- AnthropicのAI「Claude Mythos」が米政府の機密システムで脆弱性を発見しました
- 関係者は「数時間以内に見つけた」と証言。ただし実際の被害は出ていません
- 背景にあるのは重要ソフトを守る「Project Glasswing(グラスウィング計画)」です
- この取り組みで見つかった脆弱性はすでに1万件以上にのぼります
- Google「Big Sleep」など、AIで脆弱性を探す競争が世界で加速しています
もし、何十年も誰も気づかなかったシステムの「穴」を、AIがたった数時間で見つけ出したらどうでしょう。守る側にとっては頼もしく、狙う側に渡れば恐ろしい力です。2026年6月、その現実が米政府の機密システムで起きました。この記事を読むと、何が起きたのか、そして私たちの暮らしや日本企業にどう関わるのかがわかります。
Claude Mythosが米政府の機密システムで何を見つけたのか
主役はAnthropic(アンソロピック/ChatGPTのライバルAI「Claude」を作る会社)が開発した未公開モデル「Claude Mythos(クロード・ミトス)」です。
このAIが、アメリカ政府の機密システムをテストしました。
結果はおどろくものでした。政府関係者は「数時間以内に特定の脆弱性(システムの弱点)を発見できた」と証言しています。
ただし、注意が必要です。発見と悪用はちがいます。
同じ関係者は「見つけられたからといって、AIがその場で攻撃に使えたわけではない」とも話しています。実際の侵入や被害は起きていません。
29年も潜んでいた「Squidbleed」
このテストとあわせて公表された有名な発見が「Squidbleed(スクイッドブリード)」です。
これは「Squid(スクイッド)」という、世界中で使われる通信中継ソフトに潜んでいた弱点でした。
おどろくのはその古さです。なんと約29年間、誰にも気づかれずに残っていたとされています。
この穴を突かれると、他人の通信内容やパスワードのような認証情報、APIキー(サービスを使うための鍵)が外に漏れる危険がありました。
長年の専門家のチェックでも見つからなかった穴を、AIが手伝って見つけた。ここに今回の衝撃があります。
背景にある「Project Glasswing」とは
今回の発見は、思いつきの実験ではありません。
Project Glasswing(プロジェクト・グラスウィング)という大きな計画の一部です。
これは「悪用される前に、重要なソフトの弱点を見つけて直そう」という防御のための取り組みです。2026年4月7日に正式発表されました。
参加する顔ぶれが豪華です。
- Amazon Web Services(アマゾンのクラウド)
- Apple、Google、Microsoft、NVIDIA
- JPMorganChase(米大手銀行)
- Linux Foundation(基本ソフトを支える団体)
- Cisco、Broadcom、CrowdStrike、Palo Alto Networks
こうした主要企業に加え、重要インフラを担う40以上の組織がClaude Mythosを使えるようになっています。
すでに1万件以上の弱点を発見
成果はすでに数字に出ています。
Anthropicと約50のパートナーは、この取り組みで1万件以上の「高」または「重大」レベルの脆弱性を見つけたと公表しました。
過去にもこんな例があります。
- OpenBSDに潜んでいた27年前の脆弱性
- FFmpeg(動画処理ソフト)の16年前の脆弱性
- FreeBSDで17年間放置されたRCE(遠隔操作される穴)をAIが自律的に発見
Anthropicはこの取り組みに、最大1億ドルぶんの利用枠と、オープンソース団体への400万ドルの寄付を投じています。
なぜ「政府への事前説明」が重要なのか
Anthropicは公表の前に、CISA(米サイバーセキュリティ機関)や商務省などの高官に説明を行いました。
これはとても象徴的な動きです。
なぜなら、脆弱性を見つける力は、守りにも攻めにも使える「両刃の剣」だからです。
同じ技術が、防御側の手にあれば社会を守ります。攻撃者の手に渡れば、大規模な被害を生みます。
だからこそ、いきなり公開せず、政府と歩調を合わせる必要があったのです。
Google「Big Sleep」との比較
AIで脆弱性を探す競争は、Anthropicだけではありません。
代表的なライバルがGoogleの「Big Sleep(ビッグスリープ)」です。
これはGoogle DeepMindとProject Zeroが2024年11月に発表したAIエージェントです。
違いを整理してみましょう。
- Claude Mythos:未公開の汎用フロンティアモデル。50社規模の連合で、古い重大脆弱性を大量に発見する
- Big Sleep:脆弱性探索に特化したエージェント。SQLiteの重大な穴(CVE-2025-6965)を発見し、実際の攻撃を未然に防いだ初の事例を作った
つまり、Claudeは「広く深く掘る連合」、Big Sleepは「実戦で防いだ実績」が強みです。
OpenAIなども含め、AIによる脆弱性発見は、いまや業界全体の主戦場になっています。
日本市場・日本企業への影響
「アメリカの話でしょう?」と思ったかもしれません。
しかし、これは日本にも直結します。
まず、今回見つかった「Squid」のような中継ソフトは、日本の企業や自治体のサーバーでも広く使われています。
ある日本の中堅企業の情報システム担当者を想像してみてください。社内の通信を中継するソフトを、何年も「動いているから大丈夫」と思って使い続けていたとします。そこに29年前の穴が見つかれば、すぐに更新の判断を迫られます。
次に、攻撃者側もAIを使い始めています。
守る側がAIを使わなければ、防御の差はどんどん開きます。日本企業にとっても「AIでセキュリティを守る」のは、もう選択肢ではなく必須になりつつあります。
一方で、Anthropicが政府向けに出している「Claude Gov」モデルは米国の国家安全保障向けです。日本が同等の枠組みをどう整えるかは、これからの課題です。
よくある質問(FAQ)
Q1. Claude Mythosは誰でも使えますか?
いいえ。Claude Mythosは未公開のモデルです。Project Glasswingに参加する企業や組織など、限られた相手だけがアクセスできます。
Q2. 機密システムから情報が盗まれたのですか?
いいえ。脆弱性は「見つけた」段階で、実際の侵入や被害は報告されていません。AIがその場で悪用したわけでもありません。
Q3. なぜAIは人間より速く穴を見つけられるのですか?
大量のコードを一度に読み、過去のパターンと照らし合わせる作業が得意だからです。29年や27年も見逃された弱点を、短時間で洗い出せます。
Q4. このニュースで私たちが今できることは?
使っているソフトを最新版に更新することです。とくにSquidのような中継ソフトを使う企業は、修正版への更新を急ぐことが大切です。
まとめ
今回のポイントを振り返ります。
- AnthropicのAI「Claude Mythos」が米政府機密システムで脆弱性を数時間以内に発見した
- あわせて29年潜んでいた「Squidbleed」も公表された
- 背景は重要ソフトを守る「Project Glasswing」で、すでに1万件以上の弱点を発見
- 公表前にCISAや商務省へ説明するなど、攻防両面の力を慎重に扱っている
- GoogleのBig Sleepなど、AIによる脆弱性発見競争が世界で加速している
まずは身近な一歩として、使っているソフトやサービスを最新版に更新するところから始めてみましょう。
参考文献
- GIGAZINE「Claude Mythosがアメリカ政府の機密システムの脆弱性を発見」
- Anthropic「Project Glasswing: Securing critical software for the AI era」
- Cybersecurity News「29-Year-Old ‘Squidbleed’ Vulnerability Discovered With the Aid of Claude Mythos」
- Cybernews「Anthropic’s AI model found vulnerabilities in classified US government systems」
- Google Cloud Blog「Our Big Sleep agent makes a big leap」
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
