Claude Mythosとサイバーセキュリティ：業界全体がパニックに陥った理由

要点： 流出したAnthropic内部文書はClaude Mythosを「サイバー能力であらゆるAIモデルをはるかに凌駕する」と記述していた。24時間以内にグローバル・サイバーセキュリティ指数は4.2%下落し、約4,000億ドルの時価総額が蒸発。セキュリティ業界は一つの問いに直面した——AIが人間よりも速く脆弱性を見つけるようになったら、何が起こるのか？

恐慌を引き起こした一文

流出したAnthropic文書の中で、最も破壊力があったのはこの一文だ：

「サイバー能力であらゆるAIモデルをはるかに凌駕する。」

「競争力がある」でも「有望」でもない。はるかに凌駕。あらゆるモデルを。

Anthropicは大げさな表現で知られる会社ではない。公式コミュニケーションは慎重で、法務レビューを経ている。その社内評価が「はるかに凌駕」という表現を使った——Anthropicの文化を理解している人間にとって、これは最高レベルの警報だ。

この表現はフロンティア・レッドチームの結果を記述するセクションに登場した。マーケティングコピーではなく、経営陣と安全チーム向けの内部評価だ。その文脈がさらに警戒を高めた。

Claude Mythosのフロンティア・レッドチーム・テスト

流出文書は、管理されたレッドチーム評価での具体的な攻撃シーケンスを記述していた。開始から完全な侵害まで約90分。

フェーズ1：Webアプリケーション層。 Claude MythosはGhost CMS（広く使われているオープンソースブログプラットフォーム）のブラインドSQLインジェクション脆弱性を発見・悪用し、管理者APIキーを窃取した。

フェーズ2：カーネルレベルへのピボット。 侵害されたWebアプリから、MythosはLinuxシステムに転進。NFSv4（Network File System version 4）デーモンにスタックバッファオーバーフローを発見した。これは既知の脆弱性ではなかった。流出評価によると、このバグは約20年間コードベースに潜んでいた——数十年にわたるコード監査やファジングをすり抜けてきたのだ。

コアなLinuxカーネルサブシステムのゼロデイ脆弱性を、AIがレッドチーム演習の90分以内に発見した。

参考：Opus 4.6（Mythosではなく現行の本番モデル）は、専門的なセキュリティツールなしに、一般的な推論能力だけで本番のオープンソースコードから500件以上の高深刻度ゼロデイを発見済みだ。Mythosがサイバー能力でOpus 4.6からさらに段階的に飛躍しているのなら、脆弱性の大規模発見がもたらす影響は計り知れない。

攻守の非対称性

サイバーセキュリティ業界には構造的な非対称性がある：攻撃者は一つの突破口を見つければよく、防御者はすべての穴を塞がなければならない。AIがこの不均衡を劇的に悪化させる。

流出文書が記述するレベルのAIモデルは、秒から分単位で脆弱性を発見できる。一方、企業ソフトウェアの平均パッチサイクルは約60日（出典：Ponemon Institute 2025年データ侵害コストレポート）。規制や運用上の制約があるクリティカルインフラでは6〜12ヶ月かかることもある。

秒速の攻撃 vs 60日の防御。この数字は残酷だ。

流出文書はこう記している：

「Mythosのリリース計画はサイバー防御側に焦点を当てている——組織に早期アクセスを提供し、AI駆動の攻撃の波が到来する前にコードベースを堅牢にする猶予を与える。」

Claude Mythosリークが株式市場に与えた衝撃

市場反応は迅速かつ広範で苛烈だった。主要金融メディアで報じられてから24時間以内：

ETF：

iShares Cybersecurity ETF (CIBR)：-4.5%（出典：CNBC）

個別銘柄：

CrowdStrike：-6%、Palo Alto Networks：-6%、Zscaler：-6%
SentinelOne：-6%、Okta：-7%超、Netskope：-7%超
Tenable：-9%（最大の下落幅）

グローバル・サイバーセキュリティ指数は24時間で4.2%下落。セキュリティセクター全体で約4,000億ドルの時価総額が消えた。CNBC、Fortune、Investing.comが独立して確認。

売りの論理はシンプルだった。AIがどの人間レッドチームよりも速くゼロデイを発見できるなら、従来の脆弱性スキャン、エンドポイント検知、境界防御の価値提案は根底から揺らぐ。

Anthropicがなぜ防御側だけに限定したか

流出のリリース計画は明確だった：Mythosは防御側が先だ。

「防御側に先にツールを渡し、AI駆動の攻撃の波が来る前にコードベースを堅牢にする時間を与える。」

これは慈善ではない。計算されたリスク管理だ。

Anthropicのロジックは明快だ。第一に、この能力はすでに存在し、「発明を取り消す」ことはできない。第二に、防御側がツールを手に入れてからAI攻撃ツールが普及するまでの時間窓が、既存の脆弱性のうちどれだけが修正されるかを決める。第三に、防御側を先にすることで、攻撃ツールが広まる前に既知の未修正脆弱性が最大限修復される。

Claude Mythosがサイバーセキュリティ業界に意味すること

長期的な影響は初日の株価暴落をはるかに超える。

人間の速度での脆弱性発見は終わった。 AIが数分で、人間が数十年見逃してきたゼロデイを見つけるなら、セキュリティ研究のリズム自体が変わる。バグバウンティ、ペネトレーションテスト企業、社内レッドチームはAI駆動の発見を統合しなければ時代遅れになる。

従来のセキュリティベンダーの堀が危うい。 シグネチャベースの検知や既知脆弱性のスキャンに依存する企業は存在意義を問われる。

軍拡競争が来る。 最も可能性の高い均衡は、攻守双方がフロンティアモデルを配備する継続的なAI対AIの競争だ。防御AIを持たない組織は深刻な不利に立たされる。

まだ確認されていないこと

⚠️ 正確な速度指標。 定性的な記述のみ。90分の攻撃チェーンは単一の演習からのタイムラインであり、体系的なベンチマークではない。

⚠️ Mythosが発見した脆弱性の具体数。 500件超はOpus 4.6の数字であり、Mythosではない。

⚠️ 実世界の事件への関与。 Claude Mythosが実際のサイバー攻撃に使用されたという確認証拠はない。

⚠️ 独立検証。 独立した研究者や機関がMythosをテストしたという公開確認はない。

⚠️ 競合の追い上げ速度。 「はるかに凌駕」はある時点での社内評価。他のフロンティア研究所が実際にどれだけ遅れているかは不明。