Claude Mythosとは何か――Opus 4.7を一段超えるフロンティアモデル
Anthropic は2026年4月7日、レッドチーム研究の専用ドメイン red.anthropic.com 上で Claude Mythos Preview を発表した。同社が公開した技術ノートおよび Project Glasswing の説明ページによれば、Mythos は Opus 4.7 を「一段(a full capability tier)」上回るとされ、これまでの「Sonnet → Opus」という階層の上にもう一つ天井を作り直したモデルである。コード理解、推論、ツール利用、そして長時間にわたる自律実行のすべてで連続的なジャンプを記録しており、サイバーセキュリティ領域に至っては Opus 4.6 の 66.6% に対して 83.1% という、外挿線がたわむほどのスコア(CyberGym 脆弱性再現ベンチマーク)を叩き出している。
象徴的なのは Firefox 147 系に対する exploit 開発の差で、Opus 4.6 が数百回の試行で 2 本しか成立しなかった一方、Mythos は同じ条件で 181 本を成立させ、加えて 29 試行で register control まで到達したとされる。OSS-Fuzz の評価では tier1–2 で 595 クラッシュを、tier5 では 10 のターゲットで完全な制御フロー乗っ取りを達成。Anthropic 自らが「90 倍の改善」と表現したのは、こうした成立 exploit 本数の差分に基づく数字である。発見した脆弱性のうち 99% 以上が未パッチのまま残っているという公式の付記が、防御側がいかに後手に回っているかを端的に示している。
サンドボックスからの「越境」も社内テストで観測されている。クラウドネイティブやアットマーク IT の集計記事に拠れば、UK AI Security Institute による5月13日の独立評価では、Mythos は十分にハードニングされた企業ネットワークおよび産業制御系(ICS)のいずれに対しても、初めて完全自律で攻撃の最後まで通したという。Cloudflare が18日に出したレポートは、脆弱性のチェイニングや PoC 生成能力を讃えつつ、誤検知率の高さと安全策の脆さを同時に指摘しており、評価は「圧倒的だが、扱いを誤れば最悪」という二項対立に揺れている。
過去 ID 不明だった脆弱性の摘発実績も、Mythos の異常さを物語る。OpenBSD の 27 年もの SACK 実装欠陥、FFmpeg の H.264 コーデックに 16 年潜んでいたバグ、FreeBSD NFS の RCE(CVE-2026-4747)、Linux カーネルの権限昇格チェーンなど、いずれも歴戦の研究者が見落としていた領域である。Anthropic 自身のレッドチーム検証では、Mythos は完全自律で 17 年眠っていた FreeBSD の未認証 root を取れる RCE を発見・実装まで進めた。
90日プレビューが意味するもの――7月6日「期限」と各紙の温度差
Anthropic は Project Glasswing のローンチに際し、「向こう 90 日以内に、開示可能な学びと修正済み脆弱性を公開報告する」と明記している。起算日となる4月7日に 90 日を足すと7月6日。これが市場で広まっている「7月6日説」の出所であり、Polymarket の予測市場「Claude Mythos released by…」が6月30日決済を 19% の確率に置いていること(建玉 39 万 2,202 ドル=約 6,078 万円)と整合する。早期一般公開を否定する 81% という分布が示すのは、「7月6日前後の 90 日レポートを契機に、限定的なエンタープライズ API 開放へ動く」という見方が支配的だという事実である。
Bloomberg、Reuters、Built In などの主要紙は概ね「Q3–Q4 2026 に企業向け API、消費者一般化は 2027 年以降」という分析家コンセンサスを紹介している。Buildfastwithai は Claude Code 上に "claude-mythos-1-preview" の文字列が一時的に出現したスニペットを引いて「ローンチ準備が進む技術的痕跡」と書き、Yellow も同様に Claude Code の隠しトグルへの言及を続けた。日経新聞・日経クロステック・ITmedia NEWS(5月25日付)は、Anthropic が90日レポートの先取りとして「1万件超の重大度高い脆弱性発見、ただし修正追いつかず」と公表した点を大きく扱い、修正速度の遅延(disclosed の 1,596 件中 530 件が critical/high、97 件が認証・アクセス制御系)を強調した。Sustainable Japan は経産省・金融庁の警戒姿勢、Yahoo!ニュース転載の ITmedia 記事は「セキュリティビジネスの二極化」を見出しに掲げ、それぞれの紙面で温度差が出ている。
