「自分で脆弱性を見つけてきた」AIの登場
ソフトウェアの脆弱性を探す作業は、これまで熟練したセキュリティエンジニアが何時間もかけて行う仕事でした。コードを読み込み、怪しい箇所を特定し、実際に悪用できるかを検証する。その一連の流れを、AIが人の手を借りずにこなせるようになりつつあります。
Anthropicが公表した「Claude Mythos Preview」は、ユーザーから「脆弱性を見つけてほしい」と最初に指示を与えるだけで、その後は自律的に探索を続けるという動作が確認されています。テスト結果では、多数の脆弱性を人手介入なしで発見したとされており、これは従来のAIモデルとは一線を画する動きです。
どんな脆弱性を、どうやって見つけるのか
今回の発表で特に注目されるのは、「ゼロデイ脆弱性」を識別・悪用できると示された点です。ゼロデイとは、まだ公には知られていない脆弱性のことで、発見すること自体が高度な技術を要します。Anthropicは、主要なOSや主要Webブラウザを対象にこの能力が確認されたと説明しています。
また、発見された脆弱性の中には10年〜20年前の古いものも含まれており、最古の例としてOpenBSDの27年前のバグが挙げられています。これはすでにパッチが当たっている既知のバグですが、AIがそうした歴史的な脆弱性のパターンを学習・応用していることを示す事例として紹介されています。
さらに興味深いのは、クローズドソースの難読化されたバイナリ(コンパイル済みで中身が読みにくい実行ファイル)を逆アセンブル・逆解析し、元のソースコードに近い形に再構築する能力も確認されたという点です。これはリバースエンジニアリングと呼ばれる作業で、マルウェア解析や互換性調査などの場面で必要とされる専門技術です。
前モデルのOpus 4.6とどう違うのか
Anthropicは、Claude Mythos PreviewがClaude Opus 4.6と比べて、脆弱性の発見・修正・悪用のいずれの面でも大幅に強力になったと説明しています。具体的な数値は明示されていませんが、「明確に高い」という表現が使われており、性能差は小さくないようです。
従来のOpus 4.6でも一定のコード解析は可能でしたが、今回のMythos Previewは自律性と専門性の両方が引き上げられた印象です。人手によるレビューや既存のスキャンツールでは見落としがちな、微妙なロジックの欠陥や古い設計上の問題にも対応できると説明されています。
制限付き提供であることと、公開されない情報
現時点でClaude Mythos Previewは一般公開されておらず、制限付きでの提供にとどまっています。Anthropicは、この能力の危険性を認識した上で、広く公開するのではなく対象を絞って提供していると示唆しています。
また、発見された脆弱性の詳細も公開されていません。その理由として、99%以上がまだ修正されていないためとされており、責任ある公開(Responsible Disclosure)の観点から情報を伏せている状態です。価格や利用可能地域についての情報も、現時点では明らかになっていません。
フリーランスへの影響
脆弱性診断やセキュリティコンサルを行うフリーランスエンジニアにとって、このモデルが正式公開された場合、業務のスピードと対応範囲が大きく変わる可能性があります。これまで数日かけていた初期のスキャン・解析フェーズを短縮できるとすれば、1件あたりの工数削減や、より多くの案件対応が現実的になるかもしれません。
一方で、現時点ではPreview版かつ制限付きであり、フリーランス個人がすぐに利用できる状況ではありません。対象ユーザーはセキュリティ研究者、アプリケーションセキュリティエンジニア、レッドチーム担当者といった専門職に絞られているようです。一般のWebアプリ開発者やフロントエンドフリーランサーにとっては、現時点では直接関係する場面は少ないでしょう。
また、脆弱性の「悪用」能力が高いモデルということもあり、利用にあたっては倫理的・法的なガイドラインの整備が必要になるはずです。正式公開の際には、利用規約や使用条件をしっかり確認することが大切です。
まとめ
Claude Mythos Previewは、セキュリティ分野に特化した高度な能力を持つモデルとして発表されましたが、現時点では一般利用には至っていません。セキュリティ系フリーランスの方は今後の正式公開情報を注視しつつ、様子見のスタンスが適切です。関心のある方はAnthropicの公式発表をチェックしておくとよいでしょう。
コメント