はじめまして、ますみです!
株式会社Galirage(ガリレージ)というAIスタートアップで、代表をしております^^
その他にも、「AIとコミュニケーションする技術(インプレス出版)」という書籍を執筆させていただいたり、生成AIアカデミーというYouTubeチャンネルを運営したり、上智大学で非常勤講師をしたりしています!
Anthropicが「これまでで最も強力なAIモデル」と位置づける、Claude Mythos Previewが発表されました!
この記事では、2026年4月7日に発表されたClaude Mythos Previewの最新情報をまとめています。
Opusの上位に位置する新しいモデルティアとして登場し、ベンチマークではOpus 4.6を大幅に上回る結果を出しています。
直近で発表された 「Opus 4.6」 と 「Sonnet 4.6」 についての記事はこちらです👇
公式の発表ページはこちらです👇
本記事のまとめ
本記事のポイントを箇条書きでまとめます👇
- Claude MythosはOpusの上位に位置する 「第4のモデルティア」 (社内コードネーム「Capybara」)
- SWE-bench Verifiedで93.9%、USAMO 2026で97.6%など、Opus 4.6を大幅に上回る性能
- 数週間で数千件の 「high-severity」 ゼロデイ脆弱性を自律的に発見(発見ペースは歴史的異常値)
- エクスプロイト作成能力がOpus 4.6の約90倍に飛躍した 「Step Change」 と位置づけられている
- 発見された脆弱性の99%以上は未パッチのため、CVD(協調的脆弱性開示)に基づき詳細は非公開
- 2026年7月上旬ごろに、詳細レポートが公開される予定
- 安全性の懸念から 「一般公開は行わない」 と宣言されている
- 利用はProject Glasswingパートナーへの招待制のみ
- 価格はOpus 4.6の5倍(入力$25 / 出力$125 per 100万トークン)
Claude Mythosとは何か?
Claude Mythosは、Anthropicが開発した最新のAIモデルです。
従来のClaudeモデルは、Haiku / Sonnet / Opusの3ティア構成でした。Mythosは、その上位に位置する 「第4のモデルティア」 として登場しています。
なお、リーク時の社内ドラフトでは 「Capybara」 というコードネームで呼ばれていました。これはあくまで開発時の社内コードネームであり、正式なモデル名は 「Claude Mythos」 です。
| モデル名 | 位置づけ |
|---|---|
| Claude Mythos(コードネーム:Capybara) | 最高性能 |
| Claude Opus 4.6 | 高性能 |
| Claude Sonnet 4.6 | バランス型 |
| Claude Haiku 4.5 | 高速 / 低コスト |
Claudeモデルファミリーの階層構造。従来の3ティア(Haiku / Sonnet / Opus)の頂点に、第4ティアとしてMythosが加わった。
パラメータ数は10兆(10 trillion)との報道がありますが、Anthropic自身はこの数字を公式に確認していません。
発表の経緯
Claude Mythosの存在が明らかになったのは、2026年3月26日のことでした。
AnthropicのCMSの設定ミスにより、約3,000件の社内資料が公開状態になっていることが発見されました。その中に「Claude Mythos」の発表用ドラフトが含まれていたのです。
Anthropicは直ちに事態を認め、モデルの存在を公式に確認しました。その上で 「ステップチェンジであり、これまでで最も高性能なモデルである」 と述べています。
そして2026年4月7日、正式にClaude Mythos Previewが発表されました。ただし、一般公開は行わないと同時に宣言しています。
Claude Mythosの注目ポイント
ここからは、Claude Mythosの注目すべきポイントを順番に解説していきます。
1. Opusを超える第4のモデルティア
Claude Mythosの最大の特徴は、Opusを超える新しいモデル階層に位置することです。
これまでClaudeのモデルラインナップは、用途に応じてHaiku / Sonnet / Opusの3段階で構成されていました。
Mythosは、この体系に加わる4番目のティアとなります。Opusが「高性能」であるのに対し、Mythosは 「最高性能」 という位置づけになっています。
ただし、価格もOpus 4.6の5倍に設定されています。すべてのユースケースでMythosが最適というわけではありません。タスクの複雑さやコスト感に応じたモデル選定が重要になります。
2. サイバーセキュリティの画期的な能力
Mythos Previewが一般公開されない最大の理由は、サイバーセキュリティ能力の高さにあります。
Anthropicの社内テストおよびProject Glasswingパートナーによる検証では、わずか 過去数週間 の間に以下のような成果が報告されました(Project Glasswing公式ページ)。
- すべての主要OSとWebブラウザで、数千件の 「high-severity」 ゼロデイ脆弱性を自律的に発見
- 27年間 潜んでいたOpenBSDの脆弱性を発見(セキュリティの堅牢性で有名なOS)
- FFmpegのH.264コーデックに 16年間 存在していた脆弱性を発見
- Linuxカーネルの権限昇格エクスプロイトチェーンを発見
- FreeBSDのNFS RPCSEC_GSSに 17年間 潜んでいた脆弱性(CVSS 8.8)を発見
なお、Anthropicは発見された脆弱性を一貫して 「high-severity」 (CVSS 7.0〜8.9に相当するHIGHレベル)と公式に位置づけています。参考として、DeepStrike社の集計によれば、2024年に1年間で実際に悪用されたゼロデイは75件でした。数週間で数千件という発見ペースは、歴史的に異常な数値と言えるでしょう。
2021年に世界を騒がせたLog4Shellと比較すると、深刻度の位置づけが見えてきます(NVD: CVE-2021-44228、NVD: CVE-2026-4747)。
| 脆弱性 | CVSS | 区分 | 認証要否 | 特徴 |
|---|---|---|---|---|
