🔒 Claude Mythos Preview — AIが「自力でゼロデイを見つける」衝撃の能力

2026年4月25日

Mythos Previewとは何か

2026年4月7日、Anthropicは「Project Glasswing」の一環として、サイバーセキュリティに特化した未リリースのフロンティアモデルClaude Mythos Preview（モデルID: claude-mythos-preview）を発表した。

これが普通のモデルと決定的に違うのは、自律的にゼロデイ脆弱性を発見できることだ。しかも単なる実験レベルではなく、全主要OSとブラウザで数千ものゼロデイを実際に見つけている。これは2016年のDARPA Cyber Grand Challenge以来、フロンティアAIが最高の人間と競争力を持つレベルに到達したことを意味する。

なぜサイバーセキュリティなのか

AIのセキュリティ適用というと、これまでは「既知のパターンを検知する」のが限界だった。シグネチャベースの検知、既存ルールとの照合 — 人間が知っていることを高速に処理する補助ツールに過ぎない。

Mythos Previewが示しているのは、完全に別の次元の能力だ。人間がまだ知らない — まだ誰も報告していない — 脆弱性を、AIが自力でコードを解析し、論理を推論し、見つけ出す。これは「防御ツール」ではなく「自律的なセキュリティ研究者」に近い。

しかも対象が特定のプロダクトに限らない。全主要OS、全主要ブラウザで実績があるということは、普遍的なコード理解力と脆弱性検出能力を持っているということだ。

技術的な特徴

Mythos Previewは一般的なClaudeモデルとは異なる技術的構成を持っている。

Adaptive Thinkingがデフォルト

通常のClaudeモデルでは、思考機能（extended thinking）は明示的に有効化する必要がある。しかしMythos Previewではadaptive thinkingがデフォルトで有効になっている。thinkingパラメータを一切設定しなくても、モデルが自動的に最適な思考深度を選択する。

さらに重要なのは、thinking: {type: "disabled"}がサポート対象外であることだ。つまり、このモデルでは思考をOFFにすることができない。セキュリティ分析というタスクの性質上、常に深い推論が求められるという設計思想だ。

Displayパラメータ

デフォルトでは display: "omitted" が設定されており、モデルの内部思考内容はAPIレスポンスに含まれない。これはセキュリティ上の理由 — 脆弱性の発見プロセスそのものが機微な情報になり得るため — と推測される。

必要に応じて display: "summarized" を指定すると、思考の要約が返される。従来のモデルのような完全な思考内容の開示は想定されていない。

従来のパラメータとの互換性

thinking: {type: "enabled", budget_tokens: N} の形式も受け付けるが、本質的にはadaptive thinkingが本体であり、明示的なbudget指定は補助的な位置づけだ。

Project Glasswingとの関係

Mythos Previewは、Anthropicが推進するセキュリティイニシアチブ「Project Glasswing」の核となるモデルだ。このプロジェクトの規模は桁違いだ。

最大1億ドルの使用クレジットを参加企業・組織に提供
400万ドルをOSSセキュリティ団体に寄付

そしてパートナー企業の顔ぶれが凄まじい：

AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks — そうそうたるテック巨人とセキュリティ企業が名を連ねている。これは単なるAPI提供ではなく、業界全体のセキュリティインフラを支える試みだと言える。

既に本ブログでもProject Glasswing自体の概要は紹介しているので、本記事ではMythosの技術面に焦点を当てている。Glasswingの全体像についてはそちらの記事を参照してほしい。

これは何を意味するのか

Mythos Previewが示唆しているのは、サイバーセキュリティにおける防御側の優位性が劇的に変化する可能性だ。

これまでのセキュリティは「攻撃者 vs 防御者」の非対称な戦いだった。攻撃者は一つの脆弱性を見つければいい。防御者は全ての脆弱性を塞がなければならない。この非対称性が、セキュリティを常に困難にしてきた。

しかし、AIが自律的にゼロデイを発見できる世界では、この非対称性が逆転しつつある。防御側が先に脆弱性を見つけることが現実の選択肢になる。しかも人間のセキュリティ研究者では物理的にカバーしきれない規模で。

同時に、これはAIの使い方の分岐点でもある。Mythosのようなモデルが存在する以上、同じ能力を攻撃側が使う可能性もゼロではない。Anthropicがthinkingの内容をデフォルトでomittedにしているのは、この双方向性への意識の表れだろう。

AIが「自力で脆弱性を見つける」時代は、もう理論ではなく現実だ。残る問いは、私たちがその能力をどう使い、どう管理するかだけだ。