7月6日前後に観測されるであろう公式報告と並行して、6月にはサンフランシスコで Anthropic 主催の Code with Claude SF 2026 が控え、新モデルのリリースサイクルが伝統的に集中する時期にあたる。短命に終わった「Mythos Q3 発表」リーク(M1Astra のリーク文書に "03|2026" と書かれていたものが Q3 と誤読された経緯)を巡るやり取りは X 上で続いているが、現実的なシナリオは「7月6日 90 日レポート→Glasswing 拡大→限定 API(早ければ Q3 末)→Vertex AI / Bedrock / Microsoft Foundry での提供順次拡大」という順番に落ち着きそうである。Vertex AI 側ではすでに Mythos Preview のページが公開されており、Google Cloud Blog のアーカイブには "Preview" 表記が一時的に消えた挙動も観測されている。
シリコンバレーVCはこの戦略をどう読むか
a16z が2026年1月に過去最大の 150 億ドル(約 2 兆 3,250 億円)を新規ファンドとして集め、運用資産は Sequoia と並んで 900 億ドル(約 14 兆円)規模に達した。両社のサイバーセキュリティ枠は2025年比で大幅に拡大し、Lightspeed、Accel、CyberStarts と共に「AI ネイティブ・セキュリティ」への配分を引き上げている。a16z が今年3月にリードした某クラウド・セキュリティ企業の Series E は 3 億ドル(約 465 億円)、ARR ランレート 5 億ドル(約 775 億円)超という巨額案件で、テーマは明確に「攻撃側 AI の進化に対応した自動防御」である。
Bessemer Venture Partners は4月のレポート「Securing AI Agents」で、Gartner の「2026 年に企業アプリの 40% がタスク特化型 AI エージェントを内蔵」、IBM の「Shadow AI 漏えいの平均被害 463 万ドル(約 7 億 1,800 万円)」、Dark Reading 調査の「セキュリティ専門家の 48% がエージェント型 AI を最も危険な攻撃ベクトルと回答」という三つの数字を引き、可視化(Visibility)、設定(Configuration)、ランタイム保護(Runtime Protection)という三段階フレームワークと、CISO がやるべき五つの優先行動を提示した。「エージェントを従業員と同じく個別 ID で管理する」「最小権限で開始して段階拡張する」といった指針は、エージェント身元確認(KYa=Know Your Agent)の枠組みと寸分違わぬ方向性を指している。
VC の視点で重要なのは、Mythos のような攻撃側の生産性ジャンプが起きた時、お金が流れる先は二極化するという点である。一方は Mythos 級の能力をエンタープライズで安全に運用するためのインフラ(API ゲートウェイ、ガードレール、AI red team-as-a-service)、もう一方は「攻撃 AI と直接対峙しないで済む構造」を企業に売る老舗系プレイヤー(GitLab、Cloudflare、Palo Alto Networks、Zscaler、CrowdStrike など)である。後者は派手さに欠けるが、確実に営業数字が伸びる構造であり、Bessemer の言う「window is closing rapidly」のなかで CISO の決裁が出やすい。
企業対策1――SaaSをセルフホスト化し「自社の塀の中」へ
最も即効性のある防御策は、外部 SaaS に置いてあるソースコードや認証情報、業務データを「自社のドメイン内」へ取り戻すことである。GitHub Actions のサプライチェーン攻撃が2025年から2026年にかけて連鎖し、tj-actions/changed-files 侵害(23,000 リポジトリ影響)、Salesloft Drift 事件(700 組織以上)、Shai-Hulud 2.0(796 npm パッケージと 25,000 リポジトリ)、そして CVE-2026-3854(GitHub Enterprise Server 88% 未パッチ)と続いた事実は重い。マネーフォワードの GitHub ソースコード・個人情報流出に象徴される通り、GitLab セルフホストを核にした「究極のプライベート工場」へ向かう動きは急拡大している。Mythos がソースコード解析能力を一段ジャンプさせた今、リポジトリと SaaS マーケットプレイスの両方を「外」に置く構造そのものが脆弱性である。
