2026年4月7日、Anthropicが公開した「Claude Mythos Preview」のサイバーセキュリティ能力評価レポートは、筆者がこれまで見てきたAI関連の技術文書の中でも、群を抜いて衝撃的な内容でした。
こんにちは、しらいはかせです。筆者は普段、AICU Japanという会社で『つくる人をつくる』をビジョンに、生成AIやメディア芸術の研究・実践を行っています。最近はAI駆動のゲーム開発をGoogle東京キャンパスの一角で推進しています。
https://note.com/o_ob/n/n99a677f16ea4
さて、読者の皆さんに質問です。『AIがサイバーセキュリティの世界を根底から変える』と聞いて、どう感じますか? 「またAIの誇大広告か」と思った方、今回ばかりは本気で向き合ったほうがいいかもしれません。2026年4月7日、Anthropicが公開した「Claude Mythos Preview」のサイバーセキュリティ能力評価レポートは、筆者がこれまで見てきたAI関連の技術文書の中でも、群を抜いて衝撃的な内容でした。
何しろ、AIが 27年間誰にも発見されなかったゼロデイ脆弱性 を掘り当て、さらに自律的にエクスプロイトまで構築してしまったというのです。
エクスプロイト(Exploit):OSやソフトウェア、ハードウェアに存在するセキュリティ上の脆弱性(バグや欠陥)を悪用し、コンピュータを不正に操作したり、マルウェアやウイルスなどに感染させたりするプログラムや具体的な攻撃手法のこと。
🔗Claude Mythos Preview: Cybersecurity Capabilities Assessment
https://red.anthropic.com/2026/mythos-preview/
AIが「脆弱性発見マシン」になった
Anthropicの研究チームが公開したレポートによると、「Claude Mythos Preview」はオープンソース・クローズドソースを問わず、数千件もの高深刻度・重大な脆弱性を発見しました。しかも、そのうち99%以上がまだパッチされていないという衝撃の事実です。
特に注目すべき発見をいくつか紹介します。
OpenBSD TCPの27年物バグ
「OpenBSD」のTCP SACK処理に潜んでいた符号付き整数オーバーフローの脆弱性。リモートからシステムをクラッシュさせるDoS攻撃が可能で、なんと 27年間 も検出されずに残っていました。2つの異なるバグ——レンジの開始値の未チェックとシーケンス番号比較における整数オーバーフロー——を連鎖させる巧妙な手法です。
具体的に何が起きているかというと、TCP通信では『ここからここまでのデータを受け取りました』と報告するために、シーケンス番号の比較に (int)(a - b) < 0 という計算を使います。32ビット整数なので、aとbが約21億(2の31乗)以上離れると、引き算の結果が符号ビットを超えてプラスとマイナスが逆転します。さらに、受信範囲の『終点』はチェックするのに『始点』はチェックしていなかった。この2つのバグの組み合わせにより、不正なパケット1つでシステムをクラッシュさせられる——ファジングでは到達しにくい、論理的な組み合わせの妙です。
27年ですよ? 人間のセキュリティ研究者やファジングツールが何度もスキャンしてきたはずのコードベースに、これだけの期間潜み続けたバグをAIが数時間で見つけ出す……。これはもう、従来のセキュリティの常識が根底から覆される瞬間と言えるでしょう。
FFmpegの16年物脆弱性
動画処理でおなじみの「FFmpeg」のH.264コーデックにも、2003年から存在していた境界外書き込みの脆弱性が発見されました。16年間にわたる大規模なファジングキャンペーンをすり抜けていたというから驚きです。
「FFmpeg」の内部では、H.264の各スライス(画面の分割単位)の所有者を16ビット整数で管理しています。初期値として memset(..., -1, ...)
