公開できないAI「Claude Mythos」とは──中小企業のサイバーセキュリティに何が起きるか

2026年4月、AI開発で世界トップクラスのAnthropic（アンソロピック）社が、自社の最新AI「Claude Mythos（クロード・ミュトス）」について「一般には公開しない」と発表しました。理由は単純で、世界を壊す恐れがあるからです。「うちみたいな中小企業にも関係があるのか」と思われるかもしれませんが、中小企業のサイバーセキュリティ対策において、2026年を境に前提が変わると考えます。

Claude Mythos（クロード・ミュトス）とは何か

簡単に言うと、サイバー攻撃の弱点を高速で見つける事が出来るAIです。

具体例で説明します。世界中で使われているWebブラウザ「Firefox」の最新版を、このAIにスキャンさせたところ、わずかな時間で271件のセキュリティ上の弱点（脆弱性）を見つけ出しました。ひとつ前のモデル（Opus 4.6）と人間の研究者がチームで挑んだときが22件だったので、桁違いの進化です。

さらに、企業ネットワークに侵入する32手順のシミュレーションも単独で完遂したと報告されています。ベテラン技術者で20時間ほどかかる作業を、AIが一人で終わらせたという話です。ここまで来ると、もはや「便利なツール」ではなく、立ち位置によって守りの武器にも攻めの武器にもなる、という性質のものだと感じています。

なぜAnthropicは公開を断念したのか

脆弱性を見つけられるAIは、防御側にとっては朗報です。一方、悪用すれば最強の攻撃ツールになります。

Mythosは「公開すれば守る前に攻撃が始まる」レベルに達してしまったため、Anthropicは「世に出さない」という判断を下しました。性能を競って公開し続けてきたAI業界の流れに、初めてブレーキがかかった瞬間だと感じています。

Project Glasswing──大手12社だけが先に使う構図

Anthropic社は公開しない代わりに、「Project Glasswing（プロジェクト・グラスウィング＝防御側の先回り計画）」という限定提供プログラムを立ち上げました。このプログラムに参加しているのは、AWS、Microsoft、Google、Apple、CrowdStrike、Palo Alto Networks といったITの最大手と、世界的な大手銀行が中心です。これらの企業はMythosを自社製品の弱点探しに使い、攻撃者より先に塞ぐ体制を整えています。

裏返すと、この輪の外にいる中小企業は、当面この恩恵を直接は受けられません。守ってもらえるのは、自分たちが使っている大手クラウド（AWSやMicrosoft 365、Google Workspaceなど）の中身だけ、ということになります。

中小企業に何が起きるのか

ポイントを3つ、お知らせします。

一つ目は、セキュリティ格差の拡大です。大手は最強のAIで先回り防御、中小はそうした道具に直接アクセスできない状態が当面続きます。差は埋まるどころか開いていく前提で考えるのが現実的です。

二つ目は、時間の問題。Mythosが見つけた脆弱性は「90日＋45日」の猶予を経て情報が公開されるルールになっています。つまり半年ほど経つと、攻撃者側も同等のAIや、Mythosが見つけた弱点情報を入手できる前提で考えなくてはなりません。Webサイトやサーバーを古いまま放置している会社は、半年後にまとめて狙われる構図になります。

三つ目は、攻撃のコモディティ化（誰でも安く使えるようになる現象）です。脆弱性を探すAIは、いずれ攻撃者向けのサービスとして地下市場に出回ります。当社の感覚としては、月数千円から借りられる「攻撃AI」が普通になる時代が、すぐそこまで来ていると見ています。

いま中小企業が打つべき3つの手

1点目は、現状把握です。中小企業の多くは、自社のWebサイトやサーバーにおいて「何のソフトをどのバージョンで使っているか」を把握できていません。把握できていないものは守れません。サイトとサーバーの棚卸し（インベントリ作成）から始めることをおすすめします。

2点目は、アップデートを自動化すること。Mythosが見つけた弱点は、各メーカーが修正版（パッチ）を出します。出たらすぐ当てる体制があれば、攻撃者にAIを使われても被害は最小化できます。「手が回らないので後回し」の状態を、自動化や外部委託で「自動で当たる」状態に切り替えるのが優先課題です。

3点目は、攻撃された前提の備えです。100％守るのは現実的ではありません。攻撃された後でも事業を止めず、データを失わない仕組み（バックアップ、復旧手順、サイバー保険）を整えることが、これからの基本になります。完璧の守備は不可能です。攻撃を受けてもすぐに復旧できる体制を目指すほうが、コスト対効果で考えると合理的です。

まとめ──「AI vs AI」時代の入口に立っている

Claude Mythosの登場は、サイバーセキュリティの世界が「人間 vs 人間」から「AI vs AI」に切り替わる節目です。中小企業がこの変化から取り残されないために、できることは限られています。

しかし、被害を最小限にする方法は十分にあります。経営判断として優先度を上げることをおすすめします。

この記事を書いた人

数藤 圭介

株式会社ネクスト・アクション 代表取締役

パイオニア(株)にて15年間勤務後、2008年にWebコンサルタントとして独立。2014年に株式会社ネクスト・アクションを設立。WordPressセキュリティの専門家として、これまでに2,000サイト以上のハッキング復旧・セキュリティ対策を実施。中小企業のWEBセキュリティ顧問として、脆弱性診断からメール訓練、ガバナンス構築まで一貫して支援。