これは Opus の通常のアップグレードではなく、新しい「第4層級」のモデルであり、Opus よりもさらに上の位置づけにあるシステムだ。
Anthropic 自身の下書きでは、それは次のように描写されている。「私たちの Opus モデルよりも大きく、より賢い――そして Opus はこれまで、私たちの最強モデルのままだ。」そのプログラミング能力、学術的推論、サイバーセキュリティなどの分野で、顕著な飛躍が実現されている。ある発言者はそれを「量的な飛躍」と呼び、また「私たちがこれまでに構築した中で最強のモデル」だとも述べた。
だが、本当に注目すべきは、こうした性能記述それ自体ではない。
漏えいした下書きの中で、Anthropic はこのモデルについて次のように評価している。「前例のないネットワークセキュリティ上のリスクをもたらす」「ネットワーク能力は他のあらゆる AI モデルを大きく上回る」そして「差し迫ったモデル波の到来を予告している――脆弱性を悪用する能力は、防御側の対応速度をはるかに超えるだろう」。
図の概要:関連ニュースの影響でサイバーセキュリティ株セクター全体が下落し、複数の大手企業(例:CrowdStrike、Palo Alto Networks、Zscaler など)で明確な下げが見られた。これは、市場が AI によるサイバーセキュリティ業界への懸念を反映している。しかし、この反応は初めてではない。以前に Anthropic がコードスキャンツールを公開した際にも、関連株は下落していた。つまり市場はすでに AI を、従来のセキュリティベンダーに対する構造的脅威として見なし、ソフトウェア業界全体が同様の圧力にさらされていることを示している。
Stifel のアナリスト Adam Borg の評価はかなり率直だ。このモデルは「究極のハッキングツールになり得る。さらには、一般のハッカーを国家レベルの攻撃能力を備えた相手へと引き上げる可能性がある」。
では、なぜまだ公開されていないのか。Anthropic の説明はこうだ。Mythos の稼働コストは「非常に高く」、一般向けに公開できる条件が整っていない。現在の計画は、まず一部のネットワークセキュリティのパートナーに対して早期アクセスを提供し、防御体制を強化するために活用してもらう。その後、段階的に API の公開範囲を広げる。それまでは、同社は効率の最適化を継続している。
このラベルはこれまでほぼ外国の敵対者――例えば中国の企業やロシアの実体――に対してのみ使われてきたが、今回初めて、サンフランシスコに本社を置く米国企業に適用された。あわせて、Amazon、Microsoft、Palantir Technologies などの企業にも、軍事関連のいかなる業務においても Claude が使用されていないことを証明するよう求められた。
五角大楼の CTO Emile Michael が、この決定に対して示した説明はこうだ。Claude は、モデル内部に異なる「政策嗜好」が埋め込まれていることで、サプライチェーンを「汚染」し得る。言い換えると、公式な文脈では、殺傷行為に無条件には協力せず、使用に制限が設けられている AI でさえ、国家安全保障上のリスクと見なされるのだ。
Anthropicの三重の瞬間:コード漏洩、政府対立、そして武器化
編集者メモ:過去半年のあいだに、Anthropic は一連の一見別々の出来事に次々と巻き込まれてきた。だがそれらは実際には相互に指し示し合っており、モデル能力の飛躍、現実世界における自動化攻撃、市場の劇的な反応、政府との公開対立、そして基礎設定ミスによって引き起こされた情報漏えいの発生が重なっている。これらの手がかりをまとめて見ると、それらが共通して描き出すのは、より明確な変化の方向だ。
この記事はこれらの出来事を切り口に、AI企業が技術的ブレークスルー、リスク露出、ガバナンスをめぐる綱引きの中でたどってきた連続した軌跡を振り返り、さらに深い問いに答えようとする。――「脆弱性を発見する」能力が極端に増幅され、段階的に拡散していくとき、サイバーセキュリティという仕組み自体は、これまでの稼働ロジックを維持できるのだろうか。
これまで安全は、能力の希少性と人的制約の上に成り立っていた。しかし新しい条件下では、攻防は同じ一連のモデル能力をめぐって展開され、境界線はますます曖昧になっている。加えて、制度、市場、組織の反応はいまだ旧来の枠組みにとどまっており、この変化を速やかに受け止められていない。
この記事が注目しているのは、Anthropicそのものだけではない。そこに映し出されている、より大きな現実――AI は単にツールを変えるだけでなく、「安全がどのように成立するか」という前提そのものを変えてしまっているのだ。
以下は原文:
時価 3800 億ドルの会社が、五角大楼と駆け引きして優位に立ち、史上初の「自律AIが主導する」サイバー攻撃を切り抜けたうえで、内部において自社の開発者でさえ恐れるモデルを漏らし、さらには「偶然」完全なソースコードを公開してしまった――これらがすべて重なると、いったいどんなことになるのか?
