Claude MythosとProject Glasswing、そしてOpenAIのTAC — サイバーAIの配り方を各社はどう設計したか
Anthropicが発表したClaude MythosとProject Glasswing、OpenAIが続いて公表したTACとGPT-5.4-Cyber。両社のサイバーセキュリティAIへのアプローチの違いを整理し、日本の防御側の視点から論点を読み解きます。
はじめに
2026年4月、AnthropicとOpenAIが一週間違いで「サイバーセキュリティ向けに特別に扱うAIモデル」の存在と、その配り方の枠組みを公表しました。
4月7日、AnthropicはClaude Mythos Previewと、Mythosを防御目的で運用する共同体Project Glasswingを発表。4月14日、OpenAIはGPT-5.4-CyberとTrusted Access for Cyber(TAC)プログラムを公表しました。
どちらも「サイバー能力の高いモデルをどう配るか」という問いに対する答えですが、設計思想はかなり違います。Anthropicは招待制のエンタープライズ連合。OpenAIはKYCベースの個人アクセス可能な枠組み。
この記事では、両社の発表内容を整理しつつ、業界からの反応と批判、そして日本の防御側が今考えておくべき論点を、事実と解釈をできるだけ分けて整理します。
Claude Mythos Previewとは何か
Anthropicが主張している能力
Claude Mythos Previewは、Anthropicが開発した未公開のフロンティアモデルです。汎用モデルとしての性能も高いとされますが、Anthropicが特に強調したのはサイバーセキュリティ領域のベンチマーク結果です。
| 指標 | Mythos Preview | Claude Opus 4.6(比較) |
|---|---|---|
| エキスパートCTF成功率 | 73% | - |
| エクスプロイトコード自動生成 | 83.1% | 66.6% |
| TLO(32ステップ攻撃)完走 | 3/10回 | 0/10回 |
| TLO平均到達ステップ | 22/32 | 16/32 |
CTFは「Capture The Flag」と呼ばれるセキュリティ競技の形式です。TLOは英国AI安全研究所(AISI)が構築した「The Last Ones」と呼ばれる32ステップの企業ネットワーク攻撃シミュレーション。人間の専門家が約20時間かかるタスクを、Mythos Previewは一部のランでAIとして初めて完走したと報告されています。
ただしAISIは重要な留保を付けています。 この評価はアクティブな防御者・EDR・リアルタイムのインシデント対応が存在しない、比較的守りの弱い環境下での結果であり、よく防御された実環境に同じように通用するとは言えないと明記されています。OT(運用技術)向けのレンジでは完遂できなかったことも報告されています。
つまり「サンドボックスの中では強い」という結果であり、そのままリアル環境に持ち出した時の通用度は別途評価が必要だと、評価機関自身が注意喚起しているわけです。
Anthropicが示した発見事例
Anthropicが公表した代表的な発見は3つです。
- OpenBSDの27年モノの脆弱性 — リモートクラッシュを引き起こす欠陥
- FFmpegの16年モノのバグ — 500万回以上の自動テストをすり抜けていた
- FreeBSDの17年モノのRCE脆弱性(CVE-2026-4747)— NFS経由でroot権限を奪取可能
Anthropicはこれらを「人間の介入なしに発見・実証した」と説明しています。一方、後述するとおり、これらの発見の一部は他のモデルでも再現可能だったという指摘も出ています。
なぜ一般公開しないのか
Anthropicは「攻撃側が使うと深刻な被害が出る能力レベルに達したため、防御側に先に配る必要がある」と説明しています。Dario Amodei(Anthropic CEO)の発表コメントです。
“The dangers of getting this wrong are obvious, but if we get it right, there is a real opportunity to create a fundamentally more secure internet and world than we had before the advent of AI-powered cyber capabilities.”
