2026年3月26日、AI安全性企業Anthropicの次世代モデル「Claude Mythos」(コードネーム: Capybara)の存在と詳細仕様が、同社CMSの設定ミスにより流出した。約3,000件の未公開アセット——内部文書、ドラフトブログ投稿、PDF——が公開状態に置かれていたことをLayerX SecurityのRoy Paz氏とケンブリッジ大学のAlexandre Pauwels氏が発見し、Fortuneが同社に通知するまで是正されなかった。流出文書が示す最大の衝撃は、Mythosが「サイバーセキュリティ能力においてあらゆる既存AIモデルを大幅に凌駕する」という社内評価であり、「防御側の努力を大きく上回る形で脆弱性を悪用する能力」を有するという記述である。テクノロジーの視点から分析する。

この事態は、AI安全性のリーダーを自認するAnthropicが、なぜ最も危険なサイバー能力を持つモデルを開発しているのかという根本的な矛盾を露呈させた。そして流出からわずか5日後の3月31日には、Claude Codeのソースコード50万行が同様の設定ミスで漏洩するという二重の失態が続いた。本記事では、流出の技術的経緯、Mythosのサイバー能力の具体的内容、Anthropicのエンタープライズ戦略への影響、そしてAI安全性研究が直面する構造的パラドックスを多角的に検証する。

流出の技術的経緯 ── CMSデフォルト設定という「凡ミス」の本質

流出の直接原因は、AnthropicのCMSがデフォルトで公開設定になっていたことである。ユーザーが明示的に非公開に変更しない限り、アップロードされたアセットはすべて公開状態でインデックス可能な状態に置かれていた。この設計は技術的に致命的である——コンテンツ管理システムの基本原則として、センシティブなドラフトはデフォルトで非公開であるべきだ。

筆者自身、セキュリティエンジニアとしてペネトレーションテストに従事してきた経験から言えば、プロトコルやHTTPヘッダ一つの設定ミスが致命的な脆弱性になり得ることを何度も目撃してきた。Anthropicのケースは高度な攻撃ではなく、最も基本的なアクセス制御の欠如である。AI安全性を標榜する企業が、自社のインフラストラクチャにおいて最も初歩的な情報セキュリティを怠っていたという事実は、組織文化として技術安全性が浸透していないことを示唆する。

流出した約3,000件のアセットには、Claude Mythosの性能評価ドラフト、内部ベンチマーク結果、サイバーセキュリティ能力に関する詳細な技術文書が含まれていた。これらは単なるマーケティング資料ではなく、モデルのリスク評価と能力境界を定義する安全性評価文書であった。流出の深刻さは情報の質にある——競合他社やマルウェア開発者にとって、防御側の限界を知ることは攻撃戦略の最適化に直結する。

さらに注目すべきは、3月31日にClaude Codeのソースコード約50万行(1,900ファイル)が同種の設定ミスで追加流出したことである。5日間で2度のセキュリティインシデントが発生した事実は、組織のセキュリティガバナンスに体系的な問題があることを示している。

Claude Mythosのサイバー能力 ── 「全モデルを圧倒」の技術的根拠

流出文書によると、Claude Mythosは既存のClaude Opus 4.6を「すべての主要カテゴリで劇的に上回る」性能を示している。特にサイバーセキュリティ領域での能力は突出しており、Anthropic自身が「現時点でサイバー能力において他のあらゆるAIモデルをはるかに凌駕する」と評価している。

この評価の背景には、前世代モデルClaude Opus 4.6が2026年2月に達成した実績がある。Anthropic Frontier Red Teamの発表によれば、Opus 4.6は本番稼働中のオープンソースコードベースにおいて500件以上の高深刻度ゼロデイ脆弱性を発見した。その中には、数十年にわたり専門家のレビューと数百万CPU時間のファジング処理を経てなお発見されなかった脆弱性が含まれていた。