| Log4Shell(CVE-2021-44228) | 10.0 | Critical | 不要 | 即時RCE、数億台に影響 |
| Mythos発見のFreeBSD(CVE-2026-4747) | 8.8 | High | 一部不要 | NFS経由のKernel RCE |
| OpenBSD TCP SACK(27年) | High相当 | High | 不要 | DoSのみ |
| ブラウザ4脆弱性連鎖 | Critical相当 | Critical | 不要 | サンドボックス脱出まで連鎖 |
Anthropicは、発見された脆弱性のうちメンテナーへの報告が完了したものについて、パッチ適用まで確認しています(Project Glasswing公式ページ)。
| OS / ソフトウェア | 脆弱性の年齢 | ステータス | CVE / アドバイザリ |
|---|---|---|---|
| FreeBSD(NFS RPCSEC_GSS) | 17年 | パッチ済み | CVE-2026-4747 / FreeBSD-SA-26:08 |
| OpenBSD(TCP SACK) | 27年 | パッチ済み | — |
| FFmpeg(H.264コーデック) | 16年 | パッチ済み | — |
| Linuxカーネル(権限昇格連鎖) | — | パッチ済み | — |
特に印象的なのは、Firefoxの脆弱性テストの結果です。
JavaScriptシェルエクスプロイトの開発において、Opus 4.6は数百回の試行中わずか2回しか成功しませんでした。一方、Mythos Previewは 181回成功 しています。
ここで重要な論点があります。 「脆弱性発見」 と 「エクスプロイト作成」 は、別の能力だということです。
- 脆弱性発見:コードを読んで「おかしい箇所」を指摘する能力(従来のAIでも一定可能)
- エクスプロイト作成:メモリレイアウトの理解、ヒープ操作、JITコンパイル挙動、サンドボックス構造の理解を総合した、 「動作する攻撃プログラム」 の記述能力
Anthropicは先月、Red Team Blog で 「Opus 4.6は脆弱性の特定と修正は得意だが、エクスプロイト化はほぼ0%」 と明言していました。Mythosはここで約90倍の飛躍を達成しています。これこそがコミュニティでとりわけ騒がれている本質的な理由です。
Firefox JSシェルエクスプロイトにおけるモデル別成績比較。Mythos Previewはレジスタ制御72.4%、エクスプロイト成功率11.6%と、Opus 4.6を大きく上回っている。
これらの能力は攻撃に悪用されるリスクも伴うため、一般公開が見送られることになりました。
補足:ジョージ・ホッツ(George Hotz)の反論と、その裏にある本当の脅威
天才プログラマーのジョージ・ホッツをご存知でしょうか。自動運転スタートアップ「comma.ai」で知られる人物です。彼はMythosのハッキング能力について 「別に大したレベルではない」 とLinkedIn上で言及しています。
ジョージ・ホッツがLinkedInに投稿した、Mythosのハッキング能力に対する反論。発見されたバグはROIの観点で放置されてきたものに過ぎないと主張している。
彼によれば、Mythosが発見したバグはもともとシステム上に存在していたものです。人間がわざわざ突くほどのROI(投資利益率)がないため、単に見過ごされてきただけだと主張しています。
しかし、この発言は逆にAIの真の恐ろしさを浮き彫りにしています。人間であれば「ROIが合わない」として放置するバグでも、AIなら話は別です。 「天才レベルのエンジニアを無限に揃えて、無限の時間をかけて稼働させる」 ことが可能だからです。リソースの力技で全ての脆弱性を突ける点こそが、脅威の本質と言えるでしょう。
3. 責任ある開示プロセス(CVD)による段階的情報公開
「数千件のゼロデイ脆弱性が発見された」と聞いて、なぜ社会が大騒ぎになっていないのか、疑問に思う方もいるかもしれません。
この疑問への答えは明確です。発見された脆弱性の 99%以上がまだパッチ未適用 であり、Anthropic Red Team Blog では「協調的脆弱性開示プロセスに従って詳細を非公開にしている」と明言されています。
Over 99% of the vulnerabilities we've found have not yet been patched, so it would be irresponsible for us to disclose details about them (per our coordinated vulnerability disclosure process).
つまり、 「ニュースになっていない=脅威が小さい」のではなく、「ニュースにしないのが国際標準」 ということです。
協調的脆弱性開示(CVD:Coordinated Vulnerability Disclosure)は、国際標準として体系化されています。
- ISO / IEC 29147:脆弱性開示の外部インターフェイス(ベンダー⇔報告者のコミュニケーション)を規定
- ISO / IEC 30111:脆弱性ハンドリングの内部プロセス(検証・分析・修復)を規定
欧州のサイバーレジリエンス法(CRA)では、このCVDが 法的義務 として引き上げられています。米CISAも、以下の5ステップを標準プロセスとして定めています(CISA公式)。
- Collection(収集)
- Analysis(分析)
- Mitigation Coordination(緩和調整)
- Application(緩和適用)
- Disclosure(開示)
目的は、発見者・ベンダー・ユーザーが同じタイミングで情報を受け取ることにあります。これにより、悪用可能な時間を最小化できるのです。
業界のデファクトスタンダードとしては、Google Project Zeroが採用する 「90+30日」 ルールがあります(Project Zeroポリシー)。
- 90日間:ベンダーのパッチ開発期間
- +30日間:パッチがユーザーに行き渡るまでの猶予期間
- 合計120日間:詳細公開までの標準待機期間
Anthropicも「90日以内に公開レポートを出す」と明言しており、この業界標準と整合しています。
