Anthropic CEO、AIサイバーリスク 今は「危険な状況」防御側の猶予は6ヵ月

中国モデルが1年以内にMythos級に到達する可能性

　Anthropicは2026年5月5日、ニューヨークで開催したイベント「The Briefing: Financial Services」で、同社の未公開AIモデル「Claude Mythos Preview」のサイバーセキュリティ能力に関する現状を報告した。アモデイCEOは、他社のAI開発状況について言及し、米国の主要AIラボは1～3カ月、中国のAIモデルは6～12カ月の遅れでMythosと同等の能力に到達するとの見解を示した。

　Mythosは、一般的な言語モデルとしての機能に加え、主要なオペレーティングシステムやウェブブラウザーに潜む未知の脆弱性を自律的に特定し、攻撃コードを作成する能力を備えている。社内テストにおいて、同モデルは数万件に及ぶゼロデイ脆弱性を発見した。この中には、堅牢性で知られるOpenBSDにおける27年前のバグや、動画エンコードライブラリFFmpegにおける16年前の脆弱性が含まれる。


　さらに、Linuxカーネル内の複数の脆弱性を自律的に組み合わせ、一般ユーザーの権限からシステム全体の完全な制御を奪取する一連の攻撃手順を構築した事例も報告された。発見された脆弱性の99パーセント以上は現在も未修正の状態にあり、悪用を防ぐためAnthropicは詳細の公開を見合わせている。一方で、MozillaのFirefoxについては、Mythosの特定により約300件の脆弱性修正が完了した。

　アモデイCEOは、現在の状況をサイバー防衛における「危険な状況」と表現した。AIによってソフトウェアの脆弱性発見と悪用に必要なコストや専門知識のハードルが劇的に低下したためである。同氏は、中国をはじめとする敵対的なアクターがMythosと同水準のモデルを開発し、自動化されたサイバー攻撃を実行するまでに残された6～12カ月間を、重要なインフラを守るためのパッチ適用期間と定義した。

　この限られた時間内に発見されたバグを修正できれば、既存の脆弱性が排除され、より安全なソフトウェア環境へ移行できると説明した。金融業界にとっても、AIによる高度なサイバー攻撃はシステミック・リスクをもたらす要因として認識されており、防御側が先手を打って対策を講じる行動が不可欠となっている。