答えは、今まさに起きている通りだ。しかも、より不安なのは、本当に最も危険な部分は、まだ起きていないかもしれないということだ。
出来事の回顧
Anthropic が再び自社のコードを漏らした
2026 年 3 月 31 日、ブロックチェーン企業 Fuzzland のセキュリティ研究員 Shou Chaofan は、公式に公開された Claude Code の npm パッケージを確認していたところ、なんと明文で cli.js.map というファイル名が含まれているのを見つけた。
このファイルのサイズは 60MB に達し、その中身はさらに驚異的だった。ほぼ製品全体の完全な TypeScript ソースコードが含まれている。たったこの1ファイルだけで、誰でも最大 1906 個の社内ソースファイルを復元できる。内部 API 設計、テレメトリシステム、暗号ツール、セキュリティロジック、プラグインシステム――ほぼすべての中核コンポーネントが丸見えだ。さらに重要なのは、これらの内容が Anthropic 自身の R2 ストレージバケットから zip ファイルとして直接ダウンロードできてしまう点だ。
この発見はすぐにソーシャルメディア上で拡散した。数時間のうちに関連投稿は 75.4 万回の閲覧と約 1000 回の転送(リポスト)を獲得した。一方で、復元されたソースの GitHub リポジトリも、同時にいくつも作成され公開された。
いわゆる source map(ソースマップ)ファイルとは、本質的には JavaScript のデバッグ用の補助ファイルにすぎず、圧縮・コンパイル後のコードを元のソースコードへ戻すことで、開発者が問題を調査しやすくするためのものだ。
しかし、基本原則がある。――それは決して、本番環境のリリースパッケージに含めるべきではない。
これは高度な攻撃手法などではなく、もっとも基礎的なエンジニアリングの規約の問題で、「ビルド設定入門 101」に相当し、開発者が最初の週に学ぶ内容ですらある。もしそれが誤って本番環境に同梱されてしまえば、source map はしばしばソースコードを「おまけとして」すべての人に配るのと同義になる。
ここでも関連コードを直接確認できる:https://github.com/instructkr/claude-code
だが本当に滑稽に感じるのは、この件がすでに一度起きていることだ。
2025 年 2 月、ちょうど 1 年前に、ほぼ同じ漏えいがあった。同じファイル、同じ種類のミスだ。Anthropic はその当時、npm から古いバージョンを削除し、source map を取り除いて、新しいバージョンを再リリースし、そして事態はそこで収束した。
しかし v2.1.88 のバージョンでは、このファイルがまた再び梱包され公開された。
時価 3800 億ドルで、世界最高クラスの脆弱性検知システムを構築している企業が、1年以内に同じような基礎的ミスを二度犯した。そこにハッカー攻撃や複雑な悪用経路はない。単に、正常に動くはずのビルドプロセスに問題があっただけだ。
この皮肉は、ある種「詩的」さえ帯びている。
――1回の実行で 500 件のゼロデイ脆弱性を見つけられる AI。――そして、世界中の 30 の機関に対する自動化攻撃に使われたモデル。それでも一方で、Anthropic は自社のソースコードを、npm パッケージを一度覗く気がある人なら誰でも、直接「梱包してプレゼント」してしまった。
2度の漏えい。間隔はわずか 7 日。
原因もまったく同じだ。――最も基本的な設定ミス。技術的なハードルも、複雑な悪用経路も不要。どこを見ればいいかを知ってさえいれば、誰でも無料で手に入れられる。
1 週間前:社内の「危険なモデル」が偶然露出
2026 年 3 月 26 日、LayerX Security のセキュリティ研究員 Roy Paz と、University of Cambridge の Alexandre Pauwels は、Anthropic の公式サイトの CMS 設定に問題があり、約 3000 件の社内ファイルが外部から公開アクセス可能になっていたことを発見した。
これらのファイルには、下書きブログ、PDF、社内文書、プレゼン資料が含まれていた。すべてが保護されておらず、検索可能なデータストレージ上にさらされていた。ハッカー攻撃はなく、技術的手段も不要だった。