より強力なモデルは今後、自社からも他社からも出てくる。だから先に防御側を固める時間が必要だ、というロジックです。このロジック自体の是非は、後述する業界反応のセクションで整理します。
Project Glasswingの構造
Project Glasswingは、Mythos Previewを防御目的に限定して運用するためのイニシアティブです。
| 項目 | 内容 |
|---|---|
| 創設パートナー | AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks(計12組織) |
| 追加参加組織 | 40組織以上 |
| 資金拠出 | 最大1億ドルのAPI利用クレジット + 400万ドルのOSSセキュリティ団体への寄付 |
| 寄付先 | Alpha-Omega/OpenSSF(250万ドル)、Apache Software Foundation(150万ドル) |
| 報告義務 | 90日ごとに発見・修正した脆弱性を公開レポートとして報告 |
| アクセス形態 | 招待制。セルフサーブ登録なし |
Ciscoの Anthony Grieco(SVP & Chief Security & Trust Officer)は「This work is too important and too urgent to do alone」とコメントしています。これは参加企業の1コメントであり、業界全体の総意として扱うと話を盛りすぎになります。ただし、大規模インフラを抱える企業のセキュリティ責任者がAIによる底上げを真剣に検討している、という程度には受け取れます。
構造的な非対称性という論点
Glasswingの90日報告ルールには、見落とせない非対称性があります。参加企業は脆弱性情報をいち早く入手して先に修正できる一方、Glasswing外の組織は90日後に知見を受け取る構造です。
これに対しては「大企業が先に硬くなり、その他の組織と攻撃者が同じスタートラインに立たされるのではないか」という懸念が、Redditの技術者コミュニティ(r/cybersecurity、r/netsec)で繰り返し指摘されています。
Anthropicは公式には、寄付先であるOSS団体(Alpha-Omega/OpenSSF、Apache Software Foundation)を通じて、広く使われるOSSに対しては参加企業と同じタイミングで恩恵が届くとみられる、という位置づけをしています。ただし企業のプロプライエタリ環境について、非参加組織をどうカバーするかは現時点で具体的な仕組みが示されていません。
OpenAIのTACとGPT-5.4-Cyber
Anthropicの発表から1週間後、OpenAIは別のアプローチを公表しました。
OpenAIが掲げた3原則
OpenAIは「Scaling Trusted Access for Cyber Defense」という記事で、サイバーセキュリティAIの配り方について3つの原則を示しました。
- Democratized access(民主化されたアクセス) — KYCによる本人確認を通じて、招待制ではなく広くアクセスを開放する方針。「誰が防御できるかを中央集権的に決めるのは適切ではない」と明言している
- Iterative deployment(段階的展開) — 慎重に世の中に出しながら学び、改善していく
- Investing in ecosystem resilience(エコシステムの強靭化) — グラント・OSSへの貢献・Codex Securityなどを通じて、コミュニティ側の底上げを続ける
TACプログラムの階層構造
TAC(Trusted Access for Cyber)は段階的なティア制になっています。
| ティア | 対象 | アクセス方法 |
|---|---|---|
| 基本アクセス | 個人のセキュリティ研究者 | chatgpt.com/cyber でKYC本人確認 |
| 追加認証 | 組織・企業 | OpenAI担当者経由でチームアクセスを申請 |
| 最上位(GPT-5.4-Cyber) | 認定されたセキュリティベンダー・組織・研究者 | 最上位の審査を経てアクセス |
GPT-5.4-Cyberの能力
最上位ティアで提供されるGPT-5.4-Cyberは、GPT-5.4をサイバーセキュリティ向けにファインチューニングしたモデルです。OpenAIが強調しているのはバイナリリバースエンジニアリング能力で、ソースコードなしのマルウェア解析に対応するとしています。
Codex Securityという既存の実績
OpenAIはTAC発表に合わせて、Codex Securityが過去半年でクリティカル・高リスクの脆弱性を3,000件以上修正に貢献したと公表しました。これはGlasswingの「90日ごとに報告する」約束と対比されやすい数字です。Glasswingは、現時点では枠組み設計と初期参加体制の提示が中心で、公開実績の蓄積はこれからの段階にあります。
AnthropicとOpenAIのアプローチ対比
両社の発表を並べると、以下のような違いが浮き彫りになります。
| 観点 | Anthropic Glasswing | OpenAI TAC |
