI自体がセキュリティ機能を内包することで、既存ソフトウェアの価値が低下する という懸念が再び前面に出たことです。

---

Mythos Shockの本質は、攻防サイクルの圧縮にある

Mythosの本質は、単なるスペックアップではありません。

これまで高度な専門知識と膨大な時間を必要としていた「脆弱性を探す → 本当に悪用できるかを検証する → それを突く攻撃コード（エクスプロイト）を作る」という一連のプロセスが、高性能なAIモデルと適切なエージェント環境によって自動化されたことにあります。

優秀な人間が丹念に見つけていた脆弱性が、AIによって並列的かつ高速に試行・評価される世界といえます。

ここで起きる変化は、「脆弱性が公開されてから対応する」という従来の受動的な防御モデルが、時間的に成り立たなくなる ことを意味します。

攻撃側がAIの力で脆弱性を大量かつ高速に発見・悪用できる以上、防御側は公開や通報を待つのではなく、自ら先回りして自分のシステムの脆弱性を発見し、塞ぎ続ける という能動的な自己修復ループを、常時回さざるを得なくなります。

つまり今後は、攻撃を受けてから対応するのでは間に合わず、自分のコードや設定の脆弱性を自分で絶え間なく発見し、塞ぎ続けるしかない という世界になります。

---

では、既存のセキュリティ企業は不要になるのか

私はそう単純ではないと考えます。

今回の市場の反応でまず確認しておくべきなのは、Cloudflare、CrowdStrike、Okta、SentinelOne などがそろって下落しており、少なくとも短期の株価反応だけを見る限り、市場が明確に勝ち負けを選別したとは言いにくい という点です。

むしろ重要なのは、ソフトウェアレベルで守る製品（EDR型）であれ、ネットワークの入口や物理層に近い場所で守る製品（Cloudflare型）であれ、どのタイプのセキュリティ企業も同じAIの圧力から逃れられない という点です。どちらも「AIが攻撃を高速化してくる前提で、自らをAIネイティブに作り直せるか」という共通の課題に直面します。以下、ソフトウェア型とネットワーク層型の両方で、具体的に何が起きるのかを見ていきます。

「ソフトウェアレベルの検知」だけでは差別化しにくくなる

例としてCrowdStrikeを挙げてみます。

CrowdStrikeのようなEDR（Endpoint Detection and Response）は、端末やワークロード上の挙動を継続的に記録・監視し、不審な振る舞いを検知し、対応する仕組みです。CrowdStrike自身も、EDRを「エンドポイント上の活動を継続監視し、見えにくい脅威を可視化して対応する技術」と説明しています（What is EDR? Endpoint Detection & Response Defined | CrowdStrike）。

この役割は、Mythosが登場してもすぐには消えません。なぜなら、実際の侵入はコード脆弱性だけで起きるわけではなく、認証情報の窃取、権限乱用、正規ツールの悪用、設定変更、横展開など、実行時にしか見えない攻撃 が今後も残るからです。

ただし、CrowdStrikeの中でも特に圧力を受けやすいのは、脆弱性や露出を事前に洗い出し、優先順位を付け、修復を促す上流工程です。CrowdStrikeのFalcon Exposure Managementも、攻撃面の可視化、AIによる優先順位付け、修復支援を前面に出しています。

ここに、Mythosが出てきます。

Anthropicは、Mythos Previewが主要OSや主要ブラウザにまたがるゼロデイを見つけ、27年物のOpenBSDのバグや16年物のFFmpegの脆弱性を自律的に発見したと説明しています。

つまり、脆弱性探索、コード解析、攻撃経路の発見、修正案の生成 といった「知能集約的な上流工程」は、セキュリティソフトだけの価値ではなくなりやすい、ということです。

さらに重要なのは、その先です。

仮にEDR自体が今後も必要だとしても、Mythos級のAIが攻撃側に渡れば、攻撃者は「どういう挙動ならEDRに引っかかるか」「どう変形すれば通るか」を高速に試行できます。すると、EDRは 回避される前提でより速く学習し、更新し続けなければならない製品 にならなければなりません。

Mythosショックは、CrowdStrikeの価値をゼロにする話ではなく、CrowdStrikeのような企業に対しても、従来以上の速度で製品を AI前提に再設計 することを迫るニュースだと思います。

