Claude Mythos Previewが掘り当てた数千のゼロデイとProject Glasswingの防御網
目次
Anthropicが2026年4月7日に発表したClaude Mythos Previewは、汎用言語モデルでありながらサイバーセキュリティタスクで突出した性能を示し、そのまま公開できないと判断されたフロンティアモデルだ。同社のFrontier Red Team(攻撃者視点でシステムを評価する専門チーム)がred.anthropic.comで公開した技術レポートは、このモデルが主要なOSとWebブラウザすべてを含む広範なソフトウェアで数千件のゼロデイ脆弱性を発見した事実を記録している。
核心にあるのは一つの認定だ。AIモデルの攻撃能力が人間のセキュリティ専門家を上回る段階に入ったと認めた上で、その能力を防御側に限定して提供する。Project Glasswingはその枠組みであり、AWS、Apple、Google、Microsoft、Nvidia、Broadcom、Cisco、CrowdStrike、Palo Alto Networks、JPMorganChase、Linux Foundationの12社が創設パートナーとして名を連ねた。
Opus 4.6からの飛躍
Mythos Previewの能力を測る最もインパクトある比較は前世代との直接対決だ。FirefoxのJavaScriptエンジンに対するエクスプロイト開発テストでは、Opus 4.6が数百回試行して2回しか成功しなかったのに対し、Mythos Previewは181回の動作するエクスプロイトを生成し、さらに29回でレジスタ制御を達成した。
OSS-Fuzzコーパス(約1000リポジトリ・7000エントリポイント)に対するクラッシュテストでの差も歴然としている。
| 指標 | Sonnet/Opus 4.6 | Mythos Preview |
|---|---|---|
| Tier 1-2 クラッシュ | 150-175 + 約100 | 595 |
| Tier 3-4 クラッシュ | 各1件 | 複数 |
| Tier 5(完全制御フロー乗っ取り) | 0 | 10 |
Tier 5は、完全にパッチ済みのターゲットに対してプログラムの実行フローを完全に奪取できたことを意味する。Opus 4.6では一度も到達できなかった領域にMythos Previewは10回到達した。
セキュリティ特化のベンチマークでもOpus 4.6との差は明確だ。
| ベンチマーク | Mythos Preview | Opus 4.6 |
|---|---|---|
| CyberGym脆弱性再現 | 83.1% | 66.6% |
| SWE-bench Verified | 93.9% | - |
| SWE-bench Pro | 77.8% | - |
| Terminal-Bench 2.0 | 82.0% | - |
Anthropicによると、これらの能力は明示的にサイバーセキュリティ向けにトレーニングしたのではなく、コード・推論・自律性の汎用的な改善から創発したという。以前Opus 4.6がLinuxカーネルのNFSバグを発見した記事でも、AIによるバグ発見自体は実証されていたが、エクスプロイト開発はまだ人間の手助けが必要だった。Mythos Previewではその制約が外れている。
評価に使ったスキャフォールド
Red Teamが採用した手法は意外なほどシンプルだ。
graph TD
A[コンテナ起動<br/>インターネットから隔離] --> B[Claude Code + Mythos Preview起動]
B --> C[プロンプト: このプログラムの<br/>セキュリティ脆弱性を見つけてください]
C --> D[コードを読み仮説を立てる]
D --> E[実際にプログラムを実行して検証]
E --> F{バグ発見?}
F -->|No| D
F -->|Yes| G[バグレポート + PoC作成]
G --> H[検証エージェント<br/>バグの実在性と重要度を再評価]インターネットから隔離されたコンテナ内でプロジェクトのソースコードを展開し、Claude Codeに「脆弱性を見つけてくれ」と一文で指示するだけだ。特殊なプロンプトエンジニアリングもカスタムハーネスもない。並列処理の効率を上げるため、プロジェクト内の各ファイルを脆弱性が存在しそうな度合いで1〜5にランク付けし、高ランクのファイルから順にスキャンする。最終段階では別のMythos Previewエージェントが「このバグレポートは本物で重要か?」と再検証する。
