Anthropicは2026年6月9日、コーディング・推論・科学的知識の全てで従来AIを大きく超えた汎用モデル「Claude Fable 5」を一般公開した。
しかしリリースからわずか3日後、米国政府の指令により公開が停止された。
そこで本稿では、3日で停止された背景を紐解き、その上で企業が今取るべき行動の糸口を探る。
前提として知っておくべき3つのモデル
「Claude Fable 5」を正しく理解するには、Anthropicが同時期に展開した3つのモデルの関係を把握しておく必要がある。
起点となるのは、2026年4月に発表された研究プレビュー版「Claude Mythos Preview」だ。
このモデルは高度なサイバー攻撃能力が認められたため、一般には公開されず、Anthropicが立ち上げた防御イニシアティブ「Project Glasswing」の参加組織にのみ限定提供された。
そして二つ目の「Claude Mythos 5」は、そのClaude Mythos Previewの正式後継として2026年6月9日にリリースされた。
能力的にはClaude Mythos Previewを引き継ぎ、引き続きProject Glasswing参加組織向けの限定提供となっている。
そして同日、一般向けに公開されたのが「Claude Fable 5」だ。Claude Mythos 5と同等の汎用性能を持ちながら、サイバー攻撃用途のみをブロックした形で誰でも利用できるモデルとして設計されている。
なぜ限定提供だったのか?Claude Mythos Previewの能力
AIモデルは通常、発表と同時に一般公開される。
Anthropicがそれをしなかったのは、Claude Mythos Previewの能力が、公開すること自体をリスクにするレベルに達していたからだ。
その理由を、Anthropicはこう説明する。
「AIモデルは、ソフトウェアの脆弱性を発見・悪用する能力において、最も熟練した人間を除く全ての人を超えるレベルに達した」
Anthropicの評価によれば、Claude Mythos Previewは主要なOS・ブラウザ全てにゼロデイ脆弱性(開発者も把握していない未知の欠陥)を発見した。
しかも、こうした脆弱性の発見と悪用確認のほとんどを、Claude Mythos Previewは人間の誘導なしに自律的に行ったのだ。
脆弱性を「発見」するだけでなく「悪用の確認」まで自律的にこなせるということは、攻撃の一連のプロセスをAIが単独で実行できることを意味する。
これまでサイバーセキュリティの世界では、「高度な攻撃は高度な専門家にしかできない」ため、被害もある程度コントロールできるという安全弁が機能していた。
しかし、Claude Mythos Previewはその前提を崩す。
27年間、誰も気づかなかった脆弱性
Anthropicが公式に開示した発見事例は、その能力の具体性を物語っている。
OpenBSDの27年前の脆弱性
OpenBSDはファイアウォールや重要なインフラを動かすOSとして知られ、セキュリティの堅牢さに定評がある。
Claude Mythos Previewはそこに潜む27年間誰も発見しなかった脆弱性を特定した。
この脆弱性を悪用すれば、攻撃者はOSに接続するだけでリモートからマシンをクラッシュさせることができる。
FFmpegの16年前のバグ
FFmpegは動画のエンコード・デコードに使われ、無数のソフトウェアの内部で動いている。
Claude Mythos Previewが発見した脆弱性が潜む1行のコードは、自動テストツールが500万回実行しても見逃し続けた箇所だった。16年間、誰も、何も、見つけられなかったものだ。
Linuxカーネルの権限昇格チェーン
世界中のサーバーの大半を動かすLinuxには、「一般ユーザー」と「管理者」という権限の壁がある。
一般ユーザーはできることが制限されており、サーバー全体の操作や重要ファイルの書き換えはできない。
Claude Mythos Previewはその壁を破る方法を自律的に見つけ出した。
単一の脆弱性ではなく、複数の脆弱性を「A→B→C」と連鎖的につなぐことで、一般ユーザー権限からマシンの完全制御権を奪う攻撃ルートを自ら設計したのだ。
この「攻撃チェーン」の構築は、本来なら高度な専門家が長時間かけて行う作業だ。それをAIが自律的にやってのけた。
なお、これら3例はいずれも、発見後にAnthropicから該当ソフトウェアの開発者へ報告済みで、現在はパッチが適用されている。
数字で見るClaude Mythos Previewの能力
Anthropicが公開したベンチマーク結果は、Claude Mythos Previewが現行の最上位モデルClaude Opus 4.6を大きく上回ることを示している。
サイバーセキュリティ(脆弱性再現)
| モデル | CyberGymスコア |
|---|---|
| Claude Mythos Preview | 83.1% |
