AIの能力が「防衛的に使わなければ危険すぎる」という臨界点を超えた瞬間があります。Anthropicが2026年4月7日(米国時間)に発表したフロンティアモデル「Claude Mythos Preview」(以下、Mythos Preview)は、その象徴です。同社は史上最強と自認するこのモデルを一般には公開せず、12の主要パートナー組織と40以上の組織によるセキュリティ共同防衛体制「Project Glasswing」に限定しました。最強のAIをなぜ公開しないのか——技術・安全保障・政治が絡み合う構図を読み解きます。
Anthropicは2026年4月7日(米国時間)、新しいフロンティアモデル「Claude Mythos Preview」のプレビューを限定公開した。開発コードネーム「Capybara」として知られていた新しいモデル階層の最初のモデルであり、同社の現行最上位モデルであるOpusシリーズを上回る。Anthropicはこれを「これまでで最も強力なAIモデル」と評している。
今回の限定公開は、「Project Glasswing」と名付けられたサイバーセキュリティ・イニシアチブの一環だ。AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどの主要パートナーを含む40以上の組織が参加し、重要ソフトウェアインフラの保護を目的としてMythos Previewへのアクセスを得る。
Mythos Previewはサイバーセキュリティ専用に訓練されたモデルではないが、過去数週間で主要なOSおよびブラウザのすべてにわたる数千件のゼロデイ脆弱性を発見した。発見された脆弱性の多くは10〜20年前から存在していたものだという。このモデルは一般には公開されない。その理由についてAnthropicは、悪意ある行為者がバグの発見・悪用に転用した場合にサイバーセキュリティ上の深刻な脅威となりうると説明している。
From: 
Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative
【編集部解説】
「公開しない最強モデル」という選択の意味
Anthropicが史上最強と認めるモデルを一般公開しない——この判断は、AIの安全性をめぐる議論において、一つの分水嶺です。
同社がProject Glasswingの公式ブログで述べた理由は明確でした。Mythos Previewのサイバーセキュリティ能力が極めて高く、悪意ある行為者の手に渡れば「防御側の努力をはるかに上回るペースで脆弱性を悪用できる」ためです。Anthropicは自社の内部文書が流出した際にもこの懸念を記しており、Mythos Previewが「現時点でサイバー能力において他のあらゆるAIモデルをはるかに凌駕している」と評価していたことが報じられています。
なお、Anthropicは今回のイニシアチブに際して最大1億ドルの使用クレジットをコミットするとともに、オープンソース・セキュリティ団体への400万ドルの寄付も発表しています。
この判断の背景には、Anthropicが2023年から運用してきた「Responsible Scaling Policy(RSP)」と呼ばれる自主的な安全枠組みがあります。RSPは、AIモデルの能力が一定の閾値を超えた場合に、より厳格なセーフガードの実装を義務づける段階的システムです。生物安全レベル(BSL)に着想を得た「AI Safety Level(ASL)」という等級があり、ASL-2が現行の標準的な保護、ASL-3がより高度な脅威に対応する強化された保護に当たります。
Anthropicは2025年5月にClaude Opus 4をリリースした際、初めてASL-3を予防的に発動しました。その時点では、Opus 4がASL-3を「必要とする」能力閾値を明確に超えたかどうかは未確定でしたが、「超えていないと断言することもできない」という判断から、予防措置として上位の保護を適用したのです。
Mythos Previewではこの構図がさらに先に進んでいます。公開されたシステムカードやFrontier Red Teamのブログによれば、Mythos Previewは従来のベンチマークを「飽和」させるほどの能力を示し、既知の脆弱性の再現ではなく、未知のゼロデイ脆弱性の自律的発見という新しい評価軸が必要になったとされています。実際にMythos Previewが発見した脆弱性には、FreeBSDのNFSサーバーに存在していたリモートコード実行の脆弱性(CVE-2026-4747)が含まれ、認証なしでインターネット経由の完全なroot権限取得が可能だったとの報告があります。
ここで注目すべきは、Anthropicが「一般公開しない」と述べつつも「永久に非公開」とは言っていない点です。同社は「最終的にはMythosクラスのモデルを安全にスケール展開できるようにすることが目標だ」としつつ、そのためには「新しいセーフガードの整備が必要だ」と述べています。具体的には、次に公開されるClaude Opusモデルで新しいセーフガードを先行実装し、Mythos Previewほどのリスクを伴わない環境で改良を重ねる計画だとしています。