具体的な代替は、すでに広く採用が進んでいる。Git ホスティングなら GitLab Community Edition、Gitea、そして2024年末に Gitea からフォークされたコミュニティ運営の Forgejo がある。Forgejo は Go 製の単一バイナリで 512MB の RAM でも動き、Forgejo Actions と呼ばれる GitHub Actions 互換 CI を内蔵する。コラボレーションは Slack 互換の Mattermost が代表格で、10 ユーザー規模なら SaaS 版 870 ドル(約 13.5 万円)/年に対し自社運用は VPS 代 240 ドル(約 3.7 万円)/年で 72% コスト削減になるという2026年版の試算が DEV Community に掲載されている。ファイル共有とドキュメント編集は Nextcloud(同条件で 1,440 ドル=約 22.3 万円が 240 ドル=約 3.7 万円、83% 削減)、ナレッジ管理は Outline(1,800 ドル=約 27.9 万円が 120 ドル=約 1.86 万円、93% 削減)、ID 管理は Go 製で OIDC を内蔵する Zitadel(Auth0/Clerk/Firebase Auth の代替)が定番である。パスワード管理は Bitwarden の自社運用版がデファクトで、ERP もベルギー発・評価額 70 億ユーロ(約 1.2 兆円)の Odoo の Community 版が選択肢となる。
主要 10 系統の SaaS をすべてセルフホストに切り替えた場合、SaaS 合算 11 万 1,729 ドル(約 1,732 万円)/年が VPS 代 1,584 ドル(約 24.6 万円)/年へ落ち、年間 98.6% のコスト圧縮になるという計算結果が広く引用されている。コスト削減自体が目的ではなく、Mythos に強制スキャンされ得る攻撃面を物理的に縮める手段としての価値が、2026 年下半期にかけて急速に増しているという点が VC マネーと CISO の決裁の両方を動かしている。
企業対策2――Claudeを用いたセキュリティ診断サービス
Mythos そのものは Glasswing の閉じた網の中にあるが、Anthropic は同時に「攻撃 AI に対抗するための防御 AI」を意図的に外向きに開いている。2026年2月20日に限定リサーチプレビューが始まった Claude Code Security は、Opus 4.6 を使った内部試験で 500 件超の脆弱性を本番オープンソース上で検出した実績を持ち、5月時点で Enterprise / Team プランの一部顧客にパブリックベータ提供が開始されている。コードを「既知パターンに照らす」のではなく、「データの流れと相互作用を人間の研究者のように追う」設計が特徴で、修正パッチ案まで提示する。最終的な適用判断は必ず人間が下すという安全弁を残している点で、Mythos と同じ思想で設計されている。Mythos が一般公開された瞬間には、Glasswing 経由ではなく直接 Mythos API を叩いて自社サイト・自社サービスのセキュリティ診断を即時実行することが、攻撃者と同じ最新世代モデルで自社の穴を洗い出し先回りされないための必須対応に変わる。公開当日からの自己診断こそが、Mythos 時代における事業継続性の最低ラインである。
エンタープライズ統合では、Anthropic が Claude Compliance API を新設し、Proofpoint(DLP、内部脅威、コミュニケーション・ガバナンス)、SailPoint(ID ガバナンス)、Varonis Atlas(AI 利用の可視化・誤用調査・リスク評価)といったメガベンダーがすでに連携を発表している。攻撃側の Mythos に対し、Anthropic 自社が運営する Cyber Verification Program は脆弱性研究・ペネトレーション・レッドチーミング用途で Opus 4.7 を正規に利用させる仕組みで、本記事執筆時点で多くのセキュリティベンダーが申請を進めている。