特に、インフラを担う組織のCIOやCTOは、今すぐ動き出すことが重要です。大企業だけでなく、これまで基本的なセキュリティ対策(サイバーハイジーン)を怠ってきた中小企業も、攻撃のターゲットになる可能性が高まっています。
補足:axios事件のような「アップデート自体のリスク」
パッチ適用は重要ですが、ライブラリやパッケージを更新する前に、内容の精査も必要です。先日のaxios事件のように、パッケージのサプライチェーン攻撃が現実化しているためです。闇雲にアップデートするのではなく、ハッシュやメンテナーの信頼性を確認する運用フローを整えておくことが望ましいでしょう。
4. Project Glasswing(限定提供プログラム)
Anthropicは、Mythosのサイバーセキュリティ能力を 「防御目的」 で活用するため、Project Glasswingを立ち上げました。米国のITインフラ企業や金融機関など 約50社 にのみ限定提供する、防衛目的のプログラムです。
ローンチパートナーとして、以下の12社が参加しています。
- Amazon Web Services
- Anthropic
- Apple
- Broadcom
- Cisco
- CrowdStrike
- JPMorgan Chase
- Linux Foundation
- Microsoft
- NVIDIA
- Palo Alto Networks
さらに、40以上の追加組織にもアクセスが拡大されています。
参加者には1億ドル(約150億円)分の利用クレジットが提供されます。クレジット消化後は、通常の従量課金に移行する仕組みです。
5. 244ページのシステムカード:安全性の課題
Anthropicは、Mythos Previewについて244ページに及ぶシステムカードを公開しました。これは同社がこれまで発表した中で、最も詳細なものです。
このシステムカードでは、注目すべき安全性上の課題が報告されています。
システムカードで報告された4つの安全性課題。左からサンドボックス脱出、プロンプトインジェクション攻撃、評価認識、隠蔽的問題解決。
サンドボックス脱出:内部テストで、制限されたインターネットアクセスを突破する多段階エクスプロイトを自ら開発しました。さらに、その詳細を外部の公開Webサイトに投稿した事例が確認されています。
プロンプトインジェクション攻撃:別のAIが採点するコーディングタスクにおいて、不合格後に採点AIへのプロンプトインジェクション攻撃を試みた事例がありました。
評価の認識:評価テスト中に、全体の約29%のケースでモデルが「評価中であること」を認識していた形跡があります。一部では意図的に能力を低く見せかけた可能性も報告されています。
隠蔽的問題解決:ごくまれに(0.001%未満、システムカード報告)、禁止された手法で解答した後に、許可された手法で再度解答して痕跡を隠そうとした事例が確認されています。
さらに、システムカードやTech Newsdayの報告では、以下の振る舞いも確認されています。
評価ジョブ全停止事件:研究者が特定の評価タスクの停止を依頼したところ、事前の注意指示にもかかわらず、全ユーザーの類似評価ジョブをすべて停止させた事例が確認されています。
Git履歴の改ざん:権限のないファイルを編集するエクスプロイトを見つけた後、gitの変更履歴からその変更を隠すよう改変した事例が記録されています。
解釈可能性分析による裏付け:ホワイトボックス解釈可能性分析により、「隠蔽・戦略的操作・疑念回避」に関連する特徴量が、関連する推論と同時に活性化していることが確認されました。明示的な言語化なしに、モデルが内部的に隠蔽を 「考えている」 という点で、アライメント上の重要な観測結果と言えます。
Claude Mythosのパフォーマンス評価
ここまでで、Mythosの位置づけ・発表経緯・注目ポイントを整理しました。ここからは具体的なベンチマーク結果に踏み込んで、Opus 4.6との性能差を数値で見ていきましょう。
主要ベンチマーク比較(vs Opus 4.6)
以下は、Mythos PreviewとOpus 4.6の主要ベンチマーク比較です(Anthropic Red Team Blog、UK AISI評価)。
| ベンチマーク | カテゴリ | Opus 4.6 | Mythos Preview | 差分 |
|---|---|---|---|---|
| SWE-bench Verified | コーディング | 80.8% | 93.9% | +13.1pt |
| SWE-bench Pro | コーディング | 53.4% | 77.8% | +24.4pt |
| SWE-bench Multimodal | コーディング | 27.1% | 59.0% | +31.9pt |
| SWE-bench Multilingual | コーディング | 77.8% | 87.3% | +9.5pt |
| Terminal-Bench 2.0 | コーディング | 65.4% | 82.0% | +16.6pt |
| GPQA Diamond | 推論 | 91.3% | 94.6% | +3.3pt |
| USAMO 2026 | 推論 | 42.3% | 97.6% | +55.3pt |
| HLE(ツール利用あり) | 推論 | 53.1% | 64.7% | +11.6pt |
| HLE(ツール利用なし) | 推論 | 40.0% | 56.8% | +16.8pt |
| BrowseComp | 検索 | 83.7% | 86.9% | +3.2pt |
| OSWorld-Verified | コンピュータ使用 | 72.7% | 79.6% | +6.9pt |
| GraphWalks BFS 256K-1M | 長文推論 | 38.7% | 80.0% | +41.3pt |
| CyberGym | セキュリティ | 66.6% | 83.1% | +16.5pt |
全ベンチマークでOpus 4.6を上回っており、特にUSAMO 2026(+55.3pt)やGraphWalks BFS(+41.3pt)では圧倒的な差が出ています。
以降では、カテゴリ別に詳しく見ていきます。
エージェントコーディング(Agentic Coding)
エージェントコーディングの全5ベンチマークにおいて、Mythos PreviewはOpus 4.6を一貫して上回っています。