物理層に近いセキュリティはどうか — Cloudflare型も例外ではない

では、Cloudflareのようにネットワークの入口やエッジで動くセキュリティはどうでしょうか。私は、そこも楽観はできないと思います。

Cloudflareのような企業は、WAFやGatewayを通じて通信の入口でリクエストをフィルタし、認証を強制し、レート制限や遮断を実行できます。Cloudflareの資料でも、WAFがエッジでリクエストを検査し、GatewayがHTTPやネットワークトラフィックを通過点として制御する構造が示されています。

ここでは、怪しい通信かどうかを判定するのも、Botか人間かを見分けるのも、正規通信に見える不正アクセスを止めるのも、最終的にはCloudflare側のソフトの能力に依存します。

その意味で、Cloudflare型の企業もMythosショックの外にはいません。Mythos級のAIが攻撃手法を大量に試し、WAFやBot検知やGatewayの判定を回避するパターンを高速に学習し始めれば、物理層に近い場所で動くソフトであっても、同じように更新競争を迫られます。

つまり、端末上で守るソフトも、ネットワークの入口で守るソフトも、どちらもAIによる高度化と回避の圧力を受ける ということです。

---

今後の防衛は「AI vs AI」に近づく

ではどのように対応していけばよいのでしょうか。

以前私が執筆した「マルチAIエージェントが動かす新しい世界 ― AIが互いにレビューし、補完し、交渉しながら価値を生む時代へ」という記事で触れた、GAN（Generative Adversarial Networks）的な発想 は、今後の防御策として考えうると思います。

ここでは、「生成する側」と「見破る側」を分け、互いにぶつけることで全体を強くする という発想を提案しています。なお、これはGANの学習手法そのものをそのまま使うという話ではなく、「役割の違うAI同士を競わせ、全体の精度を高めていく」というGANの発想の核 だけを借りる、という位置づけです。

今回のセキュリティに当てはめるなら、Generator は防御側のAIです。セキュリティ企業のAIがコードを読み、パッチを作り、設定を修正し、対策案を生成します。

一方の Discriminator は、Mythos級の攻撃モデルです。防御側が思いつかなかった攻撃経路や脆弱性の突き方を探し、実際に破れるかどうかを試していきます。

もしそこで穴が見つかれば、Generator 側が再び修正し、さらに Discriminator がそれを破りにいきます。このループを何度も回すことで、防御は静的なルール集ではなく、敵対的な相互作用の中で鍛えられる動的な仕組み に変わっていきます。

Anthropic自身も、Glasswing を「重要ソフトウェアを守るための防御利用」と位置づけています。さらに英国AISIの評価やAnthropicの技術説明が示しているのは、Mythos級のモデルが未知の脆弱性発見や攻撃経路の探索を大きく加速しうるということです。

つまり防御側は、攻撃AIを前提に、防御AIを常時回し続ける側 に移らなければならない、ということです。

重要なのは、Mythosのようなモデルが攻撃に使われる前提で、それを模した批判役・攻撃役のAIを防御側が先に持つこと です。防御AIがパッチを作り、攻撃AIがそれを破り、破られたらまた修正する。このループを継続的かつ動的に回せるなら、Mythosショックのような変化にも、初めて対抗の余地が出てくるのではないかと考えます。

---

結論

Mythos Shockの本質は、脆弱性発見、攻撃連鎖、パッチ適用、監視の速度が、AIによって爆発的に縮まってしまった ことです。

この変化は、サイバーセキュリティを単なる防御ソフトの話から、AI運用、ソフトウェア品質、インフラ制御、金融システム全体までを巻き込むテーマ に変えつつあります。

だからこそ、AI時代のセキュリティで価値を持つのは、単に警告を出す企業ではなく、攻撃より先に見つけ、直し、制御し続けられる企業 です。

ただし、そのためには従来の延長線上で「AIを追加する」だけでは足りません。必要なのは、先ほど述べたGAN的な発想のように、防御AIと攻撃AIを継続的にぶつけ合い、その相互作用の中で防御そのものを鍛え続ける、AIネイティブな新しいセキュリティの形 を考えることだと思います。

防御側のAIがコードを修正し、設定を直し、パッチを生成する。そこにMythos級の攻撃AIをぶつけ、防御側が想定していなかった手法まで含めて検証する。破られたらすぐに修正し、また攻撃AIで試す。この動的なループを継続的に回せるかどうかが、これからの防衛力を決めていくはずです。

Mythos Shockは、セキュリティの考え方そのものを、AIネイティブなものへ作り変える必要がある ことを示した、かなり明確なシグナルだったのではないでしょうか。