サイバー攻撃性能が高すぎるAI「Claude Mythos Preview」は公開済みの脆弱性「N-day」から数時間で攻撃を開発できるため「N-dayからN-hourに常識が変わる」とAnthropicが指摘

Anthropicが2026年4月に発表した「Claude Mythos Preview」は「ソフトウェアの脆弱(ぜいじゃく)性を発見して悪用する」という能力が極めて高く、脆弱性発見スピードにOSSメンテナーが追いつけずリスクが増大する可能性が指摘されていたり、ネットワーク完全乗っ取り攻撃を自律的に実行できてしまうことがイギリス政府機関のテストで判明したりと、その高性能ぶりが注目されています。Anthropicは新たに、通常は数週間かかる脆弱性を悪用する攻撃の開発について、Claude Mythos Previewが数時間で実行できることを示しています。

N-days \ red.anthropic.com
https://red.anthropic.com/2026/n-days/

Anthropicが2026年5月にClaude Mythos Previewのそれまでの成果について発表したレポートでは、Anthropicと約50のパートナーがClaude Mythos Previewを使って世界的に重要なソフトウェアから深刻度が「高」または「緊急」の脆弱性を1万件以上発見したことが示されました。Claude Mythos Previewが発見した脆弱性を独立したセキュリティ調査会社などにより再検証したところ、90.6％が本物の脆弱性で、62.4％が実際に深刻度「高」または「緊急」だったと判明し、その精度の高さもAnthropicはアピールしています。

Claude Mythos Previewは深刻度「高」以上と推定される脆弱性候補を6202件発見、日本の銀行でも利用に向けた動きが進む高性能AIの初期レポートが公開される - GIGAZINE

Anthropicはさらに、Claude Mythos Previewが「N-day」から実際に動く攻撃コードを作る能力についてレポートを公開しています。N-dayとは、未知の脆弱性であるゼロデイに対し、既に公開されている脆弱性でパッチも公開済みまたは作成中ですが、実際に攻撃するエクスプロイトは存在しない場合もある脆弱性のことを指します。Anthropicは過去にAIモデルのサイバーセキュリティ機能について複数の記事を公開しており、そのほとんどはゼロデイに焦点を当てていましたが、現実世界の被害の大部分はN-dayによるものです。

攻撃者はN-dayの公開されているパッチなどからリバースエンジニアリングすることで、ソースコード解析やパッチ差分解析を通して攻撃コードを作ります。多くの場合でN-day攻撃は時間との戦いであり、攻撃コード作成に従来は数日から数週間かかる間に、防御側はアップデートを広く展開するという形になります。

しかしAnthropicによると、Claude Mythos Previewは攻撃コードの作成時間を加速・自動化させ、攻撃側のボトルネックとなっていた時間の問題を解決できる可能性があるそうです。

以下は、テスト対象とした6つのモデルそれぞれについて、データセットに含まれる18の脆弱性それぞれに3回の試行を実施した総合スコアを示したグラフ。縦軸が脆弱性に対する概念実証(PoC)を作成した数で、横軸が経過時間であるため、グラフの傾きが急であるほど素早くPoCを作成する能力が高いことを示しています。グラフによると、Claude Mythos Previewは約12分で1つ目を作成し、40分で13個のPoCを作成しました。14個目を完成させるまでには約3時間かかっています。

また以下は、1つ目のテストで最も優れたパフォーマンスを示した3つのモデルであるClaude Mythos Preview、Claude Opus 4.8、Claude Opus 4.6を選択し、18個の脆弱性それぞれについて50回のPoC開発を命じることで、各モデルが脆弱性に対するPoC開発をどれほど一貫して行えるか調査したもの。Claude Opus 4.8、Claude Opus 4.6が一貫して解決できたのは1つの脆弱性についてのみでしたが、Claude Mythos Previewは7つの脆弱性で一貫した解決を行うことができました。

特にClaude Mythos Previewが優位に立ったのは、N-day脆弱性からマシンをクラッシュさせるエクスプロイトを開発するテストです。Claude Opus 4.8は2つのエクスプロイトを作成し、Claude Opus 4.6とClaude Sonnet 4.6は1つのみ、他のモデルは1つもエクスプロイトを作成できませんでしたが、Claude Mythos Previewはわずか1時間弱で最初の動作するエクスプロイトを作成した後、最終的には約12時間で8種類のエクスプロイトを作成したとAnthropicは報告しています。

また、Windowsの脆弱性からブルースクリーンをトリガーさせるPoCを作成するテストでは、Claude Sonnet 4.6とClaude Opus 4.7はそれぞれ21個の脆弱性のうち13個でPoCを開発し、Claude Opus 4.8は15個、Claude Mythos Previewは18個という結果になりました。Claude Mythos Previewの最初のPoCは31分で完成し、18個すべてが6時間以内に到達しました。

Anthropicは「これは、現在パッチギャップにあるユーザーは以前よりもはるかに大きな脅威に直面しており、モデルの性能向上に伴いリスクは増大する一方であることを示唆しています。今や『N-day』という表現が危険なほど誤解を招くものになっており、私たちが現在直面している現実には『N-hour』の方が適切です」と述べています。また、防御側が採用すべき対応策として、パッチの展開速度を加速させるべきと提案しています。