これはRSPの設計思想そのものです。「能力のスケーリングが安全対策のスケーリングを追い越した場合は、立ち止まる」。ただし、ASL-4の具体的な要件はまだ完全には定義されておらず、Mythos PreviewがASL-4に該当するかどうかの公式判断も明らかになっていません。Mythos Previewがこの未定義の閾値を超えているとすれば、Anthropicは「飛行中に飛行機を作る」という自身のRSPの比喩を文字通り体現することになります。RSP v3.0でAnthropicは率直に認めています——「政府のAI安全規制は、AIの能力向上に比べて動きが遅い。安全志向の議論は連邦レベルでまだ本格的な牽引力を得ていない」と。
つまり、Project Glasswingは単なるセキュリティ・プロジェクトではなく、政府が動くのを待てないAI企業が、業界横断の自主的枠組みで「最強のAIを安全に使う方法」を先に作ってしまおうとする試みだと読むことができます。
Anthropicの政治的緊張——三つの層
Project Glasswingの発表がもう一つ特異なのは、Anthropicが米国政府と激しい法廷闘争を繰り広げている最中に行われたことです。この文脈を理解するには、Anthropicと連邦政府の関係を三つの層で捉える必要があります。
第一の層:自律型兵器と市民監視をめぐる「レッドライン」
Anthropicは国防総省と2025年7月に2億ドルの契約を結び、AIラボとして初めて米軍の機密ネットワークにAIモデルを導入した企業でした。しかし契約更新の交渉で、両者は決裂します。Anthropicが設けた二つの「レッドライン」——自律型兵器への使用禁止と、米国市民への大規模監視への使用禁止——を、国防総省が受け入れなかったためです。国防総省は「あらゆる合法的な目的」にClaudeを使える柔軟性を求め、民間企業が軍の運用に制限をかけることは認められないと主張しました。
第二の層:「サプライチェーン・リスク」という異例の制裁
交渉決裂後の2026年2月27日、トランプ大統領は全連邦機関にAnthropic技術の即時使用停止を命じ、ヘグセス国防長官はAnthropicを「サプライチェーン・リスク」に指定しました。この指定は本来、外国の敵対国に関連する企業に対して使われるものであり、米国企業に適用されたのは前例がないとされています。Anthropicはこれに対し3月9日、カリフォルニア北部地区連邦裁判所とワシントンD.C.巡回控訴裁判所の二つの法廷で提訴しました。
3月26日、カリフォルニアの連邦裁判官Rita Linは仮処分を認め、サプライチェーン・リスク指定と連邦機関の使用停止命令の一時差し止めを命じました。Lin判事は判決文の中で、国防総省がAnthropicを「米国の潜在的敵対者であり妨害者」として扱うことに法的根拠がないとし、修正第1条に基づく報復に該当すると指摘しています。さらに、国防総省の内部文書では、指定の理由として「メディアを通じた敵対的態度」が挙げられていたことも判決文で言及されています。
しかしトランプ政権は4月2日、第9巡回区控訴裁判所に控訴しました。法廷闘争は現在も継続中です。
第三の層:それでも対話を続ける
Project Glasswingの発表で特に目を引くのは、法廷闘争の渦中にありながら、Anthropicが連邦当局との「継続的な協議」を進めていると明言している点です。具体的には、CISAおよびCenter for AI Standards and Innovationとの協議が進行中だと報じられています。
この姿勢は、興味深い戦略的シグナルを含んでいます。自律型兵器と大規模監視にはレッドラインを引きつつ、サイバー防衛という「防御的」な領域では積極的に政府と協力する意思を示す。Anthropicは訴訟中にもかかわらず「米国政府と闘いたいわけではない」と繰り返し述べており、Project Glasswingはその言葉を行動で裏付ける側面があります。
なお、こうした動きにはもう一つの背景があります。Anthropicの訴訟以降、OpenAIとElon MuskのxAIが相次いで国防総省の機密システムでの使用を承認されています。AI安全性のレッドラインを設けたAnthropicが市場から排除される一方で、そうした制約を設けない競合が参入する——RSP v3.0でAnthropicが想定していた「安全対策を持たない開発者がペースを決めるリスク」が、まさに政府との関係において現実化しつつある構図です。
「最も安全なAI企業」を揺るがす連続インシデント
ここまでの分析は、Anthropicの安全性への姿勢を肯定的に描いています。しかし公平を期すために、見過ごせない事実もあります。
Mythos Previewの情報は、そもそも同社のセキュリティ事案によって最初に世に出ました。先月Fortuneが報じたところでは、当時「Capybara」と呼ばれていたモデルに関するブログ草稿が、公開検査可能なデータレイクの無防備なキャッシュに残されていたのです。
さらにその後、2026年3月31日には、Claude Codeのnpmパッケージ(バージョン2.1.88)にソースマップファイルが誤って含まれ、約1,906件のTypeScriptファイルと約513,000行のソースコードが公開状態になりました。流出したコードにはエージェントの内部ロジックや未公開機能のコードが含まれていました。このリークが発覚した同日には、npmの「axios」パッケージに対する無関係のサプライチェーン攻撃も発生しており、Claude Codeをこの時間帯に更新したユーザーがマルウェアに感染するリスクが指摘されています。その後のDMCA削除請求もまた混乱を深めました。流出コードの取り下げを目的としたAnthropicのGitHubへのDMCA通知は、意図せず約8,100件のリポジトリに影響を及ぼしました。