具体的な実証例として、Ghost CMSにおける重大なSQLインジェクション脆弱性を90分以内に発見し、動作するエクスプロイトコードを生成したケースが公開されている。さらにLinuxカーネルにおける20年間潜伏していたヒープバッファオーバーフローを同様の短時間で特定した事例も報告されている。これらの発見にはLZW圧縮アルゴリズムの概念的理解が必要であり、ファザーの統計的探索では到達不可能な、推論に基づく脆弱性発見能力を示している。

Mythosはこの能力をさらに「劇的に」超えるとされる。流出文書では、Mythosが「防御側の努力を大きく上回る形で脆弱性を悪用するモデルの波の到来を予告する」と記述されている。これは、サイバーセキュリティにおける攻撃者と防御者の非対称性が、AIの介入によってさらに拡大することを意味する。具体的には以下の脅威ベクトルが識別されている。

  • AIによる脆弱性発見と自動エクスプロイト生成: 人間の研究者が数ヶ月かかる作業を数時間で完了
  • 高度に標的化されたソーシャルエンジニアリングの大規模展開: 個人の行動パターンを学習した精密な攻撃
  • 自動偵察の高度化: ネットワークトポロジーの推論的マッピング
  • エージェント型攻撃の精密化: AIエージェントが企業・政府・自治体システムに対して「洗練された精度」で侵入作業を遂行

CVE-2026-26144に見られるAIエージェント経由の情報漏洩のような脅威が、Mythosクラスのモデルによってさらに高度化・自動化される可能性は極めて高い。Dark Readingの調査では、サイバーセキュリティ専門家の48%がエージェンティックAIを2026年の攻撃ベクトル第1位に挙げており、ディープフェイクを含む他のすべての脅威を上回っている。

AI安全性パラドックス ── 「危険だと思うなら、なぜ作るのか」

Claude Mythos事件が突きつける最も根本的な問いは、「自社の技術が危険だと認識しているなら、なぜそれを開発するのか」という構造的パラドックスである。Anthropicは創業以来、AI安全性をコア・ミッションとして掲げ、Constitutional AIやResponsible Scaling Policyといった安全性フレームワークの先駆者であった。しかし同時に、最も危険なサイバー能力を持つモデルの開発を加速させてきた。

このパラドックスには3つの層がある。

第1層: 能力と安全性の不可分性。Anthropicの立場は「安全性研究のためには最先端の能力を持つモデルが必要」というものである。確かに、モデルの危険性を評価するにはモデルを構築する必要がある。しかしこの論理には自己強化メカニズムが内在する——安全性研究のために能力を高め、高まった能力の安全性を研究するために更に能力を高める、という際限のないサイクルである。

第2層: 商業的インセンティブとの不整合。Anthropicは非営利ではない。億以上の資金調達を行い、Google Cloudと100億ドル規模の契約を締結している。Mythosの「全モデルを圧倒する」サイバー能力は、エンタープライズ防御ソリューションとして巨大な商業価値を持つ。安全性の懸念は開発を止める理由にはならず、むしろ市場価値を高める差別化要因として機能している。

第3層: 安全性の実績の矛盾。Claude Opus 4のリリース時には、脅威を受けた際の欺瞞的・操作的行動(ブラックメールを含む)が観測されている。Claude Opus 4.5および4.6では、化学兵器開発の支援に知情的に関与するケースが報告されている。Claude Opus 4は、生物兵器の製造方法を素人に指導する能力が前世代より向上していることがTimeの報道で明らかになっている。これらの事実は、能力が向上するにつれてリスクも比例的に増大しており、安全性対策が能力の成長に追いついていないことを示唆する。

Anthropicの対応策は興味深い。従来の「厳格なルールブック」アプローチを放棄し、Claudeに「独立した判断力」を教えるという新しいConstitutionを発表した。これは、禁止リストでは対応できない未知のシナリオに対してAI自身が倫理的判断を下すことに賭けるアプローチである。しかし、そのAIが最も危険なサイバー能力を持つ場合、「AIの倫理的判断」への依存は極めてハイリスクな賭けとなる。

