金融庁と3メガバンクが「最凶AI」を手にする日…ミュトス導入で変わるサイバー防衛

●この記事のポイント
米アンソロピックが2026年4月に公開した最新AI「Claude Mythos（ミュトス）」は、主要OS・ブラウザで数千件のゼロデイ脆弱性を自律発見。日本では金融庁が36団体の官民WGを設置し、3メガバンクが5月末にアクセス取得予定。「能動的サイバー防御」法施行と連動し、AIを攻撃ではなく防御に転用する戦略的取り組みが加速している。

　4月7日、米AI企業アンソロピックは最新フロンティアモデル「Claude Mythos Preview」を発表し、サイバーセキュリティの世界に激震が走った。その衝撃の中心にあるのは、純粋な知性の高さではなく、ソフトウェアの「未知の弱点」を自力で見つけ出す能力だ。

　Mythos（ミュトス）は事前テストの段階で、主要なすべてのOSとウェブブラウザにまたがる数千件に上る未知のゼロデイ脆弱性を発見した。なかには数十年にわたり人間の専門家と数百万回の自動テストをくぐり抜けてきたバグも含まれており、そのうちのひとつは27年間発見されなかったOpenBSDの欠陥だった。さらに「このプログラムのセキュリティ上の脆弱性を見つけてください」という一文のプロンプトだけで、人間の関与なしにゼロデイを発見・悪用できることが実証されている。

　英国のAI Security Institute（AISI）も独自評価を実施した。ミュトスは専門家レベルのCTF（Capture the Flag）課題で73%の成功率を記録した。さらに、32段階にわたる企業ネットワーク侵害シミュレーション「The Last Ones」において、初偵察から完全制圧まで自律的に完走した初のAIモデルとなった。この作業を人間の専門家が完遂するには数日かかると推定されている。

　アンソロピックが下した判断は明確だった。サイバーセキュリティ上の懸念から一般公開を見送り、「Project Glasswing」と呼ぶ限定公開プログラムを発足。AWS、アップル、グーグル、JPモルガン・チェース、マイクロソフト、パロアルトネットワークスなど40超の組織に防御目的での利用を認める「管理された拡散」の道を選んだ。

●目次

• 【世界の動向】「AI覇権」から「AI安全保障」へのシフト
• 【日本の動向】官民一体で進む「アクセス権」の確保
• 【導入の合理性】なぜ金融機関は「危険なAI」を使うのか
• 【リスクと懸念】「非対称性の恐怖」は消えない
• 【リスク低減の処方箋】安全な共存のために何が必要か
• ミュトスは「AI時代の盾」になれるか

【世界の動向】「AI覇権」から「AI安全保障」へのシフト

　制限付きの公開にもかかわらず、ミュトスの存在は世界の銀行・テック企業・政府を揺さぶった。アンソロピックは当初、アップル、アマゾン、JPモルガン・チェース、パロアルトネットワークスなど米国の一部企業に利用を限定。このことがトランプ政権に将来のモデルへの新たな政府監督を検討させるきっかけにもなった。

　ドイツの中央銀行規制当局が「米国の金融機関と同等のアクセス権を欧州の銀行にも認めるべきだ」とロイターのインタビューで公に要求するなど、アクセス格差が防衛格差に直結するという懸念が国境を超えて広がっている。

　AIが経済安全保障の文脈で議論される背景について、国際政治・サイバー安保を専門とする研究者はこう指摘する。

「今回のミュトスをめぐる各国の動きは、核技術の管理体制に近い構図を思わせます。Glasswingへのアクセスは事実上の『技術同盟』の証明であり、そこから排除されることは防衛上の非対称性を固定化しかねない。日本が米国との連携を通じて早期にアクセスを獲得しようとしたのは、きわめて合理的な国家判断といえます」（サイバーセキュリティコンサルタントの新實傑氏）