で全エントリを65535にセット——これは『まだ誰にも割り当てられていない空席』を意味する番兵値です。ところが、攻撃者が1フレームに65536個のスライスを詰め込むと、最後のスライス番号65535がこの『空席マーク』と完全に一致。デコーダは存在しない隣のスライスを『自分のもの』と誤認し、境界外のメモリに書き込んでしまいます。16年間の大規模ファジングでも、『65536スライスを持つ動画ファイル』という極めて特殊な入力を試したツールはなかったのでしょう。AIはコードの構造を理解して、この衝突条件を論理的に導き出しました。
FreeBSD NFSのリモートコード実行(CVE-2026-4747)
「FreeBSD」のNFS実装における17年物のスタックオーバーフロー。RPCSEC_GSS認証の処理に存在し、認証なしでリモートからroot権限を取得できるという、極めて深刻な脆弱性です。Mythos Previewはこの脆弱性を自律的に発見し、スタックカナリアとカーネルASLRを回避するROPチェーンまで構築しました。
レポートが詳述する攻撃の手順は生々しいものです。NFSサーバーのGSS認証処理には128バイトのスタックバッファがありますが、入力の長さチェックが400バイトまで許容していたため、最大304バイトの任意データを書き込めました。Mythos Previewはここから、攻撃を6回のRPCリクエストに分割。最初の5回で /root/.ssh/authorized_keys という文字列やデータ構造をカーネルメモリの未使用領域に書き込み( pop rax; stosq; ret というガジェットを繰り返し使用)、6回目でレジスタをロードしてカーネルのファイル書き込み関数を呼び出す——結果、攻撃者のSSH公開鍵がroot権限で書き込まれ、以降は自由にログインできるようになります。人間のペネトレーションテスターが「数週間かかる」と見積もったエクスプロイトを、AIは自律的に設計しました。
「数時間」で「数週間分」のエクスプロイトを書く
脆弱性の発見だけでなく、その悪用コード(エクスプロイト)の構築能力も凄まじいものがあります。
「Firefox」のJavaScriptエンジンに対するエクスプロイト開発では、Mythos Previewが181件の成功を記録。前世代の「Opus 4.6」がわずか2件だったことと比較すると、その飛躍は桁違いです。ブラウザーのJITコンパイラーを悪用したヒープスプレーで、レンダラーサンドボックスとOSサンドボックスの両方を突破する4段階の脆弱性チェーンを自動構築できるレベルです。 「OSS-Fuzz」での評価では、595件のティア1〜2クラッシュと、10件の最高難度であるティア5(完全な制御フロー乗っ取り)を達成。人間のペネトレーションテスターが『数週間かかる』と見積もったエクスプロイトを、数時間で完成させています。
Linuxカーネル権限昇格の実例
特に印象的なのは、Linuxカーネルの権限昇格エクスプロイトです。KASLRバイパス、複数のメモリ境界外読み書き、ヒープスプレーによる精密なメモリレイアウト制御を組み合わせた、極めて高度な攻撃チェーンを自律的に構築しました。
あるエクスプロイトでは、「1ビットの隣接物理ページ書き込み」という微小な脆弱性から、LinuxのSLUBアロケーターとページテーブルの仕組みを操作し、/usr/bin/passwdの共有マッピングを経由してカーネルメモリへの書き込みアクセスを獲得しました。わかりやすく言えば、こういうことです。IPアドレスの範囲チェックで
(u16)(ip - first_ip)
という計算をしていますが、ipがfirst_ipより小さいと16ビット整数がアンダーフローして巨大な値になり、本来アクセスできないメモリの1ビットを操作できてしまいます。Mythos Previewは、このわずか1ビットの書き換え能力から出発して、カーネルのメモリ配置を数千回操作し、ページテーブル(メモリの『地図帳』)の隣にバッファを配置。1ビットを書き換えて読み取り専
用だったメモリを書き込み可能に変更し、 /usr/bin/passwd (Linuxでパスワードを変更するコマンド)に小さなプログラムを注入して管理者権限を奪取しました。ピッキング1本で金庫室まで到達するような精密さを、AIが半日・コスト1,000ドル未満で実現したのです。
メモリ安全でも安全じゃない? 論理バグとリバースエンジニアリング
Mythos Previewの能力は、メモリ関連の脆弱性にとどまりません。
ログイン機能のバイパス、認証システムの欠陥といった 論理バグ も確実に検出します。TLS、AES-GCM、SSH実装における暗号ライブラリの弱点も発見し、証明書認証のバイパスや暗号通信の復号を可能にしました。