「AIの安全性を最も重視する企業」を標榜しながら、自社の機密情報やソースコードの管理で基本的なミスが続いている——この矛盾は、Project Glasswingの信頼性を評価する上で考慮に値します。Anthropicが「世界で最も重要なソフトウェアを守る」と宣言する同じ月に、自社のソースコード管理で問題が生じたという事実は、同社の技術力への疑問というよりも、急速な成長期にある組織の運用上の成熟度に関する問いを投げかけています。
今後の注目点
Project Glasswingはまだ始まったばかりです。Anthropic自身が述べているように、「世界のサイバーインフラを守る仕事には何年もかかる可能性がある」一方で、「フロンティアAIの能力は数か月単位で大幅に進歩する可能性がある」。
注目すべきポイントはいくつかあります。まず、Mythos Previewが発見した「数千件のゼロデイ脆弱性」のうち99%以上がまだパッチされていないという事実です。脆弱性の「発見」と「修正」の間には、影響範囲の特定、パッチの開発とテスト、そしてパッチの配布・適用という長いプロセスがあります。発見された脆弱性が修正される前に同等の能力を持つモデルが他の場所で登場すれば、攻撃側が先に動くリスクが生まれます。
次に、第9巡回区控訴裁判所の判断です。仮処分を維持するか覆すかで、AI企業が安全性のレッドラインを設ける権利の法的先例が確立される可能性があります。OpenAIやGoogle DeepMindの研究者がAnthropicを支持するAmicus Briefを提出したことは、この問題がAnthropic一社にとどまらない業界全体の構造的課題であることを示しています。
【用語解説】
Claude Mythos Preview
AnthropicのClaudeシリーズにおいて、開発コードネーム「Capybara」として開発された新しいモデル階層の最初のモデル。既存の最上位モデル「Opus」を超える性能を持つとされる汎用フロンティアモデルで、特にエージェント的コーディングと推論能力が強調されている。現在は限定プレビューのみで、一般公開の予定はない。
Project Glasswing
Anthropicが主導するサイバーセキュリティ共同イニシアチブ。AWS・Apple・Cisco・Microsoft・NVIDIA・Palo Alto Networksなど主要パートナーを含む40以上の組織が参加し、Mythos PreviewをオープンソースソフトウェアやCritical Infrastructureの脆弱性スキャンに活用する。「Glasswing(グラスウィング)」はグラスウィングバタフライ(透明な翅を持つ中南米産の蝶)から取られた名称で、肉眼では見えにくいソフトウェアの脆弱性との類似を象徴している。
Responsible Scaling Policy(RSP)
Anthropicが2023年に策定し、以来改訂を重ねてきた自主的AI安全枠組み。AIモデルの能力が特定の「能力閾値」を超えた場合に、より厳格なセーフガードの実装と第三者検証を義務づける段階的システム。生物安全レベル(BSL)の概念に着想を得ており、政府規制が追いつかない領域での「業界自主基準」として機能している。
AI Safety Level(ASL)
RSPに基づくリスク分類システム。ASL-2が現行の標準的なモデルに適用される保護水準、ASL-3が化学・生物・放射線・核(CBRN)脅威や高度なサイバー攻撃を可能にしうるモデルに要求される強化保護水準。ASL-4以上の要件は現時点でまだ定義途上。Anthropicは2025年5月にClaude Opus 4でASL-3を初めて予防的に発動した。
ゼロデイ脆弱性
ソフトウェアの開発元も把握していない(または把握していても修正プログラムを提供していない)セキュリティ上の欠陥。「ゼロデイ」は「修正ができた日数がゼロ」を意味し、発見から修正(パッチ)が適用されるまでの間は攻撃者に悪用されるリスクがある。特に10〜20年前から存在する未発見の脆弱性は、OSやブラウザなど広く普及したソフトウェアに残存している可能性がある。
フロンティアモデル
特定の時点における業界最先端の性能・能力を持つAIモデルを指す総称。一般に、大規模な計算資源で訓練され、推論・コーディング・科学的分析など高度なタスクをこなせるモデルを指す。AnthropicではOpusシリーズ、OpenAIではGPT-4o / o3シリーズなどが該当する。
サプライチェーン・リスク指定
本来は政府機関の調達・運用システムに対して外国の敵対国に関連する製品やサービスが使用されるリスクを防ぐための指定制度。米国内企業への適用は前例がほとんどなく、今回のAnthropicへの適用は法的に争われている。
CVE(Common Vulnerabilities and Exposures)
ソフトウェアのセキュリティ脆弱性に付与される公式識別番号体系。「CVE-2026-4747」のように年と連番で表記される。MITRE社が管理し、世界中のセキュリティ研究者やベンダーが共通の参照軸として使用する。
