本年４月に公表されたアンスロピック社の生成AIクロードミュトス(Claude Mythos)が各方面に大きな衝撃を与えている。短期間でソフトウェアの大量の脆弱性を発見できる能力を有しており、これをそのまま公開するのは危険であるとして見送られ、限られたプレーヤーだけが利用可能な「プロジェクト・グラスウィング」が米国で立ち上げられた。本プロジェクトに参加するアップル、グーグル、マイクロソフトなど１２社の企業は未公開モデル「Claude Mythos Preview」を使って自社製品の検証を行い、続々と修正プログラムのリリースを行なっている。AIの進化はこれまでのセキュリティ対策を無効化するといった悲観的な声も聞かれるが、クロードミュトスの登場を我々はどう受け止めるべきだろうか。

AIセキュリティの位置付け

　クロードミュトスの発表から１か月も経過していない本年5月初め、いわゆるファイブアイズ(five eyes)と呼ばれる米国・英国・カナダ・豪州・ニュージーランドの５か国のサイバーセキュリティ担当組織が”Careful adoption of agentic AI services”と題する文書_[2]を公表した。この文書は、そのタイトルが示すように、AIエージェントの導入に際してサイバーセキュリティ対策の観点から利用者に注意喚起を行なう内容となっている。この文書の総論部分には「サイバーセキュリティの一部としてのAIセキュリティ」という箇所がある。

　“AIに関わるリスクとAIに関わりのないリスクの区別は次第になくなってきている。既存のサイバーセキュリティの枠組みの中でAI関連リスクをマネージすることにより、セキュリティ・バイ・デザイン(Secure by Design)、深層防御(defense in depth)、IAM(identity and access management)、継続的なモニタリング・インシデント対応といった”確立した方針(proven principles)“をAIのライフサイクル全般に適用可能となる。”(p7)

　つまり、AIセキュリティを確保するために特別な新たな対策が求められるというよりも、現行のセキュリティ対策を徹底することが重要であると強調している。ちなみに、本文書では巻末(Appendix A)にAIエージェントを導入する際に求められるサイバーセキュリティ関連の「前提条件」が示されているが、そこにはゼロトラストなど現行のセキュリティ対策が網羅的に挙げられている。

　しかし、クロードミュトスの登場によって防御側も対策強化が求められる面があるのは事実。クロードミュトスによる脆弱性発見の脅威的な速度感とスケール感は人間の能力を超えた「脆弱性の発見（攻撃対象の探索）→攻撃ツールの作成→攻撃の実施」という攻撃プロセスの超高速化を生んでいる。防御側としては、クロードミュトスの登場に過剰反応する必要はないものの、従来の防御対策を同じ水準・同じ対処速度で維持するだけでは足りないのもまた事実だと言える。

　攻撃側のAIに対応するには、防御側もAIを活用した脆弱性対策を講じる必要がある。なぜか。防御側にとっても、ＡＩを使って対処しきれないほど多くのバグを見つけることが可能になっている。問題は発見される脆弱性の数が急増したことではない。重要なのは、発見された脆弱性を検証し、優先順位を付け、システムを壊さずに修正することにより、対策の迅速化（可能な限りの自動化）と深化（脅威情報の統合化などセキュリティインテリジェンスの強化）を実現することにある。

　例えば、現用システムの脆弱性調査の頻度の向上、AIを活用した自動化ツール（コード解析、ふるまい検知やログ解析の高度化）の導入、継続的なリスク評価に基づく対策の強化など、防御対策を深掘りしていく必要がある。また、SIEM (Security Information and Event Management)の運用については、AIの徹底活用により、アラートノイズの削減、自然言語によるログ解析、検知ルールの改善などを効率化・高度化していく必要がある。さらに、過去のインシデントや対策に関わるナレッジを蓄積したナレッジベースの構築・運用、官民連携によるリアルタイムベースの情報共有の促進なども必要になる。

