Claude Mythosは「誇張」か「転換点」か｜UK政府独立評価・小型モデル比較の3論点

「オープンウェイトモデルがバグ発見でフロンティアモデルに追いつくまで、あと6ヶ月だ。その後は、ランサムウェアグループ全員が痕跡を残さずにバグを武器化できる」。元FacebookとYahooのCSO、現Corridor CPOのAlex Stamosが4月7日のMythos発表直後にこう警告した。

それから2週間が経過した。英国AI安全機関（AISI）の独立評価報告書が公開され、AISLE社の検証では36億パラメータの小型モデルがAnthropicの公開サンプルと同じゼロデイを特定した。「危険すぎて公開できない」という主張を巡る専門家の論争は、より具体的な形をとりはじめている。

何が事実で、何が誇張か。3つの論点を整理する。

論点1：英国政府機関が明かしたMythosの実力と限界

4月13日、UK AI Safety Institute（AISI）がMythos Previewのサイバー能力評価報告書を公開した。Anthropicとは独立して行われたこの評価は、「数字は正しいが条件に注意が必要」という複雑な結論を示した。

AISIが確認した能力

• 専門家レベルのCTFタスクで73%成功（2025年4月以前はどのモデルも解けなかったタスク群）
• **32ステップのネットワーク侵害シミュレーション「The Last Ones」**を10回中3回（30%）完了
• 全試行の平均で32ステップ中22ステップを自律的に実行（人間の専門家が約20時間かけるタスク）

Opus 4.6の同一シミュレーションでの平均は16/32ステップ。差は明確だ。

テスト環境の限界

AISIが強調したのは、テスト環境の条件だ。評価レンジには以下がなかった。

• ライブ防御者（SOCアナリスト等）
• エンドポイント検知・対応（EDR）システム
• リアルタイムのインシデント対応
• アラート発報時のペナルティ

AISIは報告書で「Mythos Previewが実際の十分に防衛されたシステムを攻撃できるかどうかは確言できない」と明記した。「小規模で防御が手薄なシステムへの自律的な侵害は可能」だが、エンタープライズ環境への一般化は早計という判定だ。

論点2：「神話崩壊」｜小型モデルが同じバグを特定した

4月中旬、The Decoderが掲載した「Claude Mythosの神話は崩壊しつつある」は、AIセキュリティ界隈で広く拡散した。

AISLE（AIセキュリティ評価企業）が8つのモデルに、Anthropicが公開したサンプルと同じ脆弱性コードを与えてテストした。結果は衝撃的だった。

GPT-OSS-20b（アクティブパラメータ数36億、コスト$0.11/Mトークン）は：

• FreeBSD NFSスタックバッファオーバーフロー脆弱性を正確に特定
• 1回の実行で公開済みエクスプロイトチェーンを完全再現
• 実際のOpenBSDパッチ内容をほぼそのまま提案

「広範なスキャンには、1つの高度なモデルではなく、小型・低コストモデルを組み合わせる戦略が有効だ」とAISLEは結論づけた。

ただし「ギザギザの前線」がある

結果は単純ではない。Claude Opus 4.6はOpenBSDの脆弱性を3回中3回再現したが、GPT-5.4は1度も成功しなかった。モデルによって得意・不得意が異なる「jagged frontier（ギザギザの前線）」が存在する。

Mythosが小型モデルに対して依然として優位を保つのは、32ステップ以上の自律的なマルチステップ攻撃チェーンの構築だ。単発の脆弱性発見ではなく、「偵察→侵害→横展開→完全掌握」を自律的につなぐ能力。これが現時点での本質的な差分だ。Nicholas Carliniが言う「3〜5の脆弱性を連鎖させた洗練されたエクスプロイトの自律構築」は、小型モデルにはまだない。

論点3：「危険すぎる」は本当か｜compute制約説とPR戦略論

最も複雑な論点が、Anthropicの非公開判断の動機だ。

Financial Timesが報じたcompute制約

4月17日、Financial Timesは「複数の内部関係者の証言」として、Anthropicがより広いMythos公開を見送っているのは安全上の理由だけでなく、「顧客に安定的に提供できるほどのインフラが整っていない」ことも実質的な理由だと報じた。AnthropicはAI障害を繰り返しており（4月15日の大規模障害を含む）、コンピュート供給が需要に追いついていない状況だ。

Marc Andreessenはこの点を問う。「AnthropicのMythos非公開決断のうち、どれだけが安全への懸念で、どれだけがcompute不足の現実なのか」。

Schneierの「マーケティングハイプ」批判

著名セキュリティ研究者Bruce Schneierは、Anthropicの広報戦略に懐疑的だ。

「記者たちはAnthropicのトーキングポイントを興奮気味に繰り返している。これは非常によく書かれたPR資料だ」（Schneier on Security、2026年4月）

しかし同時に、「パニックしている人々の問題意識は正しい」とも述べ、「このサイバーセキュリティの変革は我々が準備できるより早く来る」と警告した。批判と懸念を両立させる評価だ。

Sacksが指摘したパターン

元ホワイトハウスAIアドバイザーDavid Sacksは、Anthropicが「製品リリースと恐怖レポートを常にセットで出す」パターンを指摘した。ブラックメール研究、感情ベクトル研究、そして今回のMythosサイバー評価。全てモデルリリース前後に集中している。

だが注目すべきはSacksの結論だ。「サイバーについては、今回はリアルサイドに近いとクレジットを与える」。Mythos批判論者の中でも最も声高な人物の一人が認めた言葉の重さは、軽くない。

「6ヶ月ウィンドウ」｜セキュリティチームが今すべき3つのこと

AISIの報告書、Stamosの警告、Mythosの能力と限界を総合すると、組織に迫られる行動は明確だ。

1. AIタッチポイントをいま把握する

BarracudaとISACA（2026年4月）が共通して強調するのは、「AIが社内データや社内システムにアクセスできる経路をすべてマッピングすること」だ。チケットの読み取り、コードの生成、APIの呼び出し。AIが関与するすべての場所がMythosレベルの脅威のベクターになりうる。

2. パッチレビュー体制を先手で整える

CSA（クラウドセキュリティアライアンス）は「脆弱性とパッチの洪水」を警告している。Glasswingの発見が公開され始めると、パッチ適用速度が防衛の鍵になる。現在の脆弱性対応プロセスのリードタイムを計測し、ボトルネックを先に特定しておくべきだ。

3. 「小型モデル脅威」を過小評価しない

Stamosの「6ヶ月」はフロンティアモデルの話だが、AISLEの検証は今すでに小型オープンモデルが同等の単発脆弱性発見能力を持つことを示した。ランサムウェアグループはMythosを必要としない可能性がある。社内システムの脆弱性スキャンを、小型モデルが武器として使えると仮定して見直すことが現実的な備えだ。

Anthropicが公開できない理由に迫った完全ガイドでは、Mythosの具体的なベンチマーク数値とProject Glasswingの全体像を解説している。

関連記事:

• Claude Mythos Preview完全ガイド｜危険すぎて公開できないAIとGlasswing計画
• Anthropic Claude Mythosリーク事件の全貌｜CMSミスが暴いた極秘モデルの存在
• OpenAI GPT-5.4-Cyber完全ガイド｜セキュリティ研究者向け限定モデルの実力
• Anthropic完全ガイド｜Claude生みの親の全貌：創業・思想・技術・未来

※本記事の情報は2026年4月21日時点の筆者調査に基づく。セキュリティ上の判断は組織の専門家に相談すること。Anthropic・各社のサービス仕様・公開方針は予告なく変更される場合がある。