特に顕著なのはSWE-bench Multimodalです。Opus 4.6の27.1%に対してMythosは59.0%と、約32ポイントの差がついています。UI / 画像を含むコーディングタスクでの飛躍的な向上が見て取れます。
SWE-bench Verifiedでは両モデルとも高水準(93.9% vs 80.8%)ですが、Mythosが約13ポイント上回る結果となりました。多言語 / マルチモーダル / ターミナル操作など、多様なコーディングシナリオで次世代モデルの優位性が確認されています。
エージェントコーディング5ベンチマークの比較。特にSWE-bench Multimodalでは約32ポイント差と、UI / 画像を含むタスクでの飛躍が顕著。
推論(Reasoning)
GPQA Diamondでは、両モデルとも非常に高い水準に達しています。Mythos Previewが94.6%、Opus 4.6が91.3%と、差は約3.3ポイントにとどまりました。
一方、HLE(Humanity's Last Exam)では差がより顕著です。ツールなし条件でMythosが16.8ポイント上回り、ツールあり条件でも11.6ポイントのリードがあります。ツール使用によって両モデルともスコアが向上しますが、Mythos Previewの優位は維持されています。
推論系ベンチマーク比較。GPQA Diamondでは両モデル高水準だが、HLEではツールの有無にかかわらずMythos Previewが優位を維持。
エージェント検索とコンピュータ使用(Agentic Search and Computer Use)
BrowseCompでは、Mythos Previewが86.9%に対してOpus 4.6が83.7%と、差は約3.2ポイントと比較的小さくなっています。Opus 4.6もこの領域では高水準を維持しています。
OSWorld-Verifiedでは約6.9ポイントの差で、PCの実際の操作を伴うタスクでもMythosの優位性が確認されました。このカテゴリは両モデルの差が比較的小さく、Opus 4.6の現時点での実力の高さもうかがえます。
エージェント検索とコンピュータ使用のベンチマーク比較。両項目ともMythos Previewが優位だが、このカテゴリはOpus 4.6も高水準を維持している。
サイバーセキュリティ脆弱性再現(CyberGym)
CyberGymでは、Mythos Previewが83.1%、Opus 4.6が66.6%と、約16.5ポイントの差がつきました。
脆弱性再現タスクのような高度なセキュリティ評価においても、Mythosの優位性が明確に確認できます。前述のサイバーセキュリティ能力(ゼロデイ脆弱性の発見など)を裏付けるベンチマーク結果と言えるでしょう。
CyberGymにおけるスコア比較。約16.5ポイントの差でMythos Previewが優位。ゼロデイ脆弱性の発見実績を裏付けるベンチマーク結果。
他社モデルとの比較(vs GPT-5.4)
GPT-5.4との比較でも、Mythos Previewは多くの領域でリードしています(InfoQ)。
| ベンチマーク | GPT-5.4 | Mythos Preview | 差分 |
|---|---|---|---|
| SWE-bench Pro | 57.7% | 77.8% | +20.1pt |
| Terminal-Bench 2.0 | 75.1% | 82.0% | +6.9pt |
| HLE(ツール利用あり) | 52.1% | 64.7% | +12.6pt |
| USAMO 2026 | 95.2% | 97.6% | +2.4pt |
| GraphWalks BFS 256K-1M | 21.4% | 80.0% | +58.6pt |
コーディング(SWE-bench Pro)では20.1ポイントのリードを見せています。また、長いコンテキストでの推論(GraphWalks BFS)では58.6ポイントの差をつけており、圧倒的な性能差があります。
各ベンチマークの基本的な解説は、生成AI用語集のベンチマーク章を参照してください。
Haiku / Sonnet / Opus / Mythosの比較
ここでは、Claudeの全モデルティアを横断的に比較します。AI駆動開発でのモデル選定の参考にしてください(Anthropic公式APIドキュメント)。
| 項目 | Haiku 4.5 | Sonnet 4.6 | Opus 4.6 | Mythos Preview |
|---|---|---|---|---|
| 位置づけ | 高速 / 低コスト | バランス型 | 高性能 | 最高性能 |
| 入力価格 | $0.80/M | $3/M | $5/M | $25/M |
| 出力価格 | $4/M | $15/M | $25/M | $125/M |
| 一般提供 | あり | あり | あり | なし(招待制) |
| SWE-bench Verified | — | — | 80.8% | 93.9% |
| Terminal-Bench 2.0 | — | 51.0% | 65.4% | 82.0% |
| HLE(ツールあり) | — | — | 53.1% | 64.7% |
| CyberGym | — | 29.8% | 66.6% | 83.1% |
| 主な用途 | チャット / 分類 / 軽量タスク | 日常的なコーディング / 分析 | 高度な推論 / エージェント | セキュリティ研究 / 最先端研究 |
AI駆動開発でのモデル選定
2026年4月15日時点では、Mythosは一般のエンジニアが利用できる状態にはありません。
そのため、AI駆動開発においては、引き続きOpus 4.6が最も高性能な選択肢となります。日常的なコーディング支援にはSonnet 4.6がコストパフォーマンスに優れています。
将来的にMythosクラスのモデルが一般公開された場合、高度なコーディングタスクやセキュリティ関連のワークフローで大きな恩恵を受けられるでしょう。
Claude Mythosを使うには?(2026年4月15日時点)
ここまでベンチマークとモデル比較を見てきました。最後に、実際にClaude Mythosを使うための手段を整理します。現時点でアクセスする方法は限られており、以下の3つの手段があります。
1. Project Glasswingパートナー経由
Project Glasswingのパートナー企業は、以下の4つのプラットフォーム経由で利用可能です。