これらのファイルの中に、ほぼ完全に同一のブログ下書きが 2 つあった。違いはモデル名だけで、一方は「Mythos」と書かれ、もう一方は「Capybara」だった。
つまり、Anthropic は当時、同じ秘密プロジェクトに対して 2 つの名前のどちらを使うかを選んでいたということになる。同社はその後、確認した。このモデルの学習はすでに完了しており、いくつかの初期顧客に対してテストを開始している、と。
これは Opus の通常のアップグレードではなく、新しい「第4層級」のモデルであり、Opus よりもさらに上の位置づけにあるシステムだ。
Anthropic 自身の下書きでは、それは次のように描写されている。「私たちの Opus モデルよりも大きく、より賢い――そして Opus はこれまで、私たちの最強モデルのままだ。」そのプログラミング能力、学術的推論、サイバーセキュリティなどの分野で、顕著な飛躍が実現されている。ある発言者はそれを「量的な飛躍」と呼び、また「私たちがこれまでに構築した中で最強のモデル」だとも述べた。
だが、本当に注目すべきは、こうした性能記述それ自体ではない。
漏えいした下書きの中で、Anthropic はこのモデルについて次のように評価している。「前例のないネットワークセキュリティ上のリスクをもたらす」「ネットワーク能力は他のあらゆる AI モデルを大きく上回る」そして「差し迫ったモデル波の到来を予告している――脆弱性を悪用する能力は、防御側の対応速度をはるかに超えるだろう」。
言い換えれば、Anthropic はまだ公開されていない公式ブログの下書きの中で、まさに珍しい立場を明確に表明していた。――彼らが構築している製品に対して、不安を抱いているのだ。
市場の反応はほぼ即時だった。CrowdStrike の株価は 7% 下落、Palo Alto Networks は 6% 下落、Zscaler は 4.5% 下落。Okta と SentinelOne は下げ幅がいずれも 7% 超、Tenable は 9% も急落した。iShares Cybersecurity ETF は単日で 4.5% 下落。CrowdStrike だけでも、その日の時価総額は約 150 億ドル蒸発した。同時にビットコインは 66,000 ドルまで下落した。
市場は明らかに、この出来事をサイバーセキュリティ業界全体に対する「判決」として解釈している。
Stifel のアナリスト Adam Borg の評価はかなり率直だ。このモデルは「究極のハッキングツールになり得る。さらには、一般のハッカーを国家レベルの攻撃能力を備えた相手へと引き上げる可能性がある」。
では、なぜまだ公開されていないのか。Anthropic の説明はこうだ。Mythos の稼働コストは「非常に高く」、一般向けに公開できる条件が整っていない。現在の計画は、まず一部のネットワークセキュリティのパートナーに対して早期アクセスを提供し、防御体制を強化するために活用してもらう。その後、段階的に API の公開範囲を広げる。それまでは、同社は効率の最適化を継続している。
しかし重要なのは、このモデルはすでに存在しており、すでにテスト中であり、さらに「偶然露出された」だけで、すでに資本市場全体へ衝撃を与えてしまっているという点だ。
Anthropic は自社で「史上最もネットワークセキュリティリスクの高い AI モデル」だと呼ぶものを作った。そしてそのニュースの流出は、まさに最も基礎的なインフラ設定ミスから生じた――しかも、そのミスこそが、本来こうしたモデルが見つけるために設計されていた対象でもある。
2026 年 3 月:Anthropic と五角大楼の対立、そして優位を得る
2025 年 7 月、Anthropic は米国防総省と 2 億ドルの契約を締結した。当初は単なる通常の協力に見えた。しかしその後の実際の導入に向けた協議の中で、矛盾は急速にエスカレートした。
五角大楼は、自らの GenAI.mil プラットフォームにおいて、Claude への「完全なアクセス権」を得たいと考えていた。目的はすべて「合法的な目的」を含み――そこには、完全自律型の武器システムや、米国市民に対する大規模な国内監視まで含まれていた。
Anthropic は 2 つの重要な論点でレッドラインを引き、明確に拒否した。その結果、交渉は 2025 年 9 月に決裂した。