|---|---|---|
| 個人アクセス | なし(招待制) | あり(KYCで可) |
| アクセス判断主体 | Anthropicが招待 | KYCの自動審査 + 段階的な人による審査 |
| 参加形態 | 12社の創設パートナー中心 | 個人 → 企業 → 認定ベンダーの階層 |
| 最上位モデルへのアクセス | Mythos Previewも創設パートナー中心 | GPT-5.4-Cyberは認定ベンダーのみ |
| 公開される累積実績 | 90日ごとの報告(これから) | Codex Securityで半年3,000件修正(実績として先行) |
| ポジション表現 | 共同体としての責任 | 「中央集権的に防御者を決めない」 |
Anthropicは「危険なので信頼できる組織に絞って配る」方向、OpenAIは「本人確認をベースに広く配りつつ、危険度の高いモデルだけ別ティアにする」方向、と整理できます。どちらが正しいかを判定する立場に私はありませんが、少なくとも、サイバー能力の高いモデルの配り方に単一の正解があるわけではないことは見えてきます。
業界の反応を3類型で整理する
Mythosへの反応は、立場によって論点が分かれます。人名を並べる前に、類型で整理しておきます。
類型A:能力は本物派
独立評価の結果(AISIの検証)やベンチマーク差分を根拠に、「閾値を超えた性能は実在する」と受け止める立場です。
- Simon Willison(Datasette開発者)は「リスクは仮説ではなく現実だ」とし、アクセス制限を支持
- Firefoxの脆弱性に対するエクスプロイト生成で、Opus 4.6が数百回で2回しか成功しなかったのに対し、Mythos Previewは181回成功したというデータが類型Aの根拠としてよく引かれる
類型B:ハイプ警戒派
発表の提示の仕方や再現可能性に懐疑的な立場です。
- Gary Marcus(NYU名誉教授)は、テスト環境のサンドボックスが無効化されていたこと、既存のオープンウェイトモデルでも同様の脆弱性を発見できること、Mythosの性能はGPT-5.4と比べてトレンド上の微増に過ぎないことを指摘
- AI研究者のStanislav Fortは、Anthropicが売りにしたFreeBSDの脆弱性を、8つの既存モデル全てで再現できたと実験で報告
- Tom’s Hardwareは、「数千の深刻なゼロデイ」という主張が実際には198件の手動レビューに基づく外挿であることを指摘
- Bruce Schneier(セキュリティ研究者)は「This is very much a PR play by Anthropic — and it worked」と評し、多くの記者がAnthropicの主張を無批判に拡散していると述べている
類型C:実務論点は別派
能力の評価そのものより、実務上のボトルネックが別のところにあることを指摘する立場です。
- Contrast SecurityのCISO David Lindnerは「We’ve never had a problem finding vulnerabilities. We find them every day. We actually have a pile of them that we just don’t fix」と発言。発見ではなく修正のキャパシティが本当の問題だと整理
- 同じくLindnerは、Mythosが発見した脆弱性の99%以上が未修正のままであるというデータも挙げている
- Zvi Mowshowitz(AIアナリスト)は、Mythosが主張通りの能力を持つことには「圧倒的な証拠がある」としつつ、「正当な指摘と有益な分析に、誇張とハイプを混ぜている」と評し、能力の評価と提示の仕方の評価を分けて論じている
この3類型は互いに排他的ではありません。類型Aと類型Cを同時に取る立場もあり得ます。実務の現場では、その両方を踏まえて判断する見方が比較的取りやすいでしょう。
市場の反応(参考情報)
Mythosの情報が3月27日にリークされた前後で、サイバーセキュリティ関連株は軟調に推移しました。Akamai Technologies、Palo Alto Networks、CrowdStrike、Fortinet といった銘柄が二桁近い下落を見せ、S&P 500 ソフトウェア&サービス指数は年初来で大きく沈んでいます。
ただし、株価は単一要因で動くものではありません。AIの進展、金利動向、セクターローテーション、個別企業の決算など複数の要因が絡むため、「Anthropicの発表が数兆ドルを消し飛ばした」と因果を断定するのは不正確です。市場に一定の懸念が広がった、という程度が事実として言えるラインになります。
日本の防御側はどう動くか — 主語別に整理する
ここからは私の解釈と提案です。「日本企業全体」と一括りにすると抽象的になるので、組織内の誰がどう動くかを主語別に分けて書きます。
先に確認:AISIが強調している基本線
AISIはMythos Previewの登場を踏まえても、セキュリティ更新の適用・強固なアクセス制御・適切なセキュリティ設定・包括的なログ取得といった基本対策の重要性を改めて強調しています。AI製品を探す前に、この土台が崩れていないかを確認するのが先です。