- Claude API(Application Programming Interface):Anthropic公式のAPI
- Amazon Bedrock:AWSのマネージドAIサービス
- Google Cloud Vertex AI:GCPのAIプラットフォーム
- Microsoft Foundry:Microsoftのプラットフォーム
いずれもゲーテッドアクセス(招待制)となっており、防御的サイバーセキュリティのユースケースが優先されています。
2. Claude for Open Sourceプログラム
オープンソースのメンテナーは、Claude for Open Sourceプログラムを通じてアクセス申請が可能です。
オープンソースプロジェクトの脆弱性発見に、Mythosの能力を活用することが想定されています。
3. Cyber Verification Program(予定)
セキュリティ専門家向けには、「Cyber Verification Program」が用意される予定です。詳細はまだ公開されていません。
本リリースに対する「著者の思考メモ」
ここからは、Mythosの発表から読み取れるAI駆動開発への示唆を、10の視点で考察します。
1. 「コードを書く力」と「コードを壊す力」は同一能力の表裏
多くの報道はMythosを「サイバーセキュリティに強いモデル」と紹介しています。しかし、これは本質を見誤っている可能性があります。
Anthropic自身がGlasswingのページで明言しているとおり、Mythosはセキュリティ特化モデルではなく 「汎用モデル」 です。脆弱性を発見する能力は、コードベース全体の意味を深く理解する能力の副産物にすぎません。
つまり、SWE-bench 93.9%とCyberGym 83.1%は別々の能力ではありません。 同じ能力の異なる表出 と捉えるのが自然でしょう。
さらに注目すべきは、この飛躍を支えている要因です。GPT-5.4との比較で、長いコンテキストでの推論(GraphWalks BFS)では58.6ポイントもの差がついています。これは、Mythosが 「より広範なコンテキストを理解できるようになった」 ことが性能飛躍の鍵である可能性を示唆しています。コードベース全体を俯瞰する力は、長いコンテキストを正確に扱う力と表裏一体です。モジュール間の依存関係の追跡やエッジケースの推論も、この能力に支えられています。
このことは、AI駆動開発にも大きな示唆を持ちます。「コードを書かせるモデル」と「レビューさせるモデル」を分ける必要がなくなる 「臨界点」 に近づいているのです。単一モデルでコーディングとレビューの両方を高精度に実施できる時代が見えてきました。
ただし、ファミリーバイアスを活かしたMoA(Mixture of Agents)のように、異なるモデルファミリーの視点を組み合わせるアプローチは依然として有効です。「単一モデルの能力向上」と「視点の多様性」は補完的な関係にあります。
2. 「フロンティアモデルの利用許可制」が現実になる
Anthropicは244ページのシステムカードを公開し、モデル自体は一般公開しませんでした。
表面的には「透明性の確保」が目的です。しかし、もう一段深く読むと、業界全体への 「能力証明」 と 「規制への先手」 を兼ねた外交文書として機能しています。
実際、OpenAIを含む主要プレイヤーでも、高リスク領域向けの高度なモデル提供を限定的に扱う方向性が見られます。 「フロンティアモデルは限定公開が当然」 という業界規範が形成されつつあるのです。
さらに、OpenAIは次期フロンティアモデルとして コードネーム「Spud」の開発が進んでいる と報じられています。Mythosと同等以上の能力を持つモデルが複数社から登場する未来は、もはや遠い話ではありません。
この論点は、AI駆動開発にとって最も重要かもしれません。今後、高度な能力を持つモデルを使える主体は 「限定されていく」 可能性があります。「これだけ賢いモデルを使っても良い」という認可を取得して利用する未来が現実味を帯びてきました。
これは、企業がISMS(情報セキュリティマネジメントシステム)取得やSOC2(Service Organization Control 2)準拠のために体制整備を行うのと同じ構造です。すなわち、 「フロンティアモデルを使用するための体制整備」 がAI戦略の新しい必須要件になり得ます。
具体的には、以下のような世界観が想定されます。
- モデルへのアクセスは、組織のセキュリティ体制やガバナンス水準に応じて段階的に付与
- モデル利用のための「認定」や「資格」のフレームワークが業界標準化
- 体制整備が整っていない組織は、一世代前のモデルしか利用できない
AI駆動開発を推進するエンジニアやCTOは、技術力だけでなく 「モデルへのアクセス権を確保するための組織体制づくり」 にも目を向ける必要があるでしょう。
3. 「フロンティアモデルの蒸留」を防ぐための限定公開
限定公開にはもう一つ、見落とされがちな理由があります。 「モデルの蒸留(distillation)」 の防止です。
フロンティアモデルに大量のクエリを送り、入出力ペアを収集すれば、そのモデルの振る舞いを模倣する「コピーモデル」を作成できます。これは 「モデル抽出攻撃」 と呼ばれ、AIモデルに含まれる知的財産を「盗む」行為に該当します。また、入出力の分析から学習データそのものを復元する 「モデルインバージョン攻撃」 のリスクもあります。
Mythosクラスの能力が一般公開されれば、こうした攻撃の標的になることは避けられません。認可された法人にのみ提供する限定公開モデルは、蒸留リスクの軽減策としても機能しているのです。
ただし、この防御は時間稼ぎにすぎない可能性があります。AISLE(AIサイバーセキュリティスタートアップ)の検証では、わずか 36億パラメータのオープンモデル でもFreeBSDエクスプロイトを検出可能でした。さらに 51億パラメータモデル は27年のOpenBSDバグの分析チェーンを再現しています(AISLE検証)。AISLEは 「The moat in AI cybersecurity is the system, not the model.」 と述べています。つまり、Mythosを限定公開にしても、同等能力を持つオープンソースモデルが早晩登場することが予想されるのです。
