Claude Mythos Previewは深刻度「高」以上と推定される脆弱性候補を6202件発見、日本の銀行でも利用に向けた動きが進む高性能AIの初期レポートが公開される

ソフトウェアの脆弱(ぜいじゃく)性を探す作業はこれまで、専門知識を持つセキュリティ研究者がコードを読み、問題が本当に悪用可能かどうかを検証するという時間のかかる作業でした。しかし、Anthropicが開発した高性能AI「Claude Mythos Preview」は、脆弱性の発見だけでなく実際に悪用できるかどうかの検証まで高い精度で行えるとされています。Claude Mythos Previewのこれまでの成果について、Anthropicがレポートを発表しました。

Project Glasswing: An initial update \ Anthropic
https://www.anthropic.com/research/glasswing-initial-update

Claude Mythos Previewは一般公開されていないAIモデルです。AnthropicはClaude Mythos Previewについて「最も熟練した人間を除くほとんどの人間を上回る水準で、脆弱性を発見・悪用できる可能性がある」と説明しています。つまり、防御側にとっては非常に強力な調査ツールになる一方、悪意ある攻撃者が使えばサイバー攻撃のハードルを大きく下げる危険な技術でもあるというわけです。

Anthropicは2026年4月、Claude Mythos Previewを防御目的で使う取り組み「Project Glasswing」を開始しました。Project GlasswingにはAmazon Web Services、Apple、Cisco、Google、Microsoft、NVIDIA、Palo Alto Networksなどが参加し、重要なソフトウェアを守るためにClaude Mythos Previewを利用しています。

今回Anthropicが公開したProject Glasswingのレポートによると、Anthropicと約50のパートナーはClaude Mythos Previewを使い、世界的に重要なソフトウェアから深刻度が「高」または「緊急」の脆弱性を1万件以上発見しました。

特に大きな成果として挙げられているのが、オープンソースソフトウェアに対する調査です。オープンソースソフトウェアとは、ソースコードが公開され、誰でも利用・改変できるソフトウェアのことです。Linuxや暗号ライブラリのような基盤技術にも広く使われているため、1つの脆弱性が多数の企業やサービスに影響する場合があります。

Anthropicは1000件以上のオープンソースプロジェクトをClaude Mythos Previewで調査し、2万3019件の脆弱性候補を発見しました。そのうち6202件はClaude Mythos Previewによって深刻度が「高」または「緊急」と推定されています。

ただし、AIが見つけた候補のすべてが本物の脆弱性とは限りません。そこでAnthropicは深刻度が高いと判断された候補のうち1752件について、独立したセキュリティ調査会社などによる確認を行いました。その結果、90.6％にあたる1587件が本物の脆弱性で、62.4％にあたる1094件が実際に深刻度「高」または「緊急」だったとのこと。Anthropicはさらに、全深刻度の脆弱性候補について、発見後の確認や報告、修正の進み具合も公開しています。

以下は、Claude Mythos Previewがオープンソースソフトウェアから見つけた脆弱性候補について、発見から報告、修正、セキュリティ勧告の公開までの流れを示した画像。2万3019件の候補のうち、記事作成時点で1596件が保守担当者に報告され、1451件が保守担当者に認識され、97件が上流プロジェクトで修正され、88件のセキュリティ勧告が公開されたことが分かります。なお、画像内の件数は深刻度「高」または「緊急」だけでなく、中程度や低程度を含む全深刻度の脆弱性候補を対象にしています。

Claude Mythos Previewの影響は、ソフトウェア開発の現場だけでなく金融分野にも及んでおり、日本の金融当局もClaude Mythos Previewの影響を警戒しています。ロイターによると、片山さつき財務相兼金融担当相は2026年5月12日、Claude Mythos Previewが金融システムにもたらすサイバーリスクを検証するため、官民の作業部会を設けると発表しました。AIが脆弱性を高速に見つける時代には、銀行側が脆弱性をどれだけ早く修正できるかも重要になります。

さらにロイターは2026年5月13日、日本の3大銀行である三菱UFJフィナンシャル・グループ、みずほフィナンシャルグループ、三井住友フィナンシャルグループが、約2週間以内にClaude Mythos Previewへアクセスできる見通しだと報じました。ただし各行とAnthropicはコメントを控えており、記事作成時点では正式な採用発表ではなく、アクセス取得に向けた動きとして報じられています。

AnthropicはAIによって脆弱性を見つける速度が上がった結果、課題は「発見」から「検証・修正・公開」に移ったと述べています。脆弱性が大量に見つかっても、人間の開発者や保守担当者が内容を確認し、修正パッチを作り、利用者にアップデートを届けなければ安全性は向上しません。

Claude Mythos Previewと同等の能力を持つAIが安全策なしに広く出回れば、攻撃者が脆弱性を見つけて悪用するコストも大幅に下がります。そのためAnthropicは記事作成時点でClaude Mythos Previewを一般公開していません。Anthropicは強力なAIによる脆弱性発見能力を防御側に活用しつつ、悪用を防ぐ仕組みを整える必要があると述べています。