ミュトス、7週間で2万件の脆弱性を発見も修正は1%未満…サイバー防衛の構造的限界

●この記事のポイント
アンソロピックのAI「Claude Mythos Preview」が約7週間で2万3,019件の脆弱性を検出したにもかかわらず、パッチ適用率は1%未満。発見と修正のスピード格差が生む「パッチ詰まり」リスクを軸に、日本企業が取るべきゼロトラスト・AI防御への転換を経営視点で解説する。

　2026年4月7日、米アンソロピックはサイバーセキュリティ史に残るかもしれない発表を行った。同社の最先端AIモデル「Claude Mythos Preview（クロード・ミュトス・プレビュー）」と、それを活用する業界横断コンソーシアム「Project Glasswing」の始動だ。

　発表から約7週間。ミュトス・プレビューは1,000以上のオープンソースプロジェクトをスキャンし、2万3,019件の脆弱性候補を検出した。うち6,202件が高リスクまたは致命的な深刻度に分類されている。その数字だけを取り出せば「AIが人間の代わりにバグを見つけてくれる」という明るいニュースに映る。だが経営の視点からこのデータを読み解くと、見えてくる景色はまったく異なる。

●目次

• 「1%しか直っていない」という不都合な真実
• 日本企業特有の「構造的リスク」
• Glasswingが示す「攻撃と防御の非対称性」
• 経営者が今すぐ問い直すべき3つの視点
• Glasswingが照らす「次のフロンティア」

「1%しか直っていない」という不都合な真実

　アンソロピックは、ミュトスが発見した脆弱性のうち現時点で完全にパッチが適用されたものは1%未満だと公表している。これが本稿の起点となる問題である。

　AIが「発見する速度」と、人間が「修正できる速度」の間には、すでに埋めがたい溝が生じている。従来の脆弱性スコアリングは「悪用には高度なスキルが必要」という前提で評価ウィンドウを長く設定してきたが、ミュトスはそのロジックを根底から崩した。脆弱性が発見されてから悪用されるまでの時間は、わずかな費用と汎用AIモデルによって「数時間」まで短縮できることが実証されたからだ。

　人間のエンジニアが検証・修正・テストを行う工程は数日から数週間を要する。その間、存在が確認された「穴」は放置された状態が続く。この空白期間は、攻撃者にとって事実上のボーナスタイムとなり得る。

　ある調査によれば、大企業で発見されたセキュリティ上の脆弱性のうち、45%以上が12カ月後も未修正のままという結果が出ている。これはMythos登場以前の数字だ。発見の速度がAIによって数十倍に跳ね上がった世界では、「パッチ詰まり」の深刻度はさらに増す一方である。

日本企業特有の「構造的リスク」

　この問題は、日本企業に対してとりわけ重く響く。

　多くの上場企業・中堅企業は、基幹システムの運用をITベンダーや子会社に委託している。SLAの見直しサイクルは通常1〜3年単位で、超高速なバグ発見・修正サイクルに即応できる契約・コスト構造にはなっていないことが多い。トレンドマイクロの調査によれば、2025年の国内ランサムウェア攻撃の被害公表は87件に上り、事業停止や復旧に数カ月を要するケースも複数報告されている。

　サプライチェーンを通じた間接的な侵害リスクも見逃せない。自社のシステムが堅牢でも、連携先のオープンソースコンポーネントに脆弱性があれば、そこが侵入口となる。今回ミュトスが発見した脆弱性の多くはオープンソースソフトウェアに存在するものであり、国内企業の多くが間接的に影響を受け得る立場にある。

　セキュリティコンサルタントの視点を一例として示しておく。

「多くの日本企業では、脆弱性管理が『IPAやJPCERT/CCの注意喚起が来たら対応する』という受動的なプロセスに留まっています。AI時代においては、開示される前のゼロデイ段階からの対応体制を整備しなければ、後手に回り続けることになります」（サイバーセキュリティコンサルタント・新實傑氏）