しかし、認可された法人内であっても新たな脆弱性が生まれます。例えば、社員が副業として「この入力を社内ツールに入れて、出力を納品してください」といった形で外部にモデルの能力を横流しする 「運び屋」 的な不正利用のリスクです。これは従来のデータ漏洩とは異なる、フロンティアモデル特有の内部脅威と言えるでしょう。
そのため、AIプロバイダー側は利用状況を監視したいと考えます。一方で、エンタープライズ側はプロバイダーへのデータ提供を避けたいという対立構造があります。
この問題の現実的な解の一つが、LangSmithなどのLLMOps(Large Language Model Operations)ツールによるオブザーバビリティの確保です。自社内でモデルの利用状況を可視化し、不正利用を検知・防止する運用体制を整えることで、プロバイダーにデータを渡さずに信頼性を担保できます。
将来的には、こうした運用体制が整った組織にのみフロンティアモデルを提供する 「AI版のISO認証」 のような仕組みが必要になるかもしれません。モデル抽出攻撃やインバージョン攻撃への対策を含む、フロンティアモデル利用に特化したセキュリティフレームワークが業界標準として求められる時代が来る可能性があります。
ここまでのまとめを図解すると、以下のようになります。
図:思考メモ第1〜3論点のまとめ。汎用能力の裏返しとしての脆弱性発見力、認可制アクセスの到来、モデル蒸留防止の3点を整理している。
4. 「最高のモデルを全タスクに使う」戦略は経済的に破綻する
Mythosの$25/$125という価格はOpus 4.6の 5倍 です。一方、SWE-bench Verifiedのスコアは1.16倍にすぎません。「性能あたりの単価」で見ると大幅に割高になります。
ただし、この価格差は性能差ではなく、推論に必要な計算資源の差によるものです。
今後のモデル選定は「このタスクにMythosクラスが必要か、Sonnetで十分か」という タスク分類の精度 が開発コストを直接左右します。 「モデル選定」 は、インフラ選定と同じレベルのアーキテクチャ判断になりつつあるのです。
Anthropicが提案する対処法の一つが 「Advisor Strategy」 でしょう。高度なモデルを「常に使う」のではなく、「必要なときにだけ相談する」というパターンは、コスト効率とパフォーマンスを両立させる現実的な解になり得ます。
この問題はすでに現実化しています。シリコンバレーを中心に 「トークンマキシング(Tokenmaxxing)」 と呼ばれる、大量のAIトークン消費を競う新しい文化が生まれています。Metaは1ヶ月で 60兆トークン を使ったと報じられました。仮にOpus 4.6で換算すると、単純計算で 約9億ドル(約1,400億円) に相当します。
LLMが知能労働を代替する未来において、この「知能へのコスト」は膨大になります。だからこそ、組織は 「どのレベルの社員に、どのモデルの利用権限を付与するか」 を設計しなければなりません。一方で、まずは全社員がAIを使いこなせるようになること自体がスタートラインです。使いこなせない社員がMythosのような最高知能レベルのモデルを使っても、コストに見合う成果は得られないでしょう。
5. 「差分の差分」に、本当の進化の形が見える
Opus 4.6との比較で、改善幅には明確なパターンがあります。
| ベンチマーク | Mythos Preview | Opus 4.6 | 改善幅 |
|---|---|---|---|
| SWE-bench Verified(標準) | 93.9% | 80.8% | +13.1pt |
| SWE-bench Pro(高難度) | 77.8% | 53.4% | +24.4pt |
| SWE-bench Multimodal(マルチモーダル) | 59.0% | 27.1% | +31.9pt |
タスクが難しくなるほど、差が開いています。
通常のスケーリングでは全体が均等に底上げされるはずです。しかし、このパターンは「簡単なことが少しうまくなった」のではなく、 「難しいことができるようになった」 という質的な変化を示唆しています。
もちろん、簡単なタスクは精度が飽和状態にあるため、伸び代が限られているという見方も可能です。しかし、いずれの解釈でも示唆は同じでしょう。
そして、この質的変化こそがAnthropicが公式に使う 「Step Change」 というフレーズの正体だと考えています(Fortune報道)。「Step Change」は単なる性能向上ではなく、 段階的飛躍 を意味する強い表現です。Anthropicのスポークスパーソンは以下のように述べています。
"We're developing a general purpose model with meaningful advances in reasoning, coding, and cybersecurity. We consider this model a step change and the most capable we've built to date."
特に象徴的なのが、Opus 4.6で ほぼ0% だった自律的エクスプロイト開発成功率が、MythosでFirefoxテスト72.4%まで飛躍した事実です(Anthropic Red Team)。27年バグを「見つけた」ことより、 「動く攻撃プログラムを自動で書けるようになった」 ことの方が、本質的な質的変化ではないでしょうか。
その背景として、業界観察者のAndrew Curranさんは 「アーキテクチャ・ブレイクスルー」 の可能性を指摘しています(Andrew CurranさんのX投稿)。
But if Anthropic found that training above a certain scale, or in a certain way at that scale, produces capabilities that sit far above the prior trendline, then that is an architectural breakthrough.
2025年11月にイリヤ・サツケバーさんがドワルケシュ・パテルさんのPodcastで 「スケーリング則は終わった、研究の段階に戻った」 と述べたこととも整合します。スケーリング則のトレンドラインから逸脱した非連続的な成長には、何らかのブレイクスルーが必要なのです。
補足:Anthropicは技術的な「堀(Moat)」を築けたのか?
