「Claude Mythos Preview」や「GPT-5.4-Cyber」の脆弱性発見スピードにOSSメンテナーが追いつけずリスクが増大する可能性
2026年4月7日にAnthropicがサイバー攻撃能力の高いAI「モデル「Claude Mythos Preview」を発表し、2026年4月14日にはOpenAIがセキュリティ関連の制限を緩和したAIモデル「GPT-5.4-Cyber」を発表しました。これらの高性能AIの登場によってオープンソースソフトウェア(OSS)のセキュリティに大きな影響が生じる可能性が指摘されています。
The “AI Vulnerability Storm”: Building a “Mythos-ready” Security Program | Lab Space
https://labs.cloudsecurityalliance.org/mythos-ciso/
Claude Mythos PreviewはClaude Opus 4.6と比べて大幅に推論能力などが向上したAIモデルで、特に「脆弱性を悪用してサイバー攻撃する能力」が非常に高いことが明らかになっています。Claude Mythos Previewは一般向けには提供されず、サイバーセキュリティ能力を向上させるために一部の組織を対象に提供されています。
サイバー攻撃性能が高すぎるAI「Claude Mythos Preview」をAnthropicが開発、プレビュー版をMicrosoftやAppleなどに提供する「Project Glasswing」も開始 - GIGAZINE
GPT-5.4-CyberはGPT-5.4に施されている機能制限を緩和してサイバー攻撃能力を強化したモデルで、Claude Mythos Previewと同様にセキュリティ研究者を対象に限定公開されています。
OpenAIがサイバー攻撃特化AI「GPT-5.4-Cyber」をセキュリティ研究者に提供する取り組みを開始、Claude Mythosを提供するAnthropicに対抗か - GIGAZINE
記事作成時点ではClaude Mythos PreviewとGPT-5.4-Cyberは厳選された組織にのみ提供されていますが、このような高性能AIモデルが広く一般に使われるようになればセキュリティ対策が追いつかなくなる可能性があるとして、セキュリティ企業「Echo」のエイロン・エルハダッドCEOがOSSの危機を指摘しています。
OSSの多くは別の本業を持つメンテナーによって管理されており、脆弱(ぜいじゃく)性が発見されてから一般ユーザーに修正版を提供するまでに平均80日を必要とします。一方で、高性能AIモデルはOSSプロジェクト全体を横断的に分析し、これまでのセキュリティスキャンシステムとは比べものにならない速度で次々と脆弱性を検出しています。脆弱性が発見されてもOSSメンテナーたちの時間は限られており、修正が追いつかない状況が生じてしまいます。
AnthropicはClaude Mythos Previewの発表とともに「Project Glasswing」というセキュリティ対策プロジェクトも開始しています。Project GlasswingはOSSメンテナーたちにClaude Mythos Previewへのアクセス権を提供し防御力を強化する取り組みですが、エルハダッド氏は「Project GlasswingはOSSプロジェクトの根本的な制約を補えるものではありません。脆弱性の修正には依然として再検証や本番展開が必要です」と指摘し、高性能AIの登場によってユーザーが脆弱性にさらされる期間が増大すると警鐘を鳴らしています。
なお、Claude Mythos PreviewはすでにOSSプロジェクトに大きな影響を与えており、OSSのスケジュール管理ツール「Cal.com」はセキュリティに関する部分をクローズドソース化することを発表しています。
AIによるセキュリティリスクがあるとしてオープンソースソフトウェアがクローズドへ移行決断 - GIGAZINE
また、Claude Mythos Previewの登場以前から「AIによって生成された低品質なコードのプルリクエストが大量に送りつけられてメンテナーが疲弊する」という状況が生まれており、プロジェクトに貢献者の信頼度を管理するシステムなどが提案されています。
AIの普及でOSSプロジェクトへの低品質なコード提出が増加、Ghostty開発者による「貢献者の信頼度を管理するシステム」も登場 - GIGAZINE
AIによる低品質なコードについては、ウェブフレームワーク「Hono」の開発者であるゆーすけべー氏が記した以下の記事でも「大量のコードを人力でレビューする必要がある」「スパムとしか言えないようなプルリクエストが届く」といった問題点が詳しく解説されています。
OSSにおけるAI Slop問題の何が問題なのか?
https://zenn.dev/yusukebe/articles/3fd5bc6ea341c9
・関連記事
サイバー攻撃性能が高すぎるAI「Claude Mythos Preview」をAnthropicが開発、プレビュー版をMicrosoftやAppleなどに提供する「Project Glasswing」も開始 - GIGAZINE
「Claude Mythos Preview」はネットワーク完全乗っ取り攻撃を自律的に実行できてしまうことがイギリス政府機関のテストで判明 - GIGAZINE
OpenAIがサイバー攻撃特化AI「GPT-5.4-Cyber」をセキュリティ研究者に提供する取り組みを開始、Claude Mythosを提供するAnthropicに対抗か - GIGAZINE
セキュリティが破られるかどうかは「どちらがAIにより多くお金をかけるか」の勝負になりつつある - GIGAZINE
国家安全保障局(NSA)はすでにAnthropicの次世代AI「Mythos Preview」を使用しているとの報道、サプライチェーン上のリスクに指定されてもなおClaudeは国防総省内で広く使用されている - GIGAZINE
IT業界の「巨大プロジェクトが個人プロジェクトに依存していて簡単に崩壊する」という現状を風刺するイラスト「Dependency」 - GIGAZINE
・関連コンテンツ
in AI, セキュリティ, Posted by log1o_hf
You can read the machine translated English article The speed at which vulnerabilities in 'C….