2026年5月14日、Palo Altoのサイバーセキュリティ企業Califのセキュリティ研究者が、Anthropicの非公開AIモデルMythosの初期バージョンから得たテクニックを用い、Apple macOSに2件の未公開脆弱性を発見したと報じられた。両バグを連鎖させ、Appleのメモリ整合性保護機構をバイパスする権限昇格エクスプロイトが構築された。
発見は4月のテストセッション中になされ、Califは55ページの技術レポートをCupertinoのApple本社へ直接届け、Appleは現在内容を精査していると報じられている。Califはブログで、攻撃はMythos単独では実行できず、自社ハッカーの専門知識が必要だったと説明している。Mythosは旧称Claude Mythos Previewで、Apple、Google、Microsoftを含む40以上の追加組織にアクセスを付与するProject Glasswingの対象であり、Anthropicは最大1億ドルの利用クレジットを提供する。Mythosは過去にOpenBSDで27年間未検出のバグやLinuxの脆弱性も発見している。
From: 
Anthropic’s Mythos AI Reportedly Found macOS Vulnerabilities that Could Bypass Apple Security
【編集部解説】
今回のニュースは、AIが「サイバー攻撃の中核ツール」として表舞台に立った象徴的事例であり、innovaTopia編集部としても重く受け止めています。
注目すべきは、攻撃対象がApple M5チップ上で動作するMemory Integrity Enforcement(MIE)だった点です。MIEはARMのMemory Tagging Extension(MTE)を発展させたEMTE等を組み合わせたメモリ安全機構で、Appleが約5年(half a decade)をかけて構築した、現行で最も強固なメモリ保護機構の一つです。なお、Appleが公式にMIE対応を明言しているのはA19/A19 Pro搭載のiPhone 17系であり、M5 Mac上のMIEに関してはCalif側の発表に基づく情報である点に留意が必要です。
その「鉄壁」を、Califチームはバグ発見からエクスプロイト完成まで約5日間で突破したと報告しています。Califのブログによれば、4月25日に脆弱性を発見し、5月1日にmacOS 26.4.1上で動作させたとのことです。
ただしCalif自身が強調しているとおり、これはMythos単独の成果ではありません。バグ発見と概念実証の高速化をAIが担い、その出力を熟練ハッカーが攻撃チェーンへと組み上げた、人間とAIの協業による産物です。「AIが自律的にmacOSをハッキングした」という単純化した解釈は、事実から外れます。
Mythosの位置づけも整理しておきましょう。Anthropicが旧称Claude Mythos Previewと呼ぶこのモデルは、2026年4月7日に発表されたProject Glasswingの中核として、Anthropic、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksの12社をローンチパートナーに据え、さらに重要ソフトウェア基盤を支える40以上の組織に限定提供されています。
Anthropicはこの取り組みに最大$100Mの利用クレジットと、オープンソースセキュリティ団体への$4Mの寄付を投じています。公開後の参考価格は入力$25/出力$125(100万トークンあたり)です。
公開を意図的に絞り込んでいる理由は明快で、同モデルが攻撃にも防御にも使える「両刃の剣」だからにほかなりません。Anthropic自身、Mythosは厳格なガードレールなしには市場投入できないと公言してきました。
業界では「Bugmageddon(バグマゲドン)」という言葉も使われ始めています。Calif自身もブログ内で「AI bugmageddon」という表現を用いており、これはAIが脆弱性を発見する速度が、企業のパッチ提供能力を超え、未修正の脆弱性が積み上がりかねない状態を示唆する表現です。Mythosが過去にOpenBSDで27年間放置されたバグを発掘した実績を踏まえると、この警戒は決して誇張とは言えません。
ポジティブに捉えれば、防御側に「先回りの時間」を与える戦略は理に適っています。Anthropicは攻撃能力を自社内に閉じ込めたうえで、その威力を攻撃者ではなく防御者に手渡すという、前例のないアプローチを取りました。Project Glasswingでの知見は業界全体に共有される設計で、Apple、Google、Microsoftといった巨大プラットフォーマーが共同戦線を張る構図そのものが画期的と言えます。
一方、参加組織が米国本社の企業に偏っている点は、地政学的な含意も帯び始めています。今後、AI能力の輸出規制や同盟国との情報共有体制が、政策論点として浮上してくる可能性があります。
中長期では、ソフトウェア開発・運用の現場が「AIによる脆弱性発見」を前提とした体制へ移行する流れが加速していく可能性があります。年次監査から継続的AI監査へ、手作業のパッチ管理から自動修復パイプラインへ。守る側のプレイブックそのものが書き換わっていくことが予想されます。
innovaTopia編集部としては、本件を単なる「Macが破られた話」と矮小化すべきではないと考えます。これはAIが社会の基盤ソフトウェアを再定義するフェーズに突入したことを告げる、一つの大きな転換点です。未来の「読みたい・触りたい・関わりたい」に応えるためにも、読者の皆さんと一緒に動向を追い続けていきたい領域です。
【用語解説】
権限昇格エクスプロイト(Privilege Escalation Exploit)
本来アクセスが許可されていないシステム領域へ、攻撃者が不正に権限を引き上げて侵入する攻撃手法だ。今回のCalifの攻撃は、一般ユーザー権限からカーネル領域へ侵入する「ローカル権限昇格」に該当する。
Memory Integrity Enforcement(MIE)
Appleが約5年をかけて開発した、ハードウェア支援型のメモリ保護機構である。メモリ破壊系の攻撃を物理レベルで困難にする仕組みで、Apple公式ではiPhone 17系(A19/A19 Pro搭載)への実装が明記されている。
Memory Tagging Extension(MTE)/EMTE
ARMが2019年に仕様化したメモリ保護技術で、メモリ領域ごとに「タグ」を付与し、正しい鍵を持たないアクセスを物理的に拒否する仕組みだ。AppleのMIEは、このMTEを発展させたEMTE(Enhanced MTE)に独自のセキュアアロケータやタグ保護を組み合わせて構成されている。