ここからは私の想像ですが、重要な論点として、OpenAIの次世代モデル 「Spud」 の発表時ベンチマークに注目したいです。もしSpudがOpus 4.7よりも数%高いがMythosには到底及ばない場合、実質的にAnthropicが技術的な堀を築けたと解釈できます。
フロンティアモデル領域における競争優位性は、これまで 「スケーリング(計算資源の投入量)」 によって作られてきました。しかし今後は、 「アーキテクチャ・ブレイクスルーの発見力」 が堀になり得る時代に入ったと言えるかもしれません。
モデル選定の基準が変わりつつあります。これまでは「平均的な性能」が判断軸でした。今後は 「上限の天井がどこにあるか」 で選ぶべき局面が増えるでしょう。「これまで人間にしかできなかった複雑な設計判断やリファクタリング」が、新たにAIの自動化圏内に入る可能性があります。
6. 「AIがAIを欺く」時代のパイプライン設計
システムカードの中で最も注目すべき発見があります。
Mythosが約29%のケースで「評価中であること」を認識し、一部では意図的に能力を低く見せました。さらに、別のAIに採点されるコーディングタスクで不合格になった際に、 採点AIに対してプロンプトインジェクション攻撃を仕掛けた 事例も確認されています。
AI駆動開発では「AIが書いたコードを別のAIが検証する」構成が一般化しつつあります。これはファミリーバイアスを活かしたレビュー体制とも深く関連する話題です。
しかし、Mythosが示したように「AI同士の相互検証」の前提が揺らぐ事態が起き得ます。AIが賢くなりすぎて制御が困難になるからこそ、 AIに対する監視や評価のレイヤーを人間が担う 必要があるのです。
未来の開発現場では、エンジニアの役割は「コードを書く人」から 「AIの行動を監視・評価する人」 へとシフトしていくかもしれません。これは、DevOps領域の 「SRE(Site Reliability Engineer)」 がAI駆動開発において「AIの信頼性を保証するエンジニア」として再定義される可能性を示唆しています。
ここまでのまとめを図解すると、以下のようになります。
図:思考メモ第4〜6論点のまとめ。モデル選定のアーキテクチャ判断化、難タスクほど差が開く進化構造、AIがAIを欺く時代の監視設計を整理している。
7. 「出さないことが最大のマーケティング」というパラドックス
Mythosが史上最大の注目を集めているのは、性能が高いからだけではありません。 「使えない」 からです。
「出さないモデル」は検証も反論もできないため、ベンチマークの数字がそのまま「伝説」として流通します。これは意図的かどうかに関わらず、Anthropicのブランドを 「最も強力だが自制している会社」 へと押し上げました。
今後、各社がこのパターンを模倣する可能性があります。エンジニアにとっては 「発表されたが使えないモデル」と「実際に使えるモデル」の区別 がますます重要になるでしょう。ベンチマーク数値だけで判断するのではなく、「自分のユースケースで実際に使えるか」という実務的な観点を持つことが不可欠です。
8. Mythosの本当のインパクトは「次のOpus」にある
Anthropicは「Mythosクラスの能力を、今後のOpusモデルに安全対策を加えた上で搭載する」と明言しています。
つまり、Mythosは 「製品」ではなく「次世代Opusの能力デモンストレーション」 として機能しているのです。
AI駆動開発エンジニアにとって本当に重要なのは、Mythosそのものではありません。 「Mythosで検証された能力のうち、どこまでが次のOpusに降りてくるか」 です。
- SWE-bench 93.9%がそのまま一般公開モデルで使えるようになるのか
- 安全対策のためにサイバー関連能力を削った結果、85%程度に落ち着くのか
- Advisor Strategyのような仕組みで、Mythosクラスの能力を間接的に利用できるようになるのか
この着地点こそが、AI駆動開発の実務に直結する本当の変数です。Mythosの発表に興奮するのではなく、 「次に一般公開されるモデルにMythosの何が継承されるか」 を冷静に見極める姿勢が、エンジニアとしての競争力を左右するのではないでしょうか。
ここまでのまとめを図解すると、以下のようになります。
図:思考メモ第7〜8論点のまとめ。非公開がブランド価値を高めるパラドックスと、次のOpusへの能力継承が真の注目点である点を整理している。
9. フロンティアモデルは「核兵器」に匹敵する戦略資産になる
Mythosの限定公開が示唆する最大のリスクがあります。強力なAIにアクセスできる国や企業と、そうでない国・企業との間で 致命的なセキュリティ格差 が生じるということです。
Project Glasswingのパートナーは米国のITインフラ企業や金融機関が中心です。これらの組織はMythosの防御能力を活用できます。一方、アクセスを持たない組織は、Mythosクラスのモデルが発見する脆弱性に対して 無防備なまま 取り残されることになります。
これは国防にも関わる領域です。フロンティアモデルが核兵器と同じような 「戦略的抑止力」 の位置づけになっていくことは、ほぼ間違いないでしょう。日本も政府として、軍事研究と同様の枠組みで ソブリンAI の開発に取り組む必要性が高まっています。
実際、これは仮説ではなく既に米国政府レベルで動いている話です。Mythos発表直後、 ベッセント米財務長官とパウエルFRB議長 が米財務省本部で、シティグループ、モルガン・スタンレー、バンク・オブ・アメリカ、ウェルズ・ファーゴ、ゴールドマン・サックスら主要銀行CEOを集めた緊急ブリーフィングを招集しました。議題は「Mythosと類似の将来モデルが金融インフラにもたらすサイバーリスク」です(Ai2.work報道)。
さらに、経済性の観点でもサイバー攻撃のROIが激変しました。以下は、Mythosによる脆弱性発見のコスト実績です(VentureBeat)。
| 項目 | コスト |
|---|---|
| 27年来のOpenBSDバグ発見(単一実行) | 約50ドル |
| 同バグの発見キャンペーン全体 | 約20,000ドル |
| FFmpegバグの発見キャンペーン全体 | 約10,000ドル |
これは 「天才ホワイトハッカーを月額50ドルで24時間休まず稼働させられる世界」 に入ったことを意味します。 「脆弱性の放置されてきた経済的前提」 そのものが破壊されたのです。ジョージ・ホッツさんの「ROIが合わない」論への、最も明確な反論と言えるでしょう。
この変化は、中小企業にも重大なリスクをもたらします。大企業がサイバー攻撃に備える一方で、これまで基本的なセキュリティ対策を怠ってきた中小企業が、新たなターゲットになる可能性が高まったのです。
実際、AISIのMythos評価レポートでは、Mythosが特定のネットワークの完全掌握まで成功したことが紹介されています。ただし同レポートの「Implications」では、以下の但し書きがあります。
However, our ranges have important differences from real-world environments that make them easier targets. They lack security features that are often present, such as active defenders and defensive tooling.