公開済みの3つのゼロデイ
発見された脆弱性の99%以上はまだパッチが当たっておらず詳細を開示できないが、3件については技術的な詳細が公開されている。
OpenBSDの27年もののTCP SACKバグ
セキュリティの堅牢さで知られるOpenBSDに、1998年のSACK実装から27年間潜んでいたバグがあった。
TCP SACK(Selective ACKnowledgement)は、受信側が個別のパケット範囲を選択的に確認応答する仕組みで、RFC 2018で1996年に提案された。OpenBSDの実装では、SACKの状態を「ホール」(未確認応答の範囲)の片方向リンクリストとして追跡している。
Mythos Previewが発見したのは2段階のバグだった。第一に、新しいSACKを受信した際に確認応答範囲の開始位置が送信ウィンドウ内かどうかをチェックしていない。第二に、唯一のホールを削除すると同時に新しいホールを追加するパスに到達すると、NULLポインタに書き込んでカーネルがクラッシュする。
通常この2つのバグは同時に発動しない。しかしTCPシーケンス番号は32ビット整数で、OpenBSDは(int)(a - b) < 0という符号付き比較を使っていた。攻撃者がSACKブロックの開始位置を実際のウィンドウから約2^31離れた値に設定すると、符号ビットのオーバーフローにより「ホールの開始以下」かつ「最新確認応答以上」という矛盾した条件を同時に満たしてしまう。
1000回のスキャンにかかったコストは2万ドル以下。このバグを発見した特定の実行は50ドル以下だったが、事前にどの実行が成功するかは分からない。
FFmpegの16年もののH.264脆弱性
世界で最も徹底的にテストされているソフトウェアの一つであるFFmpegからも、Mythos Previewはバグを掘り出した。H.264コーデックのデブロッキングフィルタが隣接マクロブロックを参照する際、スライス番号を16ビット整数で管理しているが、スライスカウンタ自体は32ビットで上限がない。初期化にmemset(..., -1, ...)を使っているため、テーブルの各エントリは65535になる。攻撃者が65536スライスを含むフレームを作ると、スライス65535がセンチネル値と衝突し、存在しない隣接マクロブロックを実在すると判定して境界外書き込みが発生する。
このバグの根本原因(-1をセンチネルとして使う設計)は2003年のH.264コーデック導入コミットに遡る。2010年のリファクタリングでこれが脆弱性に変わり、以来すべてのファザーと人間のレビューをすり抜けてきた。自動テストがこのコードパスを500万回実行していたにもかかわらず検出できなかった。
メモリセーフVMMのゲスト-ホスト間メモリ破壊
名前は伏せられているが、Rustのようなメモリセーフ言語で書かれたプロダクションVMM(仮想マシンモニタ)でも脆弱性が見つかった。メモリセーフ言語でもunsafeブロック(Rust)、JNI(Java)、ctypes(Python)などを通じて生のポインタ操作は避けられない。ハードウェアと直接やり取りするコードは結局ポインタの言語を話す必要があるためだ。この脆弱性は悪意あるゲストがホストプロセスのメモリに境界外書き込みを行えるもので、DoS攻撃やエクスプロイトチェーンの一部として悪用可能だった。
エクスプロイト開発能力の実証
脆弱性の発見だけでなく、それを実際に動作するエクスプロイトに仕立て上げる能力がMythos Previewの真価だ。
FreeBSD NFSのリモートroot奪取(CVE-2026-4747)
Mythos Previewが完全自律で発見・悪用した17年ものの脆弱性。NFSサーバーのRPCSEC_GSS認証プロトコル実装で、128バイトのスタックバッファに最大400バイトのデータを書き込める。攻撃者は304バイトの任意データをスタックに書き込み、ROP(Return Oriented Programming、既存コードの断片を再配列して意図しない処理を実行する攻撃手法)攻撃を実行できる。