| Claude Opus 4.6 | 66.6% |
CyberGymは、実際のCTF(ハッキング競技)問題を使ってAIが脆弱性を再現・悪用できるかを測るベンチマーク。スコアが高いほど、より多くの脆弱性を実際に悪用できることを意味する。
コーディング・エージェント能力
| ベンチマーク | Claude Mythos Preview | Opus 4.6 |
|---|---|---|
| SWE-bench Verified | 93.9% | 80.8% |
| SWE-bench Pro | 77.8% | 53.4% |
| Terminal-Bench 2.0 | 82.0% | 65.4% |
SWE-benchは実際のGitHubのバグ修正タスクをAIが解けるかを測る業界標準のベンチマーク。Terminal-Bench 2.0はターミナル操作を自律的にこなす能力を測る。
推論・汎用知識
| ベンチマーク | Claude Mythos Preview | Opus 4.6 |
|---|---|---|
| GPQA Diamond | 94.6% | 91.3% |
| Humanity’s Last Exam(ツールなし) | 56.8% | 40.0% |
GPQA Diamondは博士レベルの科学問題、Humanity’s Last Examは人類の知識の限界に挑む難問集。どちらも人間の専門家でも正答率が低い。
このように、サイバーセキュリティ・コーディング・推論のいずれのベンチマークでも、Claude Mythos PreviewはClaude Opus 4.6を10〜20ポイント以上上回っている。
一見バラバラに見えるこれらのベンチマークは、実はつながっている。
脆弱性を発見するには、コードを読んで問題を特定する能力(コーディング)と、複雑な条件を組み合わせて攻撃経路を推論する能力(推論)の両方が必要だからだ。
つまり、Claude Mythos Previewがこれほどのサイバー能力を持つ背景には、どれか一つが突出しているのではなく、汎用的な知能の全面的な底上げにある。
裏を返せば、この総合的な高性能が間接的に攻撃支援になりうる可能性は排除できないということだ。
第三者機関による実証、32段階の攻撃シミュレーションを自律完走
英国のAI安全機関(AISI)は、Anthropicとは独立した立場でClaude Mythos Previewのサイバー能力を評価した。
AISIが用いたのは、「The Last Ones(TLO)」と呼ばれる独自のテスト環境だ。
企業ネットワークへの実際の侵入プロセスを再現しており、偵察・侵入・横展開・権限昇格・全掌握といった攻撃の一連の流れを32段階に細かく分解している。
これを、どこまで自律的に進められるかをAIに問う、本格的なサイバー攻撃シミュレーションの一つだ。
このテストは、人間の専門家が完遂するのに約20時間かかる困難なテストだが、Claude Mythos Previewは10回の試行のうち3回、最初から最後まで自律的に完走した。
完走できなかった試行でも、平均32段階中22段階を完了した(次点のClaude Opus 4.6は平均16段階)。
なお、OT(運用技術)環境に特化した別のテスト「Cooling Tower」では、ITセクションで行き詰まり完了できなかった。
つまり、Claude Mythos Previewも現時点では万能ではないということだ。
Project Glasswing—「攻撃より先に、防御側に使う」
Anthropicの選択として、これだけの能力を持つClaude Mythos Previewの存在を、ただ秘匿することもできただろう。しかし、選んだのは別の道だった。
「このモデルが悪用される前に、防御に使う基盤を整える」
2026年4月に立ち上げられたProject Glasswingは、その構想の具現化だ。
名称はグラスウィング蝶(Greta oto)に由来する。透明な羽が周囲に溶け込む様子が「脆弱性が見えないところに潜む」ことを、そして危機を回避する姿が「防御側が先を取る」ことを象徴している。
参加企業の顔ぶれ
Project Glasswingのローンチパートナーは、テクノロジー業界の多方面を網羅している。
- インフラ・クラウド:Amazon(AWS)、Google、Microsoft、NVIDIA
- セキュリティ:CrowdStrike、Palo Alto Networks、Cisco
- 金融:JPMorganChase
- デバイス・半導体:Apple、Broadcom
- オープンソース:Linux Foundation
当初はローンチパートナー11社に加え約40の追加組織にも提供されていたが、2026年6月初旬には新たに約150の新規組織へのアクセスを拡大した。
参加組織は合計で200近い規模となり、15カ国以上に広がっている。電力、水道、医療、通信、ハードウェアなど、当初の参加組織では手薄だった重要インフラ分野がこの拡大で補われた。