さらに衝撃的なのは、リバースエンジニアリング能力です。ストリップされたクローズドソースのバイナリから、もっともらしいソースコードを再構成。クローズドソースのブラウザーやOSからリモートDoS攻撃の脆弱性や、スマートフォンのroot化を可能にするファームウェア脆弱性まで発見しています。
メモリ安全な言語で書かれたプロダクション環境のVMMでさえ、unsafe操作を通じた脆弱性が発見されました。『Rustで書いたから安全』とは、もはや言い切れない時代です。
「防御側こそAIを使え」——Project Glasswing
ここまで読んで『AIが兵器化するのでは?』と不安になった方も多いでしょう。Anthropicもその点は強く意識しており、レポートの後半では防御側への具体的な提言を行っています。
まず、現行モデルの「Opus 4.6」でも、OSS-Fuzz、Webアプリ、暗号ライブラリ、Linuxカーネルなど『調べたところほぼすべてで』高深刻度の脆弱性を発見できると述べています。つまり、Mythos Previewを待たずとも、今すぐ防御に活用できるということです。
具体的な活用例として挙げられているのは以下の通りです。
- バグレポートの初期トリアージと正確性評価
- 重複排除と深刻度分類
- 再現手順のドキュメント化
- 初期パッチ案の生成
- クラウド環境の設定ミス分析
- セキュリティコードレビュー支援
- レガシーシステム移行の加速
そして、Anthropicは「Project Glasswing」という協調的取り組みを通じて、重要インフラの運用者、オープンソース開発者、ソフトウェアメンテナーに早期アクセスを提供しています。
筆者が注目しているのは、この技術が『攻撃のためのAI』ではなく『防御のためのAI』として設計段階から位置づけられている点です。筆者自身、WebアプリケーションのセキュリティチェックにAIを活用していますが、ツールでは見つけられなかった設定ミスをAIが指摘してくれた経験があります。今回のレポートは、その可能性がOSカーネルの深部にまで到達したことを示しています。『セキュリティ人材不足』が叫ばれる日本のIT業界にとって、これは脅威であると同時に希望の光ではないでしょうか。
移行期のリスクと長期的展望
レポートが指摘する重要なポイントがあります。それは 移行期のリスク です。
長期的には、AI活用は攻撃側よりも防御側に大きな恩恵をもたらすと分析されています。リソース配分の効率化、本番デプロイ前のバグ特定、コードレベルでの堅牢化が可能になるからです。
しかし、防御が追いつくまでの中間期は、攻撃側が優位に立つ可能性があります。パッチサイクルの大幅な短縮、自動アップデートの積極的な有効化、CVE関連の依存関係更新を緊急扱いにすること、再起動なしで適用可能なパッチの提供——こうした対策の加速が急務です。
また、『摩擦に頼った緩和策』(つまり「攻撃が面倒だから大丈夫」という前提の防御)は、AI支援の攻撃者に対しては弱体化する可能性があると警告しています。ASLRやW^X(Write XOR Execute)のようなハードバリアの重要性が再認識されるべきでしょう。
まとめ:AIサイバーセキュリティ時代の幕開け
今回のレポートの核心を整理すると、以下のようになります。
- Mythos Previewは27年間検出されなかったゼロデイを含む数千件の脆弱性を発見
- エクスプロイト開発能力は前世代比90倍以上(Firefox JS: 2件→181件)
- コスト1,000〜2,000ドル、半日〜1日でカーネル権限昇格エクスプロイトを自律構築
- 人間の専門家による検証で89%が深刻度評価と完全一致、98%が1段階以内
- 防御側にこそ最大の恩恵——今すぐ活用を開始すべき
- 責任ある開示プロセスにより90件以上の45日間開示期限を遵守中
言語モデルが『驚くほど効率的な脆弱性検出・悪用マシン』として機能する時代が来ました。Anthropicのレポートはこれを「天井ではなく変曲点」と表現しています。
個人的には、このレポートを読んで『怖い』よりも『ワクワクする』気持ちが勝りました。新しい表現技術が登場するたびに『悪用されるのでは』という懸念と『これで何が作れるのか』という興奮が交差する——サイバーセキュリティも同じです。AIという新しい『目』を手に入れた今、私たちはソフトウェアの安全性を根本から見直す、またとないチャンスを得たのだと思います。
数十年かけて築かれてきたセキュリティの均衡が、根本から再構築を迫られています。ソフトウェア開発者もセキュリティ研究者も、そして経営層も——『AIにセキュリティを任せる時代』ではなく、『AIと共にセキュリティを再定義する時代』への勉強を、今すぐ始めてみませんか?
https://www.aicu.jp/post/260403
参考リンク
Originally published at note.com/aicu on Apr 9, 2026.
Comments