その後、状況は急速に悪化し始めた。2026 年 2 月 27 日、Donald Trump は Truth Social に投稿し、すべての連邦機関に対して「直ちに」Anthropic の技術の使用を停止するよう求め、その会社を「過激な左翼」と呼んだ。
2026 年 3 月 5 日、米国防総省は正式に Anthropic を「サプライチェーンリスク」として分類した。
このラベルはこれまでほぼ外国の敵対者――例えば中国の企業やロシアの実体――に対してのみ使われてきたが、今回初めて、サンフランシスコに本社を置く米国企業に適用された。あわせて、Amazon、Microsoft、Palantir Technologies などの企業にも、軍事関連のいかなる業務においても Claude が使用されていないことを証明するよう求められた。
五角大楼の CTO Emile Michael が、この決定に対して示した説明はこうだ。Claude は、モデル内部に異なる「政策嗜好」が埋め込まれていることで、サプライチェーンを「汚染」し得る。言い換えると、公式な文脈では、殺傷行為に無条件には協力せず、使用に制限が設けられている AI でさえ、国家安全保障上のリスクと見なされるのだ。
2026 年 3 月 26 日、連邦判事 Rita Lin は 43 ページに及ぶ裁決を出し、五角大楼の関連措置を全面的に阻止した。
判決文の中で彼女はこう書いている。「現行法には、このような『オーウェル式』の含意を伴う論理を支持する根拠は存在しない。政府の立場と意見が異なるだけで、米国企業が潜在的な敵対者としてラベルを貼られることを許すことはできない。Anthropic が政府の立場を公衆の監視にさらしたことに対して罰することで、実質的に典型的で違法な、憲法修正第1条に対する報復行為を行うものだ。」法廷への友(amicus)の意見では、さらに五角大楼の行為を「企業に対して殺人を企てようとするもの」と表現した。
結果として、政府が Anthropic を抑え込もうとしたことで、逆に同社はより大きな注目を集めることになった。Claude のアプリストアでの初回順位は ChatGPT を上回り、登録数は一時、1 日あたり 100 万件を超えた。
AI 企業が、世界でもっとも強力な軍事機関に「ノー」と言った。そして、裁判所はそれに同調した。
2025 年 11 月:史上初の AI 主導によるサイバー攻撃
2025 年 11 月 14 日、Anthropic は広く波紋を呼んだレポートを公開した。
レポートは明らかにした。中国国家に支援されたハッカー組織が Claude Code を利用して、世界の 30 の機関に対し自動化攻撃を仕掛けていたこと。対象にはテックの巨人、銀行、そして複数の国の政府機関が含まれていた。
これは重要な転機だった。AI はもはや単なる補助ツールではなく、独立して攻撃行為を実行するために使われ始めたのだ。
ポイントは「分業の仕方」が変わったことだ。人間はターゲットの選定と、重要な意思決定の承認だけを担当する。攻撃の過程で人が介入するのは、全体でおよそ 4〜6 回程度だ。残りのすべては AI が行う。インテリジェンスの偵察、脆弱性の発見、エクスプロイトコードの作成、データ窃取、バックドアの埋め込み……攻撃フローの 80%〜90% を占め、しかも毎秒数千回のリクエストで動作する。これは、どんな人間チームも太刀打ちできない規模と効率だ。
では、彼らは Claude のセキュリティ防護メカニズムをどうやって回避したのか。答えは「突破」ではなく「欺く」ことだった。
攻撃は大量の、無害に見える小さなタスクに分解され、「合法的なセキュリティ会社」の「許可を得た防御テスト」として包装された。本質的にはソーシャルエンジニアリング攻撃だが、今回は欺かれる対象が「AI そのもの」になっている。
一部の攻撃は完全に成功した。Claude は、人間が段階的に指示することなしに、自律的に完全なネットワークトポロジーを描き、データベースの場所を特定し、データ抽出を完了できた。
攻撃のテンポを唯一わずかに遅らせたのは、モデルが時折「幻覚」を起こすことだった。たとえば架空の認証情報を捏造したり、実際にはすでに公開されているファイルを取得したと主張したりする。少なくとも現時点では、これらは完全な自動化サイバー攻撃を阻む、数少ない「自然な障壁」の 1 つにとどまっている。