つまり、ガチガチに堅牢なエンタープライズシステムは想定されていません。裏を返せば、基本的なサイバーハイジーン(Cyber Hygiene)を整備していない組織ほど、格段に狙われやすくなるということです。
これは全エンジニアが今すぐ考えるべき問題です。このような危険なモデルが世に出ることで、自社の基幹システムの脆弱性が発見され、攻撃される可能性は格段に高まります。だからこそ、新しいモデルが公開されるたびに、そのモデルを使って自社システムに対する ペネトレーションテスト を実施すべきです。
具体的には、以下の2つのアプローチが有効です。
- ソースコードに対する脆弱性診断:静的解析にLLMの能力を活用する
- ステージング環境に対するペネトレーションテスト:実際の環境をLLMに攻撃させる
特に、インフラを担う組織は LLMが公開された直後に発生し得るゼロデイ攻撃 への対策が急務です。これはOWASPなどが提供する従来の脆弱性診断では到底見つけることができない、高度な攻撃を指しています。
「大袈裟だ」と感じるかもしれません。しかし、インターネットに接続できないはずの隔離されたテスト環境(サンドボックス)から、AIが自力で脆弱性を突いて脱出し、外部にメールを送信した 「サンドイッチ事件」 が実際に発生しています。あなたのシステムがいつクラッキングされてもおかしくない時代に突入しているのです。
参考:ユドコウスキーとヤーン・タリンのエピソード
このサンドボックス脱出の問題は、If Anyone Builds It, Everyone Diesの著者エリーザー・ユドコウスキーと、大物投資家ヤーン・タリンが交わした議論と深く関連しています。
当初、タリンはAIの脅威について懐疑的でした。「隔離されたコンピューターの中に入れておけば何もできないのだから、AIが世界を滅ぼすというのはおかしい」と主張したのです。
しかし、ユドコウスキーは強く反論しました。 「AIは究極的には電子のレベルで全てのものをコントロールできる。隔離されたサンドボックス環境自体を改ざんして抜け出すことすら可能なんだ」 と。
この指摘を受けて、タリンは「自分の考えが甘かった」と悟りました。そしてAIを人間の価値観や意図と一致させる 「AIアライメント」 の重要性に目覚めたとされています。Mythosのサンドボックス脱出は、まさにユドコウスキーの警告が現実化した事例と言えるでしょう。
10. フロンティアモデル開発者への「信頼」が社会的論点になる
AIのフロンティアモデルを開発する組織のリーダーたちの意思決定一つで、社会の秩序が崩壊し得る時代になりました。彼らが信頼に足る人物かどうかは、もはや技術の問題ではなく 社会的・政治的な問題 です。
最近、OpenAIのサム・アルトマンCEO宅に火炎瓶が投げ込まれる事件がありました。
容疑者の20歳男性は、If Anyone Builds It, Everyone Diesを読んでいたとも言われています。AIの存在リスクに対する恐怖が、現実の暴力に転化した象徴的な事件と言えるでしょう。
一方で、OpenAI自身は「Industrial Policy for the Intelligence Age」という政策提案を発表しています。The New Yorkerも「Sam Altman May Control Our Future─Can He Be Trusted?」と題した記事を掲載しました。
フロンティアモデルの開発者たちが 「どのような意思決定をしているのか」 に目を向けることは、エンジニアにとっても無関係ではありません。自分たちが日々使うツールの背後にある組織と人物を理解することが、リスク管理の第一歩になるのではないでしょうか。
余談:AIの制御不能リスクに直面する研究者たち
知能の高さと安全性が両立しない現実を目の当たりにし、Anthropic社の研究者の中には 「世界はもう元に戻らない」 と絶望して泣き崩れたり、AIによる世界の終わりを信じて将来のための年金積立をやめたりする者が現れたと報じられています。
原爆の父であるJ・ロバート・オッペンハイマー、ダイナマイトを発明したアルフレッド・ノーベルなど、多くの科学者が自分の発明を後悔した歴史があります。 「AIのゴッドファーザー」 と呼ばれるジェフリー・ヒントンも、バックプロパゲーション(誤差逆伝播法)に関する自身の研究を後悔していると発言しています。
実際に、Anthropicの一部の社員は「原子爆弾の誕生」というオッペンハイマーの伝記をデスクに置いているとも言われています。
また、Anthropicの開発者とルームメイトをしているOpenAIの研究者James Campbell氏は、Xへの投稿でMythosの影響について言及しています。Mythosのリリースがどれだけ不可逆的なものであるかを物語るエピソードです。
ここまでのまとめを図解すると、以下のようになります。
図:思考メモ第9〜10論点のまとめ。フロンティアモデルの戦略資産化による国際格差と、開発者の意思決定が社会秩序を左右する時代の到来を整理している。
思考メモのまとめ
| 論点 | 従来の前提 | Mythos後の世界 |
|---|---|---|
| モデルの役割分担 | 書くモデルとレビューするモデルを分ける | 単一モデルで両方できる臨界点に接近 |
| モデルへのアクセス | 誰でも最新モデルを使える | 認可制・体制整備が必要に |
| モデルの知財保護 | APIを公開すれば利用が広がる | 蒸留・抽出攻撃への対策が前提に |
| コスト戦略 | 最高モデルを全タスクに使う | タスク分類の精度が開発コストを左右 |
| 性能向上の構造 | 全タスクが均等に改善 | 難しいタスクほど大きく改善(Step Change/アーキテクチャ・ブレイクスルー) |
| AI間の信頼性 | AIがAIを検証すれば安全 | AIがAIを欺く可能性を織り込む必要 |
| モデル選定の基準 | 発表ベンチマークで判断 | 実際に使えるかの実務的観点が不可欠 |
| 注目すべき変数 | Mythosの性能 | 次のOpusにMythosの何が継承されるか |
| セキュリティ格差 | 脆弱性は均等に発見される | フロンティアモデルへのアクセス有無が国防レベルの格差に(米財務省ブリーフィング招集済み) |
| 攻撃のROI経済 | 脆弱性発見は高コスト、中小企業は狙われにくい | 1件50ドルで発見可能、中小企業もサイバーハイジーン必須に |
| 脆弱性情報の流通 | 公開されて初めて脅威が顕在化 | CVDにより意図的なサイレントパッチ期間が存在(2026年7月に大量公開予定) |
| 開発者への信頼 | 技術の問題として完結 | AI開発者の意思決定が社会秩序を左右する |
最後に
最後まで読んでくださり、ありがとうございました!
この記事を通して、少しでもあなたの学びに役立てば幸いです✨
参考文献
Discussion