情シス部門
攻撃能力の底上げに備えるために、まずやれることはAI固有の話ではなく、資産管理と脆弱性管理の基本線を強化することです。
- SBOM(Software Bill of Materials)の整備。Glasswingが対象にしたのは世界中のインフラが依存するソフトウェア群で、自社システムが何に依存しているかを把握できていないと、公開された脆弱性情報が自社に効くかどうかも判断できない
- パッチ適用のリードタイム短縮。Lindnerの指摘どおり、問題は「見つけること」ではなく「直すこと」。パッチ提供からデプロイまで何日かかっているかを測ることが最初の一歩
- 既存アクセス制御の棚卸し。AISIが繰り返す「基本対策」のうち、アクセス制御は多くの組織で穴が残りやすい領域
SOC(セキュリティオペレーションセンター)
AIによる攻撃速度・量の変化に、アラート処理が追従できるかが論点になります。
- アラートの自動トリアージ・初動封じ込め案の生成・影響範囲整理など、AI前処理を組み込む検討。全自動を目指す必要はなく、人の判断の前に情報整理を速くする設計で十分意味がある
- 検知ルールの観点で「AIが生成したエクスプロイト」を想定した検知シナリオを追加。同じ既知脆弱性でも、AI支援により試行回数が桁違いに増える可能性がある
PSIRT / 製品セキュリティ
自社製品を守る側としては、発見される脆弱性の量が増える前提で運用を組み直す必要があります。
- 脆弱性受付フローのスループット再設計。外部研究者からの報告がAI支援で増える場合、従来のトリアージ体制では詰まる可能性が高い
- 自社製品内OSSの脆弱性監視。Glasswingの枠組みで発見されたOSS脆弱性は、90日以内に自社にも影響する可能性がある
開発部門
ランタイムの防御だけでなく、設計段階でのリスク低減が効く領域です。
- AIを使った自社コードの事前監査をCIに組み込む検討。類型Bの指摘どおり、既存のオープンウェイトモデルでも相応の脆弱性検出はできるので、Mythos級を待つ必要はない
- 脆弱になりやすいコードパターン(メモリ安全性、入力検証、権限境界)の言語・フレームワーク選択レベルでの見直し
経営層
「AI防御を導入する」という判断だけでなく、どの部門にどれだけ予算を追加するかの配分まで含めた意思決定が必要です。
- 情シス・SOC・PSIRT・開発それぞれで必要な投資は性質が違う。ひとまとめに「AIセキュリティ予算」として配ると、現場での使い道が絞り込めず効果が出にくい
- 90日ルールや本人確認(KYC)ベースのアクセスなど、各社が提示する枠組みに自社が直接参加すべきかどうかの判断も経営レベルの論点になる
最初に影響を受けやすい業種
すべての業種が同時に影響を受けるわけではありません。構造的に先にリスクが顕在化しやすいのは以下のあたりだとみられます。
- 金融 — レガシー基幹システムの比率が高く、公開情報も多い
- 製造 — OT環境は現時点のMythos評価で完遂できなかった領域だが、IT側のサプライチェーンは影響範囲内
- 医療・ヘルスケア — Glasswingの創設パートナーに含まれていないセクターで、守る側の組織化が遅れている
これらの業種のSOC・PSIRT責任者は、他業種より一段早く動いたほうが良いとみられます。
まとめ
Claude Mythos PreviewとProject Glasswing、そしてOpenAIのTACとGPT-5.4-Cyberが同時期に出てきたことで、サイバーセキュリティAIを「どう配るか」という設計問題が表に出てきました。能力そのものの評価は類型Bの指摘もあり、確定的に書けるフェーズではありませんが、少なくとも整理できる論点は増えました。
今回の一連の発表から読み取れることをまとめます。
- 能力評価はまだ分かれている。 AISIの独立評価や閾値越えの主張がある一方で、既存モデルでの再現報告や「198件から数千件への外挿」といった批判もある。現時点では「大幅に高い能力を示したとみられる」くらいの留保が適切
- 配り方の設計は各社で違う。 Anthropicは招待制の共同体、OpenAIはKYCベースで個人まで開く方針。これは優劣の問題ではなく、どちらのリスク観を取るかという設計思想の違い
- 実務のボトルネックは「見つけること」より「直すこと」。 Lindnerの指摘は業界の現実として重い。日本の情シス・SOC・PSIRT・開発それぞれで、パッチ適用と脆弱性対応のスループットを測るところから始めるのが筋
- この能力は拡散する方向にある。 OpenAIが続き、他社も追随するとみられる。「どこか1社が封じ込めれば済む」話ではない
現実的な争点は「AIが危険かどうか」ではなく、AIが脆弱性発見と防御運用の速度をどこまで変えるかです。日本の防御側にとって本当に重要なのは、Mythosそのものを使えるかどうかではなく、AI支援型の攻撃と防御が前提になる数年後に備えて、自社の運用のどこを前倒しで直すかだとみています。
Dario Amodeiの言葉を借りれば、「より強力なモデルは、我々からも他社からも出てくる」。その前提でセキュリティ態勢を見直す作業は、どの業種においても、検討段階から準備着手の段階へ移りつつあると見てよいでしょう。
コメント