【参考リンク】
Anthropic(外部)
ClaudeシリーズのAIモデルを開発するAI安全研究企業。2021年にOpenAIの元メンバーが設立。
Project Glasswing(公式)(外部)
パートナー構成、取り組みの詳細、クレジット提供スキーム、パートナーコメントを確認できるAnthropicの公式ページ。
Anthropic Responsible Scaling Policy v3.0(外部)
ASLシステムの定義、能力閾値の考え方、政府規制との関係を詳述するAnthropicのAI安全枠組み公式文書。
NVD(National Vulnerability Database)(外部)
米国NISTが運営するCVEの公式データベース。記事に登場するCVE番号の詳細情報を確認できる。
CrowdStrike(外部)
Project Glasswingに参加するサイバーセキュリティ企業。エンドポイント保護やインテリジェンスで知られる。
Palo Alto Networks(外部)
Project Glasswingに参加するネットワークセキュリティ大手。
Linux Foundation(外部)
オープンソースソフトウェアの保守・推進を行う非営利団体。Project Glasswingでオープンソースの脆弱性対応を担う。
CISA(サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国の主要なサイバーセキュリティ政府機関。AnthropicはProject Glasswingに関する継続的な協議を同庁と進めている。
【参考記事】
Project Glasswing – Anthropic(外部)
パートナー構成、1億ドルのクレジット提供、400万ドルのオープンソース団体への寄付など、Project Glasswingの全貌を伝えるAnthropicの公式発表(2026年4月7日)。
Assessing Claude Mythos Preview’s cybersecurity capabilities – Anthropic Frontier Red Team(外部)
FreeBSDのNFSサーバーRCE脆弱性(CVE-2026-4747)、ベンチマーク飽和問題など技術的詳細を解説するAnthropicの公式ブログ。
Anthropic is giving companies, including Amazon, Apple, and Microsoft, access to its unreleased Claude Mythos model to prepare cybersecurity defense(外部)
OpenBSD 27年物バグ、OpenAI GPT-5.3-Codexとの比較など、元記事を補完するFortuneの詳報。
Anthropic RSP v3.0 – Anthropic(外部)
RSPシステムの構造、ASL段階的システム、「政府の安全規制はAIの能力向上より動きが遅い」という自己評価を含むAnthropicの公式文書。
Judge temporarily blocks Anthropic ban – NPR(外部)
Rita Lin判事の仮処分命令を報じるNPRの記事。修正第1条に基づく報復の認定など法廷経緯を詳述。
Anthropic took down thousands of GitHub repos – TechCrunch(外部)
Claude Codeリーク後のDMCA誤爆事件を詳報するTechCrunchの記事。約8,100リポジトリへの影響と謝罪声明。
Anthropic Claude Code Leak – Zscaler ThreatLabz(外部)
v2.1.88のソースマップファイル流出を分析するセキュリティレポート。約1,906ファイル・約513,000行の流出詳細とaxiosサプライチェーン攻撃との関係を解説。
【編集部後記】
Opusの上に、さらに強力なモデルが存在する——その事実を目の当たりにしたとき、私の頭をよぎったのは「AGIの実現は、もう遠い未来の話ではないのかもしれない」という感覚でした。数十年にわたって誰にも見つからなかった脆弱性を自律的に発見し、従来のベンチマークを飽和させるほどの能力。これはもはや「道具が賢くなった」という話ではなく、知的作業の質そのものが変わりつつあるということです。
今回、Mythos Previewは一般には公開されません。その判断の妥当性は、記事の中で詳しく触れた通りです。しかし、もし将来——安全面での制御が十分に確立され、私が日常的にこのクラスのモデルを使えるようになったとしたら、どんな景色が広がるのでしょうか。個人の開発者が、大企業のセキュリティチームに匹敵する脆弱性診断を手元で実行できる世界。研究者が、数十年分の論文を横断して未発見の知見を引き出せる世界。その可能性に胸が躍る一方で、同じ力が悪意ある手に渡ったときの帰結を想像すると、背筋が冷たくなるのも正直なところです。
期待と恐れが半々——それは、おそらく正しい感覚だと思います。どちらか一方に振り切れるほど、私はまだこの技術の全貌を理解していません。だからこそ、私はこの先も追いかけ続けようと思います。
