三者の正確な位置付け(2026 年 4 月 26 日時点)
| 名称 | 提供者 | 正体 |
|---|---|---|
| Claude Mythos Preview | Anthropic | 新ティアのフロンティアモデル(Opus 上位、コードネーム Capybara)。サイバー脆弱性発見・エクスプロイト生成能力が前例レベル。一般公開は見送り |
| Project Glasswing | Anthropic 主導の連合 | Mythos へのアクセスを統制する枠組み。Apple / Google / Microsoft / Cisco / Amazon 等を含む約 40 社のトラステッド・パートナーに限定提供 |
| Clearwing | Lazarus AI(Eric Hartford 氏) | Glasswing 同等のワークフローを GitHub で完全オープンソース公開(Lazarus-AI/clearwing)。LangGraph ベース、モデル非依存(Claude / GPT / Qwen 等) |
Mythos が「公開停止」になった経緯と理由
Anthropic は 2026 年 4 月 8 日、Mythos Preview の存在公表とほぼ同時に「公開しない」決定をアナウンスしました。これは Anthropic 自身が「前例のない決定」と位置付けるもので、Live Science / NBC News / Time / Malwarebytes など主要メディアは "Too Dangerous to Release"(公開するには危険すぎる)という見出しで一斉に報じました。
Anthropic が挙げた理由(一次情報)
- サイバー攻撃悪用リスク — 主要 OS・ブラウザ・重要ライブラリの脆弱性を自律的に発見し、エクスプロイトコードまで生成可能
- クリティカル・インフラへの脅威 — 医療・エネルギー・交通システムへの攻撃を「スーパーチャージ」する恐れ
- 具体的成果が示す危険性 — OpenBSD で 27 年間人間監査・ファジングを生き延びた脆弱性を発見した実例
Anthropic の公式立場は、「まずクリティカル・ソフトウェアの防御強化に使ってから、その後により広い展開を検討する」というものです。つまり「永続的に非公開」ではなく、「防御側が先に使い、攻撃側に追いつかれる前に守りを固めるための時間稼ぎ」が公式説明です。
"Too Dangerous to Release" 議論の歴史的文脈
この決定は、2019 年に OpenAI が GPT-2 を「悪用懸念で当初公開しない」と決め、後に段階的公開した歴史的議論を想起させます。Time / The Decoder などのメディアは 「Too Dangerous to Release が AI 業界の新常態になりつつある」と分析。フロンティアモデルが「強すぎて公開できない」状況が、6 年を経て再現された形です。
Mythos の能力(公表ベンチマーク)
| ベンチマーク | Mythos Preview の成績 |
|---|---|
| SWE-bench(実コード修正) | 93.9% |
| USAMO(米国数学オリンピック) | 97.6% |
| 専門家レベル CTF(capture-the-flag) | 73% |
| "The Last Ones"(多段企業ネットワーク攻撃シミュ) | 10 回中 3 回完遂(史上初) |
| CyberGym | 83.1% |
Clearwing が突きつけた「ゲート戦略の限界」
Glasswing の防御戦略は本質的に「Mythos へのアクセスを限定する」ことに依存していました。しかし発表直後、Lazarus AI の Eric Hartford 氏が Clearwing を GitHub で公開(Lazarus-AI/clearwing)。「真の革新はモデルではなくワークフロー」と指摘しました。
Clearwing のワークフロー(公開済)
- ファイルレベルのリスク評価 — 攻撃面の広さで掘る場所を優先順位付け
- 数百並列のエージェント展開 — 探索を massively parallel に
- クラッシュオラクル検証(AddressSanitizer / UBSan) — 偽陽性を物理的に削減
- 重複排除用の二次検証エージェント — 同じバグの多重カウントを排除
- エビデンスレベルの段階的割り当て — 報告品質の担保
同じ脆弱性を実際に再現
Hartford 氏は、Glasswing と Mythos が発見したのと同じ FFmpeg の脆弱性を Clearwing でも発見できることを実証しました。これは「ゲートで Mythos を守れば攻撃者は同等能力を得られない」という前提が、公開モデル + 公開ワークフローの組み合わせで覆ることを示した出来事です。
Hartford 氏の主張(要約)
「防御者は、最良のツールを使って自社ソフトウェアを守るために、許可を待つ必要はない」
Clearwing は Claude / GPT / Qwen など複数モデルで動作するため、Mythos へのアクセスがなくても同等の防御能力を得られる、というのが Lazarus AI の立場です。
追加の動き — 「無許可使用」報道(2026 年 4 月)
Mythos 公開停止後、「特定不能なグループが無許可で Mythos にアクセスしている」との報道が Gizmodo / Yahoo Finance などから出ています。Anthropic は調査中とコメント。「ゲートで守る」戦略の脆さを示すもう一つの傍証として、業界で議論が続いています。
企業セキュリティが今すぐ取るべき 4 つの対応
① 自社プロダクトの「自動探索前提」での再評価
公開後の Web サービス・SaaS・自社製品は、近い将来、防御側でも攻撃側でもこのレベルの自動探索にさらされる前提で評価し直す必要があります。「人間ペネトレーションテストでは見つからなかった = 安全」とは言えない時代です。
② AI 駆動セキュリティテストの導入
Clearwing 系のオープン実装、または商用パートナーとの提携で、自社プロダクトに対して定期的に AI 自動探索を回す運用を確立します。攻撃側が同じツールを持つ前提なら、防御側で先に回しておく方が有利です。
③ Bug Bounty / 脆弱性開示プロセスの再設計
AI が大量に脆弱性を発見する前提では、報告流入量が一桁上がる可能性があります。トリアージ体制、受付窓口、対応 SLA、報奨金体系を、AI 起点の報告増を前提に再設計する必要があります。
④ 上流ライブラリ・OSS の脆弱性監視強化
OpenBSD 27 年バグの例が示す通り、長く使われてきた基盤コードにも未発見の脆弱性が残存しています。自社コード以上に、依存している OSS の脆弱性ストリームを高頻度監視する体制が必要です。
エトラクトの伴走ポイント
- セキュリティアセスメント — 自社プロダクトの「AI 自動探索耐性」評価
- Clearwing / 商用ツール導入支援 — パイプライン構築、ガバナンス整備
- 脆弱性開示プロセス再設計 — トリアージ・SLA・報奨金体系の更新
- OSS 監視の自動化 — 依存ライブラリの脆弱性ストリーム監視と通知
まとめ
2026 年 4 月の Mythos 公開停止と Clearwing 公開は、AI セキュリティの「攻撃側 vs 防御側」非対称性が公的に消えた瞬間です。Anthropic が「公開できないほど強い」と認めたモデルが、オープン側で同等のワークフローと組み合わさった以上、企業側の対応もモデル単体の議論から運用ワークフローの再設計へ軸を移す必要があります。エトラクトでは、貴社プロダクトのセキュリティ評価から運用設計までを伴走でご支援します。
主要ソース(2026 年 4 月 26 日参照)
- Anthropic 公式: Claude Mythos Preview
- Lazarus-AI/clearwing (GitHub)
- NBC News: Why Anthropic won't release its new Mythos AI model
- Live Science: Claude Mythos explained
- TIME: 'Too Dangerous to Release' Is Becoming AI's New Normal
- Malwarebytes: Mythos — too powerful for public release
- Built In: Why Anthropic Won't Release Its New AI Model
- Gizmodo: Unknown group reportedly using Claude Mythos without permission
- The Decoder: From GPT-2 to Claude Mythos
- Schneier on Security: On Mythos Preview and Project Glasswing