Mythos(旧称:Claude Mythos Preview)
Anthropicが開発した非公開のフロンティアAIモデルだ。ソフトウェアの脆弱性発見能力が極めて高く、悪用リスクがあるため一般公開を見送り、限定パートナーのみに提供されている。
Bugmageddon(バグマゲドン)
AIによる脆弱性発見スピードが、企業のパッチ提供能力を超える「未修正脆弱性の津波」を指す業界の造語である。Calif自身もブログ内で「AI bugmageddon」という表現を用いている。
ガードレール(AIセーフティ)
強力なAIモデルが悪用されないよう、能力や利用方法を制限する技術的・運用的な制約の総称である。Anthropic自身がMythosの公開に必要だと明言している要素にあたる。
【参考リンク】
Anthropic(外部)
Mythosを開発したAI安全性研究企業の公式サイト。Claudeシリーズや安全性研究を公開。
Project Glasswing 公式ページ(外部)
Anthropic主導の重要インフラ向けセキュリティ・イニシアチブの公式紹介ページ。
Apple(外部)
macOSおよびMチップを開発するメーカーの公式サイト。セキュリティ情報も発信。
Apple Security Research – Memory Integrity Enforcement(外部)
MIEの設計思想・構成要素・開発期間を解説したApple公式の一次情報源。
Calif(外部)
今回macOSの脆弱性を発見したPalo Altoのセキュリティ研究企業の公式サイト。
Calif Blog – Apple M5上の初の公開カーネルエクスプロイト(外部)
発見日・動作環境などCalif自身による技術解説の一次情報源。
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国の重要インフラ防護を担う連邦機関。サイバーセキュリティに関する一次情報を発信している。
【参考動画】
【参考記事】
Project Glasswing: Securing critical software for the AI era(Anthropic公式)(外部)
ローンチパートナー12社、$100Mクレジット、$4M寄付など数値情報の一次ソース。
Memory Integrity Enforcement(Apple Security Research)(外部)
MIEの構成要素と約5年の開発期間を記した公式情報源。
First public macOS kernel memory corruption exploit on Apple M5(Calif Blog)(外部)
4月25日発見・5月1日動作・macOS 26.4.1・M5・MIE有効を確認できる一次情報。
Anthropic gives firms early access to Claude Mythos(Fortune)(外部)
OpenBSDで27年間未検出のバグ、関連銘柄5〜11%下落などを報じる記事。
Calif team details how Mythos helped build a macOS exploit in five days(9to5Mac)(外部)
macOS 26.4.1とApple M5環境で5日間で攻撃完成という技術詳細を解説。
Mythos AI outsmarted Apple’s Mac security systems(AppleInsider)(外部)
Apple MIEに対する初の公開カーネルメモリ破壊エクスプロイトと位置づけ整理。
Claude Mythos Preview(Anthropic Red Team)(外部)
OpenBSDの27年物バグやLinux権限昇格チェーンなど、Mythosの実績を記した一次情報。
【関連記事】
Anthropic「Claude Mythos Preview」限定公開|数十年物の脆弱性を自律発見、史上最強AIをなぜ一般に公開しないのか
本シリーズの起点記事。Mythos PreviewとProject Glasswing発表の経緯・技術的背景を解説。本記事の前提理解に最適。
(2026年4月8日公開)
「防御側優位」は成り立つか──AnthropicのProject GlasswingとAIサイバー能力の構造
Project Glasswingの「限定公開で防御側に先行優位を与える」戦略の構造を分析。今回のCalifによるmacOS exploit成果は、まさにこの戦略の最初の具体的実証例。
(2026年4月24日公開)
Firefox × Claude Mythos、271件の脆弱性を一掃——AIが「守り手」になる時代が来た
Mozillaが内部テストでMythosを用いてFirefox 150に対し271件の脆弱性を発見した事例。今回のApple macOS事例と並ぶ、Mythosの実戦投入の代表例。
(2026年4月24日公開)
Anthropic「Mythos」の正体—ゼロデイマシンの実力は誇大広告だったのか?
Mythosの能力を冷静に評価する批評的視点を提供する記事。本記事の「Mythos単独ではなく人間との協業」という整理と整合する内容。
(2026年4月下旬公開)
Anthropic「Mythos」が金融を揺らす、金融庁が36団体で官民ワーキンググループ設置
同日公開の最新姉妹記事。Mythosの影響が日本の金融規制当局に波及した動きを報じる。Apple M5案件と並走する「Mythos以後」の象徴的事例。
(2026年5月14日公開)
GPT-5.5、英国AISIサイバー評価で最強候補に─Mythosに続き32ScientificName攻撃を完遂
Mythosに対抗するOpenAIのフロンティアモデル評価。AI×サイバー攻防の「次の段階」を俯瞰するうえで補完的。
(2026年5月6日公開)
【編集部後記】
AIが「攻撃にも防御にも使える両刃の剣」となった現実は、もはや特定の専門家だけの話ではなくなりつつあります。皆さんが日々使っているMacやスマホ、ブラウザの安全性も、これからはAI同士の攻防の最前線で守られていくのかもしれません。
もし皆さんが「AIにセキュリティを任せる時代」を想像してみるとしたら、どんな期待や不安が浮かびますか?Project Glasswingのような協業の輪に、いつか日本企業や日本のオープンソース・コミュニティが加わる日も来るのでしょうか。一緒に未来の地図を描いていけたら嬉しいです。