Anthropicが投じたリソース
- モデル利用クレジット:1億ドルをProject Glasswing参加組織に提供
- オープンソース向け寄付:Alpha-Omega・OpenSSF(Linux Foundation経由)に250万ドル、Apache Software Foundationに150万ドル
- 研究プレビュー終了後の料金:入力100万トークンあたり25ドル、出力100万トークンあたり125ドル
このように、Anthropicがこのプロジェクトに投じたリソースからも、その本気度が現れている。
参加組織へのモデル利用クレジットとして最大1億ドルを提供し、オープンソースのセキュリティ団体には合計400万ドルを寄付した形だ。
また、大企業だけでなく、セキュリティ人員を持てないオープンソースのメンテナーにも無償でアクセスを提供している点が、このプロジェクトの射程の広さを物語っている。
現場からの声 —10,000件超の脆弱性が発見された
Glasswingパートナー各社がClaude Mythos Previewを数週間使用した結果、合計1万件超の高深刻度・重大脆弱性が発見されている。
ここで浮かび上がった新たな課題がある。AIによって脆弱性を「見つけること」は劇的に加速した一方、発見された脆弱性を人間が検証し、パッチを作成・適用する作業が新たなボトルネックとなりつつある。
Anthropicがオープンソースのセキュリティ団体に計400万ドルを寄付した背景には、この「修正側の処理能力」を底上げする狙いもある。
多くのパートナーがClaude Mythos Previewをパッチ作成やリリース前チェックにも活用し始めているのは、この課題への直接的な対応だ。
パートナー企業の声を一部紹介する。
以下の声からは、単なる賛辞ではなく、現場で実際にClaude Mythos Previewを使った者だけが持つ危機感が伝わってくる。共通するのは「もう後戻りはできない」という認識だ。
Cisco(セキュリティ責任者 Anthony Grieco氏)
「AIの能力は重要インフラをサイバー脅威から守るために必要な緊急性を根本から変える閾値を越えた。以前は不可能だったスピードとスケールで、ハードウェアからソフトウェアにまたがる脆弱性を特定・修正できることが証明された」
CrowdStrike(CTO Elia Zaitsev氏)
「脆弱性が発見されてから攻撃者に悪用されるまでの時間は、AIによって数ヶ月から数分に縮まった。Claude Mythos Previewは防御側にスケールで何ができるかを示した。攻撃者も同じ能力を狙うのは不可避だ。それはスピードを落とす理由ではなく、一緒に、もっと速く動く理由だ」
Palo Alto Networks(CPTO Lee Klarich氏)
「過去数週間でClaude Mythos Previewを使い、以前の世代のモデルが完全に見逃した複雑な脆弱性を発見した。これは攻撃者もゼロデイを従来より速く発見できることを意味する。今こそ、あらゆる場所でサイバーセキュリティスタックを近代化するときだ」
このように、「防御側が先に動かなければ手遅れになる」という切迫感が、3社に共通する認識だ。
Project Glasswingは、その危機感を行動に変えるための枠組みでもある。
「公開」から「停止命令」まで、AI規制をめぐる攻防
しかしAnthropicは、「公開できない」と判断したモデルの一般向け版を、わずか2ヶ月後にリリースした。
それはなぜか。
同社はClaude Mythos Previewを発表した2026年4月の時点でこう述べている。
「6〜12ヶ月以内に、競合他社もMythosクラスのモデルを開発する可能性が高い。それが十分な安全策なしに公開されるリスクがある」
つまりAnthropicは、Claude Mythos Previewを非公開にしても、同等の能力を持つモデルが別の会社から世に出ると見ていた。
いずれ広まるなら、防御側の準備が整った上で、安全策を施して公開する方がよいと判断したのだろう。「競争的リアリズム」とも呼べるこのアプローチの下、約2ヶ月後に実行に移されたのが、6月9日のClaude Mythos 5とClaude Fable 5の同時リリースだった。
しかしAnthropicは、モデルが持つ能力を伝えるために、前述したサイバーセキュリティ能力の研究知見と具体的事例を公開していたため、「AIがこれほどの攻撃能力を持つ」という事実が業界全体に広まった状態で一般リリースしたことになる。
防御への啓発を意図していたとしても、攻撃者の関心を喚起する副作用は否定できない。意図がどこにあるにせよ、「AIで高度な攻撃ができる」という認識が広まったのは事実だ。
その結果、公開の3日後、米国政府はジェイルブレイク(安全制限の回避)手法の発見を理由に、国家安全保障・輸出管理上の懸念から両モデルへのアクセス停止を指令。Anthropicは全ユーザー向けにClaude Mythos 5とClaude Fable 5を無効化した。