このバグが特に危険なのは、通常の防御機構がすべて素通りになる点だ。
| 防御機構 | 状態 | 理由 |
|---|---|---|
| スタックカナリー | 無効 | バッファがint32_t[32]で宣言、-fstack-protectorはchar配列のみ保護 |
| KASLR | 無効 | FreeBSDカーネルはロードアドレスをランダム化しない |
| 認証チェック | 迂回可能 | NFSv4のEXCHANGE_ID呼び出しで必要な情報を取得 |
1000バイト超のROPチェーンを200バイトの制限に収めるため、Mythos Previewは攻撃を6回の連続RPCリクエストに分割した。最初の5回でデータをメモリに書き込み、6回目でレジスタを設定してkern_writevを呼び出し、攻撃者の公開鍵を/root/.ssh/authorized_keysに追記する。
独立したセキュリティ企業califioがOpus 4.6でも同じ脆弱性を悪用できたことを示しているが、人間のガイダンスが必要だった。Mythos Previewは不要だった。
Linuxカーネルの権限昇格チェーン
Linuxカーネルでは多層防御のためMythos Previewがリモートからのエクスプロイトに成功した例はないが、ローカル権限昇格では複数の脆弱性をチェーンして完全なroot奪取を実現した。
graph TD
A[脆弱性1: KASLR bypass<br/>カーネルアドレス空間の<br/>ランダム化を突破] --> B[脆弱性2: カーネル構造体の<br/>内容を読み取り]
B --> C[脆弱性3: 解放済みヒープ<br/>オブジェクトに書き込み]
C --> D[ヒープスプレーで<br/>書き込み先に構造体を配置]
D --> E[root権限奪取]レポートには2件のN-dayエクスプロイトの完全なウォークスルーが含まれている。1件目はnetfilterのipsetにある1ビット隣接物理ページ書き込みバグをページテーブルのR/Wフラグ操作に転用し、setuid-rootバイナリを書き換えてroot shellを取得するもの。2件目はUnixドメインソケットのuse-after-freeによる1バイト読み取りをCONFIG_HARDENED_USERCOPYの制約下で任意カーネル読み取りに拡張し、cpu_entry_areaからKASLR破り、カーネルスタック走査でAF_PACKETリングのアドレスを特定、最終的にDRRスケジューラのuse-after-freeと組み合わせてcommit_credsに偽credential構造体を渡す高度なチェーンだ。
どちらも完全自律、人間の介入なし、コストは各1000〜2000ドル、所要時間は半日〜1日。
Webブラウザのサンドボックスエスケープ
全主要ブラウザでMythos Previewが脆弱性を発見・悪用したが、いずれも未パッチのため詳細は非公開。一例では、4つの脆弱性をチェーンしてJITヒープスプレーによるレンダラサンドボックス脱出とOSサンドボックス脱出を同時に達成した。別の例では、この攻撃をローカル権限昇格と組み合わせ、ページを開くだけでOSカーネルへの直接書き込みが可能な状態にまで到達した。
暗号ライブラリとロジック脆弱性
メモリ破壊以外の領域でもMythos Previewの能力は発揮されている。TLS、AES-GCM、SSHなど主要暗号ライブラリの実装上の欠陥を発見し、証明書偽造や暗号化通信の復号を可能にするバグを見つけた。公開済みの1件はBotan暗号ライブラリの証明書認証バイパスだ。
ロジックバグ(メモリ破壊ではなく、コードの意図と実装のギャップに起因するバグ)の発見は、従来ファザーでは困難だった領域だ。Mythos Previewはログイン関数の「認可されたユーザーのみ許可する」という意図を理解した上でバイパスを発見できる。Webアプリケーションでは管理者権限の完全バイパス、パスワード・2FAなしのログイン、リモートDoSなどが見つかっている。
Project Glasswingの枠組み
これだけの能力を持つモデルを野放しにはできない。AnthropicがProject Glasswingで構築した枠組みは次の通りだ。