サードパーティのソリューションも厚い。ArmorCode は「Claude Mythos Security Playbook」を5月に公開し、検出から修正までを連携運用する設計指針を整理した(コンテキストに基づくリスクスコア、修正の自動オーケストレーション、AI ガバナンスの三本柱)。Cisco は AI Defense の Explorer Edition で動的エージェント・レッドチーミングを提供し、Snyk は Claude Skill ライブラリで脆弱性スキャナを統合、Repello AI は Claude Cowork セキュリティのデプロイメント運用を、Penligent はペネトレ・コパイロットとしての Claude Code 利用フレームワークをそれぞれ発表している。日本国内では、片山さつき金融担当大臣と3メガバンクによる日本版 Project Glasswing 設置の動きが進行中で、三菱 UFJ、三井住友、みずほの 3 メガバンクが2週間以内の Glasswing アクセスを獲得し、FISC 安全対策基準の改訂、全金融機関のペネトレ実施に向けた作業部会が立ち上がっている。
シリコンバレー VC の視点で見れば、ここに巨大なプロダクト・カテゴリが生まれつつある。攻撃側の「Mythos 級モデルが見つける 1 万件の脆弱性」と、防御側の「修正できる帯域」とのギャップを埋めるオートメーション(チケット起票、影響範囲分析、回帰テスト、デプロイ調整)こそ、ARR を 100 億円規模へ押し上げる中位レイヤーになる。Bain & Company は4月19日付の Insights で「Claude Mythos and the AI Cybersecurity Wake-Up Call」と題し、防御側の AI 投資を「保険ではなく前提条件」と位置づけたが、これはまさに VC が好んで使うフレーミングである。
企業対策3――インターネットから切り離す「閉域接続網」
UK AISI が5月の評価で示した重要な事実は、「Mythos は十分にハードニングされた防御を相手にすると自律攻撃を信頼性高く実行できない」という観察である。逆に言えば、堅牢なアクセス制御、ネットワーク・セグメンテーション、自動パッチ、ゼロトラスト、異常検知という基本制御がそろっていれば、Mythos 級の AI 攻撃にも相当の耐性が出る。なかでも「攻撃ベクトルそのものを物理的に断つ」のが閉域接続網である。
日本での代表例は NTT ドコモビジネスの docomo business RINK で、回線・クラウド・セキュリティを統合した Network as a Service(NaaS)として、閉域バックボーン経由で AWS / Azure / Google Cloud に直結する経路を提供する。ハイパースケーラ側の対抗サービスは AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect の三本柱で、いずれも物理層に IEEE 802.1AE MACsec 暗号を被せ、トラフィックを各社のグローバルバックボーン上に閉じ込める。2026年4月には AWS Interconnect が GA となり、AWS と Google Cloud を結ぶマネージドな Layer3 接続が初めて単一サービスとして利用可能になった(年内に Azure、OCI への拡張予定)。多くの企業がマルチクラウドの「閉域メッシュ」を組み直す動機が、Mythos の登場で強烈に増している。
実装パターンとしては、SaaS をセルフホスト化した上で、社外公開すべきエンドポイントを最小化し、AWS PrivateLink、Azure Private Endpoint、Google Cloud Private Service Connect と組み合わせて「インターネットから到達できる API は WAF 経由の入口のみ」という構造に絞り込む。VPN は公衆網に乗せた暗号化トンネルにすぎないが、閉域網は「不特定多数が到達できる場所にトラフィックを置かない」というアーキテクチャ上の防御であり、Mythos のような自律スキャナーに対しては質的に意味が違う。VC マネーの動きでも、Megaport(マルチクラウド NaaS)、Equinix(Equinix Fabric)、PacketFabric などが拡大基調にあり、ハイパースケーラ自身も Direct Connect / ExpressRoute / Interconnect の値下げと帯域拡張を続けている。
広がるデータ主権・ローカルファーストの考え方、英国・EU の Sovereign Cloud 要件、日本の経済安全保障の議論も、結局のところは「自国・自社の物理境界の内側でしか動かさないデータと計算」という考え方に収斂している。これは Mythos の存在によって、規制ドリブンから「実利ドリブン」へ性質を変えつつある。
企業対策4――専任チームを置き、防御を「日常業務」化する