AIエージェントのセキュリティ

　さて、冒頭に紹介した文書はAIエージェントのセキュリティを主題としており、「自動化や複雑さを併せ持ったAIエージェントは伝統的なサイバーリスクを増幅する点で特に重要となる」としている。確かに、AI単体のセキュリティ問題は突き詰めれば生成物の真正性をいかに確保するかという点が最も重要だが、AIエージェントの場合、AI本体であるLLMに加え、これに連動する各種ツール、メモリー、外部データなどへのアクセスが行われるため、脆弱性が生じる可能性があるアタックサーフェスが広域化・流動化するという特性がある（下図参照_[3]）。

　例えば、プロンプトインジェクションの場合、プロンプトに作業説明ではなく細工した作業指示を埋め込んで特定のアプリケーションをダウンロードさせるなど、プロンプトの文章本来の制約を逸脱して攻撃者の意図に沿った動きをするリスクがある。また、エージェントの長期記憶やRAG(検索拡張生成)のナレッジベースといった記憶層を攻撃するメモリーポイズニングのリスクも存在する。この場合、間接的にプロンプトインジェクションで埋め込まれた指示がそのまま記憶層に格納され、後日に別の業務において蓄積保存されていた指示が発現し、システムが混乱に陥る可能性がある。

　こうした手口はAI単体でも使われる可能性があるが、AIエージェントを導入することでその影響は格段に大きくなる。例えば、プロンプトインジェクションによって他のエージェントを読み込ませ攻撃者による遠隔操作を可能にする攻撃、連携する複数のエージェントの一つが乗っ取られて当該エージェントの権限やツールを想定外の範囲で悪用するスコープクリーク(Scope Creep=正式なプロセスを経ることなく機能拡張等を行う)攻撃、エージェント間の通信に偽データを混入させて誤作動などを引き起こすコミュニケーションポイズニング攻撃などの可能性が指摘されている。また、あるエージェントの誤作動や連携している他のエージェントに波及してドミノ倒しのように誤作動が拡大していくシステミックリスクも懸念される。そして、これらのリスクに対してはAIエージェントの稼働プロセスのゲートウェイを設けるセグメンテーションの実施や人間によるチェックポイントを設けるHITL(Human in the Loop)などの対策が必要になる。

　その際、AIが最終的な生成物を導き出す過程で、思考のプロセス（段階的な推論）をステップ・バイ・ステップで言語化するCoT(Chain of Thoughts)のログ情報を継続的に解析・監視することも考えられるが、当該プロセスで生じる大量のログ情報を解析するには膨大な手間とコストがかかる面は制約となっており、ここでもAIの活用が期待される。

国際関係に及ぼす影響

　今回のクロードミュトスを巡る動向の中で、さらに動向を注視したい点が幾つかある。例えば、クロードミュトスは民間企業であるアンスロピックが開発したものであり、「プロジェクト・グラスウィング」もあくまで民間主体の動きである。

　しかし、クロードミュトスがもたらす潜在的なリスクがゼロデイの脆弱性を生み、重要インフラや政府機関のリスクに直結し、かつそのリスクが安全保障上の極めて大きいものであるとの認識の下、米国政府も本プロジェクトにおいて大きな役割を担っている。また、他国政府も「Claude Mythos Preview」へのアクセスを確保するための働きかけを米国政府及びアンスロピック社に対して行なっている。こうした動きは軍事・非軍事（あるいは官民）の壁を超えた「ハイブリッド戦争」の象徴的な事例の一つであると言える。

　また、こうした状況はサイバー攻撃における抑止戦略にも大きな影響を与える可能性がある。新興国がAIを活用することでサイバー攻撃能力を飛躍的に高める非連続な進化が起こることで、国際的な抑止力の均衡が崩れる可能性がある。その意味ではAI利用に関する国際ルールの整備やモニタリング体制の強化が重要であり、近年弱体化が著しい多国間の冷静かつ地道な協議が求められる。

[1] 本稿は2026年5月15日時点の情報を元に執筆。なお、本稿中意見にわたる部分は筆者の個人的な見解である。

[2] Australian Cybersecurity Centre et al. “Careful adoption of agentic AI services”(May 2026)
https://www.cyber.gov.au/business-government/secure-design/artificial-intelligence/careful-adoption-of-agentic-ai-services

[3] 脚注2文書p5から採録。