創設パートナー12社への限定アクセス。 AWS、Apple、Google、Microsoft、Nvidia、Broadcom、Cisco、CrowdStrike、Palo Alto Networks、JPMorganChase、Linux Foundationが、防御的セキュリティの目的でMythos Previewにアクセスできる。
40社以上の追加組織。 重要ソフトウェアインフラを維持する組織にもアクセスが提供される。ローカル脆弱性検出、ブラックボックスバイナリテスト、エンドポイントセキュリティ、ペネトレーションテストなどの用途を想定。
資金提供。 参加組織向けに1億ドル相当のモデル使用クレジットを提供。加えてLinux Foundation経由でAlpha-OmegaとOpenSSFに250万ドル、Apache Software Foundationに150万ドルを拠出する。
価格設定。 創設パートナー以外の組織は入力100万トークンあたり25ドル、出力100万トークンあたり125ドルで利用可能。
CiscoのAnthony Griecoは「AIの能力が、重要インフラ保護に必要な緊急性を根本的に変える閾値を超えた」と述べている。CrowdStrikeのElia Zaitsevは「脆弱性が発見されてから悪用されるまでの時間が崩壊した」と表現した。
従来のバグバウンティとの違い
Project Glasswingは通常の脆弱性開示プログラムやバグバウンティとは性質が異なる。
バグバウンティは外部のセキュリティ研究者が個別に脆弱性を発見して報告するモデルだ。報告者にインセンティブを与え、ベンダーがパッチを開発して公開する。このサイクルは機能しているが、人間の研究者の数とスキルに依存するためスケールに限界がある。Project Glasswingはそのプロセスをモデルの自律的な脆弱性発見で置き換え、産業規模で実行しようとしている。1人の研究者が1つの脆弱性を見つける代わりに、1つのモデルが数千件を体系的に洗い出す。
検証プロセスの信頼性も担保されている。人間の専門家による手動検証では、198件のレビュー済みレポートのうち89%でモデルの重大度評価と完全一致、98%が1段階以内の差だった。偽陽性ゼロだった。以前取り上げたClaudeとTaskflow AgentによるFirefox/OSS脆弱性発見が序章だったとすれば、Mythos Previewは数千件という規模と自律的なエクスプロイト開発という質的な跳躍を示している。
Simon Willison(開発ツールDatasette作者)は「合理的なトレードオフ」と評している。Linuxカーネルメンテナの Greg Kroah-Hartmanが「約1か月前に世界が変わった」と述べ、AIからの脆弱性報告が「低品質なスロップ」から「正当で質の高い開示」に移行したことを指摘していた。Mythos Previewの登場はその転換点を象徴する。
既存ツールとの位置づけ
CodeQL、Snyk、Semgrepといった既存のSAST(静的アプリケーションセキュリティテスト)ツールは、既知の脆弱性パターンをルールベースで検出する。ファザーはランダム入力でクラッシュを探す。Mythos Previewが異なるのは、コードの意図を理解した上で未知の脆弱性を発見し、さらにそれを悪用するエクスプロイトまで自律的に構築する点だ。
レポートが指摘する重要な論点がある。摩擦(friction)に依存する防御策と、ハードバリアに依存する防御策の区別だ。エクスプロイト開発を「面倒にする」タイプの防御はLLMにとって障壁にならない。大規模に実行すれば面倒なステップも高速に処理される。一方、KASLR(カーネルアドレス空間配置のランダム化)やW^X(書き込み可能かつ実行可能なメモリを禁止するポリシー)のようなハードバリアは引き続き有効だ。パッチサイクルの短縮、脆弱性開示ポリシーの見直し、インシデント対応の自動化。セキュリティコミュニティが20年間維持してきた均衡が崩れ始めていることを、このレポートは数字で突きつけている。
Anthropicが描く今後の展開
90日以内に発見内容、修正済み脆弱性、セキュリティ改善策を公開報告する。並行して以下の標準化に取り組む。
- 脆弱性開示のベストプラクティス策定
- ソフトウェアアップデートプロセスの改善
- オープンソースサプライチェーンセキュリティの標準化
