【BBC要約】「一つの指輪」か、ただの誇大広告か――AIサイバー兵器「Claude Mythos」の正体
What is Claude Mythos and what risks does it pose?|BBC|Apr.17.2026
* * *
"For some this is an apocalyptic event, for others it seems to be a lot of hype,"「ある人にとっては終末的な出来事(an apocalyptic event)であり、別の人にとっては単なる大げさな宣伝(a lot of hype)に見えるだろう」
イギリスの国家サイバーセキュリティセンターの前責任者はこう語った。
何についてかというと、今AIサイバーセキュリティ界隈で超話題の「Mythos」についてだ。
ハッキングやサイバーセキュリティのタスクに関しては、人間を凌駕する能力を持つというこのツール。悪用されると金融システムを揺るがす大惨事になるとして、世界中の規制当局が懸念を表明していた。そんななか、Mythosが権威のないユーザーの手に渡ったとする先日の報道が、騒動に拍車をかけている。
これらの騒動、世界を支配する魔力を持つ「一つの指輪」を巡る『指輪物語(the Lord of the Rings)』を彷彿とさせる。まるで、悪の手に渡っては世界が終わるかのような騒ぎっぷりだ。
果たしてMythosは「一つの指輪」に比類する脅威か。今回紹介する記事は、そんな〇○について伝えている。
ぜひ全文を読んで欲しい。
何についてかというと、今AIサイバーセキュリティ界隈で超話題の「Mythos」についてだ。
ハッキングやサイバーセキュリティのタスクに関しては、人間を凌駕する能力を持つというこのツール。悪用されると金融システムを揺るがす大惨事になるとして、世界中の規制当局が懸念を表明していた。そんななか、Mythosが権威のないユーザーの手に渡ったとする先日の報道が、騒動に拍車をかけている。
これらの騒動、世界を支配する魔力を持つ「一つの指輪」を巡る『指輪物語(the Lord of the Rings)』を彷彿とさせる。まるで、悪の手に渡っては世界が終わるかのような騒ぎっぷりだ。
果たしてMythosは「一つの指輪」に比類する脅威か。今回紹介する記事は、そんな〇○について伝えている。
ぜひ全文を読んで欲しい。
* * *
|「旅の仲間」:託された「選ばれし者達」
ここ数週間、AI界隈は「Claude Mythos(クロード・ミトス)」で騒然となった。
Mythosとは、大手企業アンソロピック(Anthropic)が4月上旬に公開したAIの新モデルのことで、同社によれば、このツールはハッキングやサイバーセキュリティのタスクにおいて人間を凌駕する(outperform humans)能力を持つという。
世界中の金融・安全保障当局がMythosを極めて深刻に捉えているのは、このAIが持つ「サイバー攻撃の完全自動化能力」が、既存の金融・インフラシステムの防御限界を軽々と超えてしまう懸念があるからだ。
そんな強力すぎる「ツール」。それゆえ、開発元のアンソロピック社はMythosの一般公開を行わず、「Project Glasswing(透明な羽を持つ蝶))」という枠組みに参加している極めて限定された企業・組織のみにアクセス権を付与することとした。
Mythosとは、大手企業アンソロピック(Anthropic)が4月上旬に公開したAIの新モデルのことで、同社によれば、このツールはハッキングやサイバーセキュリティのタスクにおいて人間を凌駕する(outperform humans)能力を持つという。
世界中の金融・安全保障当局がMythosを極めて深刻に捉えているのは、このAIが持つ「サイバー攻撃の完全自動化能力」が、既存の金融・インフラシステムの防御限界を軽々と超えてしまう懸念があるからだ。
そんな強力すぎる「ツール」。それゆえ、開発元のアンソロピック社はMythosの一般公開を行わず、「Project Glasswing(透明な羽を持つ蝶))」という枠組みに参加している極めて限定された企業・組織のみにアクセス権を付与することとした。
アンソロピック社によれば、重要ソフトウェアを担う40以上の組織にもMythosへのアクセス権が提供された。なお、その中には、2024年ソフトウェア更新の不備で世界規模のシステム障害を引き起こしたクラウドストライク社も名を連ねているそうだ…
そして、4月22日に大手メディアが報じたのが、Mythosが権威のない(許可されていない)ユーザーの手に渡ったというニュースだ。
その趣旨がいかにも「実質的にハッカーがMythosを使える状態になった」というものだったので、AI業界と各国のセキュリティ当局は凍り付いた、というのが現状だ。
* * *
|「二つのアクション」:発見と悪用
"Given the rate of AI progress, it will not be long before such capabilities proliferate, potentially beyond actors who are committed to deploying them safely."
It said it could locate - without much oversight - critical bugs in need of immediate action in old systems, including one vulnerability which had been present in a system for 27 years, and suggest ways to exploit them.
