Anthropicのサイバー防衛計画「Mythos Preview」は開始約1カ月で1万件超の高深刻度脆弱性を検出。AIによる発見速度が向上した一方、修正・検証・公表の処理能力不足が新たなボトルネックとして浮上している。
Anthropicは2026年5月22日、AIを活用したサイバー防衛計画「Mythos Preview」の成果を発表した。同計画は2026年4月に始動し、Anthropicと約50の協力組織が参加。インターネット基盤や重要システムを対象に安全性検査を進めており、開始から約1カ月で1万件超の高深刻度または重大な脆弱性を検出した。AIによる脆弱性探索能力の急速な向上により、問題の発見よりも、検証・修正・公表手続きの処理能力不足が新たな制約として顕在化している。
Anthropicは従来型の脆弱性公表の在り方にも言及した。一般的には発見後90日程度の猶予期間を設け、利用者側が更新を完了する時間を確保する。現時点では詳細な技術情報を伏せ、統計や事例を中心に成果を説明している。
協力企業からは大幅な効率向上が報告されている。Cloudflareは重要システム群から約2,000件の不具合を確認し、そのうち400件が高深刻度または重大区分に該当したと説明。誤検知率についても、人間のテスターを上回る水準との評価を示した。英国AI Security Instituteによる外部評価も紹介された。
オープンソース領域でも大規模な調査が進んだ。Anthropicは1,000件超のオープンソースプロジェクトを解析し、合計2万3,019件の脆弱性候補を検出した。このうち6,202件は高深刻度または重大な分類に該当すると推定され、外部研究機関などが1,752件を精査した結果、約9割が実在する脆弱性だったという。具体例として、暗号ライブラリ「wolfSSL」の問題が挙げられた。これは攻撃者が偽の証明書を生成し、銀行やメールサービスを装う偽サイトを正規サイトのように見せかける恐れがあったもので、「CVE-2026-5194」として修正済みとなっている。
一方で、修正作業の負荷増大も深刻化している。オープンソース保守担当者はAI生成による大量の低品質報告にも直面しており、処理能力不足が顕著になっている。一部の保守担当者からは、脆弱性報告の速度を落としてほしいとの要請も寄せられた。高深刻度の問題1件当たり平均約2週間を修正に要するとされる。現時点で530件の高深刻度または重大脆弱性が報告され、修正済みは75件にとどまっているが、Anthropicは猶予期間中であることや公表されない修正の存在が数字に影響していると説明した。
Anthropicは、Mythos級の能力を持つAIモデルが近い将来広範囲に普及すると予測する。脆弱性探索や悪用に必要な時間とコストが低下する中、防御側の更新・修正配布が追いつかなければ攻撃リスクが高まると警鐘を鳴らす。開発企業には更新周期の短縮や迅速な修正配布を求め、利用企業には多要素認証やログ監視など基本対策の徹底を促した。
防御用途のツール群も公開されている。企業向け「Claude Security」はコード解析や修正案の生成を支援し、公開後3週間で2,100件超の脆弱性修正に活用されたとしている。今後はAnthropicが米国や同盟国政府を含む重要組織との連携を拡大する方針を示した。なお、Mythos級モデルは悪用時の危険性が高いとして、十分な安全対策が整うまで一般公開は見送るとしている。