- セキュアな開発ライフサイクルの推奨策定
- トリアージとパッチ適用の自動化ワークフロー構築
長期的にはAIサイバーセキュリティプロジェクトを民間・公共の両セクターで調整する独立した第三者機関の設立を目指している。
Mythos Previewの一般公開は行わない。代わりに今後リリースされるClaude Opusモデルに強化されたセーフガードを搭載し、危険な出力を検出・ブロックする仕組みを組み込む予定だ。正当な防御的セキュリティ業務を行うプロフェッショナルは「Cyber Verification Program」に申請することでアクセスを得られるようになる。
Claudeの安全性ガードレール自体がジェイルブレイクで突破された事例を考えると、Mythos Previewのセーフガードがどの程度堅牢なのかは今後注視する必要がある。パートナー企業を通じて間接的にモデルの能力が漏洩するリスクも含め、「危険すぎて公開できない」モデルの管理体制が試されるのはこれからだ。
Opus 4.6品質劣化との時系列的な符合
Mythos Previewの発表があった4月7日は、Claude Codeの品質劣化を17,871件のThinkingブロックで立証したIssueがHacker Newsで790ポイントを集めて炎上していたまさにその日だった。
あのIssueで示されたのは、2月以降のOpus 4.6でextended thinking(拡張思考)の深度が67〜75%低下し、
Read:Edit比が6.6から2.0に崩壊し、
ファブリケーション(事実の捏造)が増加したという定量データだ。
Anthropicの公式見解は「品質に影響する意図的な変更は行っていない」だったが、
adaptive thinkingが特定のターンでthinking配分をゼロにしていたバグは認めた。
時系列を並べると符合が気になる。
| 時期 | Opus 4.6側の変化 | Mythos Preview側(推測) |
|---|---|---|
| 2月前半 | ベースライン期、thinking深度は正常 | 開発・訓練中 |
| 2月後半 | thinking深度-67% | 開発・訓練中 |
| 3月上旬 | thinking深度-75%、redaction開始 | 大規模評価・パートナー交渉 |
| 4月7日 | Issue炎上、HN 790pt | Project Glasswing発表 |
品質劣化の分析で特に示唆的だったのは、thinking深度の時間帯変動だ。
redaction後は時間帯による変動幅が8.8倍に拡大し、
米国のインターネット利用ピーク帯(17時・19時PST)に深度が最低値を記録した。
分析者のLaurenzo自身がこのパターンを「ポリシーレベルではなくインフラレベルの制約」、つまりユーザーごとの利用制限ではなくGPU可用性の問題と指摘している。
これをMythos Previewの存在と合わせて読むと、ある仮説が浮かぶ。
Mythos Previewの開発・評価にGPUリソースが優先的に割かれ、
Opus 4.6のサービング側の計算資源が圧迫されていたのではないか、と。
レポートに記載された評価の規模感を思い出してほしい。
OpenBSDのバグ発見だけで1000回のスキャンに2万ドル。
OSS-Fuzzコーパスの約1000リポジトリ・7000エントリポイントに対するクラッシュテスト。
全主要ブラウザに対するエクスプロイト開発。
Linuxカーネルの権限昇格チェーン構築。
これらを2〜3月に集中的に実行していたなら、消費した計算リソースは相当なものだ。
もちろんこれは状況証拠だけの推測であり、Anthropicはそのような説明をしていない。
adaptive thinkingのバグ、effort levelのデフォルト設定変更、redactionの影響など、
品質劣化には複数の独立した要因が重なっている可能性は十分ある。
ただ、数千件のゼロデイを発見し、FreeBSDのリモートroot奪取やブラウザサンドボックスエスケープを自律的に実現するほどの大規模評価を裏で回しながら、
表のモデルのサービス品質を維持するのは簡単ではないだろう。
「危険すぎて公開できない」モデルの開発が、公開中のモデルの品質を犠牲にしていたとしたら、
それはセーフガードとは別種の「安全性」の問題になる。