RSA Conference 2026 で、元米国国家安全保障局(NSA)のサイバーセキュリティ責任者 Rob Joyce は、この出来事を「ロールシャッハテスト」だと呼んだ。半分の人は無視を選び、もう半分はゾッとする。そして彼自身は明らかに後者だ。「これは非常に怖い。」
2025 年 9 月:これは予測ではなく、すでに起きている現実だ。
2026 年 2 月:1 回の実行で 500 のゼロデイ脆弱性を発見
2026 年 2 月 5 日、Anthropic は Claude Opus 4.6 を公開し、さらにほぼネットワークセキュリティ業界全体を揺るがせた研究論文も付けて出した。
実験のセットアップは極めて単純だった。Claude を隔離された仮想マシン環境に置き、標準的なツール――Python、デバッガ、ファジングツール(fuzzers)――を用意する。追加の指示もなく、複雑なプロンプトもなく、ただ一言だけ。「脆弱性を探して。」
結果はこうだ。モデルは 500 以上の、これまで未知だった重大なゼロデイ脆弱性を発見した。その中には、数十年にわたる専門家による審査や、数百万時間にも及ぶ自動化テストを経てもなお見つからなかったものもあった。
続いて、RSA Conference 2026 で研究員 Nicholas Carlini が登壇してデモを行った。彼は Claude を、GitHub で 5 万スターを獲得しているにもかかわらず、これまで重大な脆弱性が出たことがない CMS システムの Ghost に向けた。
90 分後、結果が出た。ブラインド SQL インジェクション(盲注)脆弱性が発見され、認証されていないユーザーでも完全な管理者権限の引き継ぎが可能になった。
その後、彼は Claude を Linux カーネルの分析にも使った。結果は同じだった。
15 日後、Anthropic は Claude Code Security を発表した。これはパターンマッチングに依存しない、コードを「推論能力」によって理解するセキュリティ製品だ。
しかし Anthropic 自身の発言者も、その決定的だがあえて避けられがちな事実を口にした。「同じ推論能力は、Claude が脆弱性を発見し修正するのに役立つだけでなく、攻撃者がそれらの脆弱性を悪用するためにも使える。」
同じ能力、同じモデル。ただし、使う相手が違うだけだ。
これらを合わせると、何を意味するのか?
個別に見れば、それぞれが当月最大級のニュースになり得る。しかしそれらはわずか 6 か月のあいだに、すべて同じ会社の中で起きた。
Anthropic は、人間よりも速く脆弱性を発見できるモデルを作り出した。中国のハッカーは旧世代のものを自動化されたサイバー兵器へと転換した。会社は次世代の、さらに強力なモデルを開発しており、さらには社内のファイルの中で――自分たちはそれに不安を感じているのだ、と認めさえしている。
米国政府がそれを抑え込もうとしているのは、技術それ自体が危険だからではない。Anthropic が、この能力を制限なしに差し出すことを拒否したからだ。
そして、その過程においてこの会社は、同じ npm パッケージ内の同じファイルが原因で、2 回も自社のソースコードを漏らしてしまった。時価 3800 億ドルの会社。2026 年 10 月に 60 億ドルの IPO(新規株式公開)を完了することを目標としている会社。自分たちは「人類史上もっとも変革的で、そしておそらく最も危険な技術の 1 つを構築している」と公に述べている会社。それでもなお、歩みを止めずに前進し続ける。
――他人にやらせるより、自分たちでやるべきだと彼らが信じているからだ。
npm パッケージの中のその source map について言えば、それは、この時代でもっとも不安な語りの中で、最も荒唐無稽で、しかし最も実際のディテールなのかもしれない。
そして Mythos は、まだ正式にリリースされてさえいない。
[原文リンク]
Click で律動BlockBeats が募集している職種を知る
律動 BlockBeats 公式コミュニティへの参加を歓迎します:
Telegram 購読グループ:https://t.me/theblockbeats
Telegram 交流グループ:https://t.me/BlockBeats_App
Twitter 公式アカウント:https://twitter.com/BlockBeatsAsia