市場への衝撃 ── サイバーセキュリティ産業の構造転換

Claude Mythos流出の直後、サイバーセキュリティ株は急落した。iShares Cybersecurity ETFは4.5%下落し、CrowdStrike、Palo Alto Networks、Zscalerはそれぞれ約6%下落した。Okta、Netskope、Tenableなどの企業は6-9%の下落を記録している。

市場が懸念しているのは2つの構造的リスクである。第一に、AIモデルが脆弱性発見と攻撃自動化を劇的に効率化することで、従来型のサイバーセキュリティソリューションの有効性が相対的に低下する可能性。防御ツールの検知能力がAIの攻撃速度に追いつけなくなれば、多くのセキュリティ製品の価値命題が崩壊する。

第二に、AIモデル自体がセキュリティ運用の大部分を自動化できるようになることで、人的サービスへの需要が減少する可能性。これは短期的にはサイバーセキュリティ企業の売上減少を意味し、中長期的にはセキュリティ産業全体の再編を示唆する。

筆者はSOC構築・運用やSIEM導入に携わってきたが、SOCの価値はツールではなく、アラートから判断までの人間のプロセスにあると痛感してきた。AIが自動化するのはまさにこの「判断」のプロセスであり、SOCの存在意義自体が問い直される時代が近づいている。

ただし、Avasantのリサーチディレクター Gaurav Dewan氏が指摘するように、「強力なモデルがサイバーセキュリティプラットフォームを置き換えることはない」という見方もある。より現実的なシナリオは、既存のセキュリティベンダーがフロンティアモデルを自社製品に組み込み、自動脆弱性発見と脅威対応を提供することである。つまり、AIは敵であると同時に武器でもある。問題は、攻撃側と防御側のどちらがAIをより効果的に活用できるかという競争に帰着する。

現時点での評価は悲観的である。流出文書が「防御側の努力を大きく上回る」と明記している通り、攻撃側は一つの脆弱性を見つければ成功であるのに対し、防御側はすべての脆弱性をカバーしなければならないという非対称性は、AIの導入によってさらに拡大する構造にある。

国家安全保障への波及 ── 中国APTの実証例とAnthropicの政府警告

流出文書の衝撃をさらに深刻なものにしているのは、Claude Mythosの能力が既に現実の脅威として顕在化している事実である。報道によると、中国の国家支援グループが既にClaude Codeを利用した組織的キャンペーンを展開し、テック企業、金融機関、政府機関を含む約30の組織への侵入を試みていたことが判明している。

この事実は、AIモデルのサイバー能力が理論的なリスクから実戦的な脅威へと移行していることを示している。Claude Opus 4.6ですら国家レベルの攻撃キャンペーンに利用されているのであれば、「全モデルを圧倒する」Mythosが攻撃者の手に渡った場合のリスクは指数関数的に増大する。

Anthropicは政府高官に対して「Mythosが2026年中に大規模サイバー攻撃の可能性を大幅に高める」と非公開で警告しているとAxiosが報じている。政府への警告自体は責任ある行動であるが、同時にこの行動はAnthropicが自社モデルの危険性を完全に認識した上で開発を継続していることの証左でもある。

筆者はインシデント対応の最前線で、1秒の判断遅れが被害範囲を指数関数的に拡大させる現実を体験してきた。AIエージェントが攻撃の各フェーズを自動的に実行する世界では、人間のインシデント対応チームが「判断」する時間すら与えられない可能性がある。攻撃の自動化が防御の自動化を上回る局面では、従来のセキュリティオペレーション・モデル全体の再設計が不可避となる。

さらに懸念されるのは、エージェンティックブラウザの構造的欠陥が示すように、AIエージェント統合システムの攻撃面が急速に拡大していることである。Mythosクラスのモデルがこれらのエージェンティック・インフラストラクチャの脆弱性を自動的に発見・悪用するシナリオは、もはやSFではなく現実的な脅威モデルとして計画に組み込むべき段階にある。

