Anthropicの最新AIモデル「Mythos Preview」が、セキュリティ研究の世界に衝撃的な実績を残した。Ars Technicaが4月21日に報じたところによると、MozillaはMythos Previewを活用してFirefox 150のリリース前に271件のセキュリティ脆弱性を事前検出することに成功した。この結果を受け、Firefox CTOのBobby Holley氏は「守る側が、ついに決定的に勝てるチャンスが来た」と強い言葉で評価している。

Mythosとは何か——なぜ今注目されているのか

Mythos Previewは、Anthropicが2026年4月上旬に発表した新世代の特化型AIモデルだ。サイバーセキュリティ領域に特化して設計されており、Anthropicは当初「重要な業界パートナーへの限定リリース」という慎重な形で展開した。その背景には、同モデルの脆弱性発見能力があまりにも高く、悪意ある用途への転用リスクを懸念した判断があると見られている。

リリース当初から「AIによるハッキング加速の引き金になるのか」「単なるAI能力向上の一段階に過ぎないのか」という議論が業界で続いていたが、今回のMozillaによる実績公開はその論争に大きなデータを投じた形となる。

海外レビューのポイント——271件という数字の意味

Ars Technicaおよびモジラの公式ブログ記事によると、Mythosが発見した271件の脆弱性は、従来の手法と比較することでその価値が鮮明になる。

Holley CTOが示した比較が興味深い。AnthropicのOpus 4.6モデルは先月、Firefox 148のソースコード解析で22件のセキュリティ関連バグを検出した。それがMythosではFirefox 150で271件——約12倍の検出数だ。わずか数ヶ月でのこの飛躍は、モデルの世代間改善のスピードを如実に示している。

Holley氏はWiredのインタビューで、Mythosが発見した脆弱性は従来であれば「自動ファジング技術」か「一流のセキュリティ研究者による手動解析」によってのみ発見できるものだったと説明している。そして多くのケースで「1件のバグを見つけるために何ヶ月もかかっていたコストのかかる人海戦術が不要になった」と述べた。

Ars Technicaが特に注目したポイントとして、この成果がオープンソースソフトウェア全体への含意を持つという点がある。オープンソースプロジェクトはコードベースが公開されているため、AIによる探索が容易な一方、ボランティアベースのメンテナンスで脆弱性対応が追いつかないケースも多い。Mozilla CTOのRaffi Krikorian氏はNew York Timesへの寄稿で「数十億人が使う製品に組み込まれたコードを20年守り続けたプログラマーも、まだMythosにアクセスできていない」と問題提起した。

良い点

  • ソースコードの静的解析のみで271件を事前発見し、リリース前のパッチ適用を実現
  • 「世界最高のセキュリティ研究者と同等の能力」とCTOが評価
  • 守る側のコスト低下が、攻守バランスをディフェンダー優位に傾ける

気になる点

  • Holley氏は脆弱性の深刻度内訳を公開していない(271件すべてがクリティカルではない可能性)
  • より高度な将来モデルが現モデルの見落とした脆弱性を発見できる可能性も否定できない
  • Mythosへのアクセスが現時点で限定的であり、広範な活用にはまだ時間がかかる

日本市場での注目点

現時点でMythos Previewは「重要な業界パートナー向け限定リリース」の段階にあり、一般向けのAPI提供や価格情報は公開されていない。日本のエンジニアや企業がMythosを直接利用できるタイムラインは不明だ。

ただし、この動向が日本市場に与える示唆は大きい。特に以下の点で注意が必要だ。

  • ソフトウェア品質保証の転換: 「AIによる大規模脆弱性スキャン」が標準的な開発プロセスに組み込まれる時代が近づいている。日本のSIer・ISVも対応を迫られる
  • オープンソース依存のリスク評価: 多くの日本企業のシステムがオープンソースコンポーネントを利用している。公開コードベースへのAIスキャンが普及すれば、未パッチの既存脆弱性が急速に顕在化するリスクがある
  • セキュリティ人材市場への影響: 従来型の脆弱性発見業務の一部がAIに代替される一方、AIを活用したセキュリティ設計・運用スキルの需要が高まる

筆者の見解

今回の結果が示すのは、AIとソフトウェアセキュリティの関係が「補助ツール」の段階から「実質的なコア能力」の段階に移行しつつあるという事実だ。

Holley CTOの「コンピューターは数ヶ月前にはこれができなかった。今は得意としている」という言葉が、この変化の速度をよく表している。セキュリティ研究の世界では長年、攻撃側(脆弱性を見つけて悪用しようとする側)が優位とされてきた。発見コストが下がれば守る側も攻める側も同様に恩恵を受けるが、今回Mozillaが実証したのは「守る側が先にAIを使ってコードをクリーンにしてしまう」というアプローチの有効性だ。

日本のIT業界にとって、この流れは「知っておくべき海外の話」では既にない。AIが発見する前に自社コードの脆弱性を洗い出す取り組みを、今から設計しておくべき段階に来ている。特に長期運用のレガシーシステムを抱える企業ほど、この問題を先送りにするコストは高くつく。「AIに発見される前に自分たちで発見する」というマインドセットへの転換が、これからのソフトウェア開発の基本になるだろう。

出典: この記事は Mozilla: Anthropic’s Mythos found 271 security vulnerabilities in Firefox 150 の内容をもとに、筆者の見解を加えて独自に執筆したものです。