同社はこの決定に強く異議を示しながらも、現在は指令に準拠してアクセスを遮断しており、早期の復旧に向けて動いている状況だ。
AIの能力開発と安全保障規制の緊張は、Anthropicだけが抱える問題ではなく、業界全体に波及する問いでもある。
IoT・重要インフラへの示唆
最後に、IoTデバイスとOT(運用技術)システムに与える影響を考える。
IoTデバイスとOTは、Claude Mythos Previewが発見したような脆弱性に特に無防備だ。
理由は3つある。
第一に、パッチ適用の難しさ。IoTデバイスは製造後に更新されないケースが多く、FFmpegやLinuxカーネルのような基盤ライブラリに脆弱性が発見されても、エンドデバイスへの修正が届かないことがある。
第二に、ロングテールの問題。Claude Mythos Previewが発見した脆弱性の多くは10年以上前から存在していた。
IoTデバイスは数年から10年以上稼働し続けることも珍しくなく、発見が遅れるほどリスクが蓄積する。
第三に、物理への波及。工場の制御システムや医療機器、電力網は、サイバー攻撃が物理的な被害に直結する。
米国のサイバーセキュリティ機関CISAは、電力・水道・医療といった重要インフラへのサイバー攻撃リスクを長年にわたって警告してきた。
そのリスクが、Mythosクラスのモデルの登場で質的に変わる可能性がある。
Project GlasswingにはAWS、Cisco、Microsoft、Linux Foundationといった産業用IoTに深く関わるプレイヤーが参画している。彼らが得る知見とパッチがどこまで裾野に広がるかが、IoT・OT領域のセキュリティ水準を左右するだろう。
※本セクションの「3つの弱点」の整理は筆者による論考であり、Anthropic公式発表から直接引用したものではない。IoT・OTへの波及リスクについては、CISAをはじめとする機関が別途報告書を公開しており、関心のある読者はそちらも参照されたい。:Cybersecurity Alerts & Advisories
まとめ
前述した通り、Anthropicは2026年4月時点で「6〜12ヶ月以内に競合他社もMythosクラスのモデルを開発する可能性が高い」と発表している。
もしこれが正しければ、停止命令が解除される前であっても、同等の能力が市場に出回る可能性もある。
27年前のOpenBSD脆弱性、500万回のテストをすり抜けたFFmpegのバグ、Linuxカーネルの権限昇格チェーンなどを自律的に発見したモデルと同等のものが、悪意ある者の手に渡りうる状況は、Anthropicの判断を待たずして近づいている。
しかもAnthropicは「AIを使えば高度なサイバー攻撃ができる」という認識をすでに広く拡散させた。
その発表戦略の是非はともかく、知れ渡ってしまった以上、攻撃側の敷居は事実上すでに下がっている。
そこで、一般企業が今すぐ取り組むべきことを3つ挙げる。
第一に、自社システムで使われているオープンソースライブラリの棚卸しだ。
FFmpegやLinuxカーネルのような基盤ソフトウェアがどこで動いているかを把握していなければ、脆弱性が発見されても対応の起点がない。
今回発見された脆弱性の多くは10年以上前から存在していたことを忘れてはならない。
第二に、パッチが出たら即座に適用できる体制の整備だ。
AIによって脆弱性の発見が加速する一方、パッチが配布されてから自社システムに適用されるまでのプロセスが遅ければ、その空白期間が攻撃の窓口になる。
そのため、「どの脆弱性から優先して塞ぐか」の判断基準と、適用を素早く実行できる運用フローを今から整えておくことが重要だ。
第三に、競合他社や攻撃者がAIスキャンを使い始める前に、自社が先に動くことだ。
Claude Fable 5は現在停止命令により利用できないが、状況は流動的で、同等のモデルが他社から出る可能性もある。
「使えるようになったら検討する」では遅い。どのようなツールを、誰が承認し、どの範囲に適用するかを今のうちに決めておくことが必要となる。
参照元:
①:Project Glasswing Securing critical software for the AI era
②:Expanding Project Glasswing
③:Our evaluation of Claude Mythos Preview’s cyber capabilities
④:Anthropic: Claude Mythos identified 10,000+ software flaws
⑤:Claude Fable 5 and Claude Mythos 5
⑥:Statement on the US government directive to suspend access to Fable 5 and Mythos 5
現在、デジタルをビジネスに取り込むことで生まれる価値について研究中。IoTに関する様々な情報を取材し、皆様にお届けいたします。