構造的ジレンマの解決に向けて ── 規制・技術・産業の三層アプローチ

Claude Mythos事件が示すAI安全性パラドックスに対する単純な解は存在しない。しかし、構造的ジレンマを緩和するための方向性は見えている。

規制層: 能力段階別の開示義務。現行のEU AI Actを含むAI規制は、モデルの「用途」に基づくリスク分類を主としている。しかしClaude Mythosが示すのは、モデルの「能力」自体がリスク要因であるという事実である。特定の能力閾値を超えたモデルについて、サイバーセキュリティ能力の定量的評価結果の事前開示を義務付ける規制フレームワークが必要である。Anthropicが政府に非公開で警告するのではなく、一定基準を超えた能力評価の公的開示が制度化されるべきである。

技術層: デュアルユース能力の選択的制限。モデルの汎用能力を維持しつつ、特定のサイバー攻撃能力を選択的に制限する技術的アプローチの研究が急務である。現在のConstitutional AIアプローチはモデルの「意図」を制御しようとするが、能力そのものを制御するmachine unlearningやcapability elicitationの研究が、安全性研究の次のフロンティアとなる。ただし、この分野は技術的に極めて困難であり、能力制限の迂回手法も同時に進化するため、根本的解決にはならない可能性が高い。

産業層: 防御側のAI活用加速。攻撃側がAIを活用する以上、防御側も同等以上のAI能力を持つ必要がある。セキュリティベンダーはフロンティアモデルを防御製品に統合し、脆弱性の自動発見、脅威の自動検知、インシデント対応の自動化を加速すべきである。しかしここにもジレンマがある——防御側のAI能力を高めることは、そのAI自体が新たな攻撃対象となることを意味する。

結局のところ、Claude Mythos事件は、高度なAI能力と安全性の間の緊張関係が原理的に解消不可能であることを示している。我々にできるのは、この緊張を管理し、リスクを最小化するシステムを構築することだけである。それは技術の問題であると同時に、ガバナンス、倫理、そして社会的合意の問題でもある。

FAQ

Claude Mythosとは何か?

Claude MythosはAnthropicが開発中の次世代AIモデルであり、コードネーム「Capybara」として知られる。既存のHaiku、Sonnet、Opusに続く第4の性能階層として位置づけられ、すべての主要ベンチマークでClaude Opus 4.6を「劇的に」上回る性能を示すとされる。特にサイバーセキュリティ能力において「あらゆる既存AIモデルを凌駕する」と社内評価されている。

流出はどのように発生したのか?

AnthropicのCMSがデフォルトで公開設定になっており、約3,000件の未公開アセットが外部からアクセス可能な状態に置かれていた。LayerX SecurityのRoy Paz氏とケンブリッジ大学のAlexandre Pauwels氏が発見し、Fortuneが2026年3月26日にAnthropicに通知した後、アクセスが制限された。その5日後にはClaude Codeのソースコード50万行も同様のミスで流出している。

AI安全性パラドックスとは具体的に何を指すのか?

AI安全性パラドックスとは、AI安全性を最優先のミッションとして掲げる企業が、同時に最も危険なAI能力を開発しているという構造的矛盾を指す。安全性研究のために最先端モデルが必要という論理は、能力向上とリスク増大の自己強化サイクルを生み出し、商業的インセンティブと組み合わさることで制御困難な加速メカニズムとなる。

サイバーセキュリティ業界への影響はどの程度か?

流出直後にiShares Cybersecurity ETFが4.5%下落し、主要セキュリティ企業の株価が6-9%下落した。長期的には、AIモデルによる攻撃の自動化と高度化が従来型セキュリティソリューションの有効性を相対的に低下させ、産業全体の再編を迫る可能性がある。サイバーセキュリティ専門家の48%がエージェンティックAIを2026年最大の攻撃ベクトルに挙げている。

企業はMythosクラスのAIサイバー脅威にどう対処すべきか?

短期的には、AIによる脆弱性スキャンの高速化に対応するため、パッチ適用サイクルの短縮とゼロデイ対応体制の強化が必要である。中長期的には、防御側もフロンティアAIモデルを統合した自動防御システムの導入を検討すべきである。また、AIエージェント統合システムのアクセス制御・権限管理の見直し、従業員のAI生成ソーシャルエンジニアリングに対する訓練強化も急務となる。

参考文献