先週取り上げた「Claude Mythos（クロード・ミュトス）」。
この一週間で、さらに動きがありました。

前回は、Claude Mythosがソフトウェアの弱点を見つける力に優れていることを紹介しました。
今回は、その力がどれほどのものなのか、公式の発表をもとに、見ていきたいと思います。

※公式には「Claude Mythos Preview」と呼ばれていますが、この記事では分かりやすくClaude Mythosと呼びます。

1万件超の重大な脆弱性を発見

2026年5月22日、Anthropicは、Project Glasswingという取り組みの初期報告を公開しました。
それによると、世界中で使われている重要なソフトウェアから、1万件を超える深刻度「高」または「重大」の脆弱性を見つけたとされています。

脆弱性とは、ソフトウェアのセキュリティ上の問題のことです。
放置されると、不正アクセスや情報漏えい、サービス停止などにつながる可能性があります。

ここで問題なのは、1万件というのが多いのかどうかということですね。
基本的に、どのソフトウェアも公開前にテストが行われています。
本来、脆弱性はできるだけゼロに近づけて公開されるべきものです。

にもかかわらず、1万件を超える脆弱性が見つかりました。
Cloudflare 社では、重要システム全体で2,000件のバグが見つかり、そのうち400件が高または重大だったとされています。
このような事実からも、その能力の高さを推し量ることができるかと思います。

問題のトリアージが必要

とはいえ、実のところ、生成AIが見つけたものすべてが本物とは限りません。
文章作成と同じように、ハルシネーションを起こすことがあります。
そのため、人間の専門家が確認し、本当に危険なのか、修正が必要なのかを判断する必要があります。

ここで問題になるのが、スピードです。
AIは大量の弱点を見つけられるようになりました。
しかし、それを確認し、開発者に伝え、修正し、利用者にアップデートしてもらうには、人間の手間と時間がかかります。

つまり、「AIが弱点を見つけられるようになった」のはいいものの、「見つける速度に、直す速度が追いつくのか」という新しい問題が出てきているというわけです。

Claude Mythosをめぐる最近の動きは、各国に大きな波紋を広げています。
日本やヨーロッパでも、金融機関や公的機関が影響を確認し、対応を進める動きが出ています。

また、ChatGPT を提供する OpenAI 社も、GPT-5.5-Cyber という生成AIを用意し、サイバー防御に関わる「Daybreak」というプロジェクトを立ち上げています。
つまり、サイバーセキュリティの分野でも、生成AI同士の覇権争いが始まりつつあるのです。

一方、これらの活動は、話が大きすぎて、ちょっと他人事のように感じてしまいます。
しかし、私たちも無関係ではありません。

生成AIがサイバー攻撃に使われた場合、これまで以上に、素早く広範囲に攻撃をしかけると予想されます。
そうなると、これまで標的にならなかった私たちの会社も攻撃に巻き込まれるリスクが増えます。

Claude Mythos の成果に基づき、今後、各ベンダー（ソフトウェアを作っている会社）からアップデートが提供される可能性があります。
ユーザーである私たちは、しっかりとそのアップデートを適用しておくことが、身を守る術となります。

一連のニュースを、「すごいAIが出た」という話題で終わらせるのはもったいないです。
しっかりとその意味を理解し、私たちにはどう影響するのかを考えて読み解いていくことが重要です。