Some finance ministers, central bankers and financiers have since expressed serious concerns about it, fearing the model could undermine the security of financial systems.アンソロピック社自身、このツールが「悪の手」にわたる可能性は認めている。
「AIの進歩の速さを考えれば、こうした能力(capabilities)が普及するのに時間はかからない。安全な運用を約束する者以外の手に渡る(beyond actors who are committed to deploying them safely)可能性もある」と同社は指摘する。
ここでの「能力」とは、Mythosがシステムにおける数千件の深刻な脆弱性を発見する能力のことだ。その対象は主要なOSやウェブブラウザの全てに及ぶとのことだ。
どれだけ有能なのか。アンソロピック社が言うには、Mythosはある古いシステムの中で即時の対応が必要(in need of immediate action)な重大なバグを自動で見つけ出し、その悪用方法(ways to exploit)まで提案できた。それらのバグの中には、27年間も放置されていたものがあったそうだ。
そういった脆弱性の発見とウィルスやマルウェアの仕込みは、これまでは高度な技術を持つハッカーにしかできなかった。それが今度は、Mythosを介せば、専門知識のない個人が一晩で実行可能になるかもしれないのだ。
そんなツールを得た「悪の手」がしかけそうなのは、映画さながらの「金融システム全体の崩壊」かもしれない。さながらダイハード4.0の世界だ。
今週金曜に日本の財務・金融大臣が日銀やメガバンク、東京証券取引所の関係者と緊急会合を開くことにしたのは、こうした懸念について意見交換をするためだ。
意見交換をしたとてどうにかなるかは怪しいところだが。
ここでの「能力」とは、Mythosがシステムにおける数千件の深刻な脆弱性を発見する能力のことだ。その対象は主要なOSやウェブブラウザの全てに及ぶとのことだ。
どれだけ有能なのか。アンソロピック社が言うには、Mythosはある古いシステムの中で即時の対応が必要(in need of immediate action)な重大なバグを自動で見つけ出し、その悪用方法(ways to exploit)まで提案できた。それらのバグの中には、27年間も放置されていたものがあったそうだ。
そういった脆弱性の発見とウィルスやマルウェアの仕込みは、これまでは高度な技術を持つハッカーにしかできなかった。それが今度は、Mythosを介せば、専門知識のない個人が一晩で実行可能になるかもしれないのだ。
そんなツールを得た「悪の手」がしかけそうなのは、映画さながらの「金融システム全体の崩壊」かもしれない。さながらダイハード4.0の世界だ。
今週金曜に日本の財務・金融大臣が日銀やメガバンク、東京証券取引所の関係者と緊急会合を開くことにしたのは、こうした懸念について意見交換をするためだ。
意見交換をしたとてどうにかなるかは怪しいところだが。
* * *
|「”王道”の帰還」
Many independent cyber-security analysts and experts have not yet been able to test it themselves and some remain sceptical about Mythos' performance.
The UK's AI Safety Institute recently concluded that while a very powerful model, its biggest threat would be against poorly defended, vulnerable systems.
それでは、果たして金融システムは崩壊の淵に立たされているのだろうか。その判断には慎重を要しそうだ。
BBCが伝えるのは、Mythosの性能に懐疑的な見方を示す(remain skeptical)専門家もいるという点だ。もっとも、彼らがそう言うのは、まだ自分たちでテストを行えていない(have not yet been able to test it themselves)からということもあるとのことだが。
イギリスのAI安全研究所はこう指摘する「最大の脅威(biggest threat)となるのは防衛が甘く脆弱な(poorly defended, vulnerable)システムに対してだ」。
つまり、Mythosだからハッキングされてしまうのではなくて、もともと手動でもハッキングされやすいシステムが標的になるということらしい。
同研究所は「適切なサイバーセキュリティが保たれていれば、理論上はこのモデルを阻止できることが期待される」とする。
BBCが伝えるのは、Mythosの性能に懐疑的な見方を示す(remain skeptical)専門家もいるという点だ。もっとも、彼らがそう言うのは、まだ自分たちでテストを行えていない(have not yet been able to test it themselves)からということもあるとのことだが。
イギリスのAI安全研究所はこう指摘する「最大の脅威(biggest threat)となるのは防衛が甘く脆弱な(poorly defended, vulnerable)システムに対してだ」。
つまり、Mythosだからハッキングされてしまうのではなくて、もともと手動でもハッキングされやすいシステムが標的になるということらしい。
同研究所は「適切なサイバーセキュリティが保たれていれば、理論上はこのモデルを阻止できることが期待される」とする。
つまり、恐れるべきなのは、”王道”たるサイバーセキュリティ対策をこれまでサボっていた金融機関であって、そうでなければ過剰に反応する必要はないということだろう。
* * *
|全ては「誇大広告」か?
Capitalising on this mix of fear and excitement over AI and its future impact has also become a hallmark of the sector and its marketing strategies in recent years.「AIとその将来的な影響に対する「恐怖と興奮(fear and excitement)」が入り混じった感情を利用することは、近年のテック業界のマーケティング戦略の特徴(a hallmark)にもなっている」BBCはこう指摘する。
こういうところがまさに「一つの指輪」だ。つまり、物語の指輪が持つ人を狂わせるように、アンソロピック社が「これは危険すぎる」と宣伝すればするほど、人々の「手に入れたい」という欲望や、自社株価を上げるための「演出」ではないかという疑念が高まってくる。
つまりは、この騒動全体が業界全体の「hype(熱狂)」ではないか、とシニカルに見ることが重要なのだ。
いずれにせよ、それらを判断するための情報が十分に揃っていない状況では、定番のサイバーセキュリティ対策を不備なく準備する以外方法がないのだ。
* * *
After all, most hackers do not need super AI tools to breach systems when much simpler attacks often suffice.「結局のところ(after all)、多くのハッカーにとって、より単純な攻撃で事足りる(much simpler attacks often suffice)現状では、スーパーAIツールなど必要ない」
不手際を認めたくない者は責めるべき他人を必死で探す。
最近の騒動、もしかしたら、「Mythosのせいにできれば免責になるぜ」とか考えているサイバー担当者もいたりするのではないだろうか…