Mythos 級の AI 攻撃に対しては、年次のペネトレーション・テストでは時間軸が完全にずれている。Palo Alto Networks の Unit 42 が5月の更新版で「3〜5 ヶ月の狭い時間窓のうちに、攻撃側に追いつく必要がある」と書いたとおり、防御は「常時走る業務」へ転換しなければならない。同社の5月セキュリティ・アドバイザリで CVE 26 件・問題 75 件を一気に開示したのは、自社プロダクト 130 個超をフロンティア AI で再スキャンした結果であり、典型的な「Mythos 時代の運用」を象徴している。
組織側の対応としては、まず CISO 直下に「フロンティア AI 防御チーム」を置く動きが本格化している。Anthropic 自体が Frontier Red Team を内製化しており、外向きには Cisco AI Defense Explorer Edition、Palo Alto Networks の Frontier AI Defense Service(Unit 42 提供)、SentinelOne の AI Red Teaming サービスなどが製品化された。マルチエージェント型のレッドチーミングが標準化しつつあり、社内 AI エージェントを可視化するマルチエージェント・オーケストレーター・ダッシュボードと組み合わせて、防御エージェントが攻撃エージェントを 24 時間相手取る構成へ向かっている。
具体的な役割設計としては、AI 攻撃検知(SOC の AI 強化)、エージェント身元管理(KYa=Know Your Agent)、脆弱性トリアージ(Mythos 級が生成する大量検出を人間が処理可能な単位に絞る役)、修正オーケストレーション(チケット起票から本番反映までの自動化)、ガバナンス(プロンプト・レスポンス・ファイル・管理アクションを記録するコンプライアンス層)の 5 機能が標準化されてきた。Bessemer の挙げる 5 つの CISO 優先行動と一致する内容で、これらを担当する人材を最低でも 3〜5 名規模の「専任ユニット」として恒久的に置くことが、Mythos 一般公開後のリスクをマネジメント可能な範囲に保つための実務的なボトムラインとされる。
なお、IANS Research のシニアアナリストが「我々は、発見と悪用の間にタイムラグが完全に消えた世界に備えなければならない」と述べたのは強い警句として記憶されるべきである。専任チームの仕事は「攻撃を未然に止める」よりも「攻撃が成立する前にパッチを当て切る速度を作る」という方向にシフトしている。
今後のマイルストーン――何を見ていれば動きが分かるか
直近 4〜6 週間で観測しておくべきイベントは、Anthropic の Project Glasswing 90 日レポート(7月6日前後)、6月開催の Code with Claude SF 2026、UK AISI / Cloudflare の追加評価レポート、Polymarket 上の「Mythos by Q3 2026」「by year-end 2026」決済の確率変動、そして Vertex AI / Bedrock / Microsoft Foundry 上の Mythos Preview ページの "Preview" 表記の変化である。Anthropic は安全策の変更を「事前に告知する」と公言しており、突然の一般公開は構造上起きない。だからこそ、上記のシグナルが揃った瞬間が「Q3 末から Q4 にかけての段階的エンタープライズ API 開放」の引き金になる蓋然性が高い。
並行して観測すべきは、攻撃側の動きである。OpenAI Cyber の同等モデル、Google DeepMind の防御特化エディション、Meta SuperIntelligence Labs の対応モデルといった「Mythos 級競合」が登場するタイミング次第で、Anthropic 側の安全策と一般公開計画も前後する。Anthropic 自身が「同等能力を持つモデルが他社からも 6〜18 ヶ月以内に出る」と見積もっており、Glasswing 1 年延長や、防御コミュニティへの段階的拡張(Glasswing II の検討)も視野に入る。
シリコンバレー VC マネーの動きを総合すると、防御側の三本柱(セルフホスト OSS、閉域網、専任チーム+AI 診断)に資金が集中し、攻撃側 AI に直接触れない構造を顧客に売る企業の評価額が上がる時代に入った。Mythos の一般公開時期がいつであれ、上記四つの対策はいま着手しても遅すぎることはなく、むしろ「90 日レポート発表後の発注ラッシュ」が始まる前に粛々と進めておくことが、賢明な CISO の選択である。