小規模AIモデルもMythosが発見した脆弱性を検出可能と判明

2026年4月7日、Anthropic社は限定アクセスのAIモデル「Mythos」と、重要ソフトウェアの脆弱性発見・修正を目的とするコンソーシアム「Project Glasswing」を発表した。同社は1億ドルの使用クレジットと400万ドルの直接寄付を約束し、Mythosが主要OSやブラウザで数千のゼロデイ脆弱性を自律的に発見したと報告した。具体例として、OpenBSDの27年前のバグ、FFmpegの16年前のバグ、FreeBSDに対するリモートコード実行エクスプロイトの自律的作成などが挙げられた。

AISLE社は検証のため、Mythosが発見した特定脆弱性を小規模なオープンウェイトモデルでテストした。結果、36億の活性パラメータを持つモデル（100万トークンあたり0.11ドル）を含む8つ全てのモデルが、Mythosの主力成果であるFreeBSD脆弱性を検出した。また、51億活性パラメータのオープンモデルが27年前のOpenBSDバグの核心部分を発見し、基本的なセキュリティ推論タスクでは小規模オープンモデルが主要ラボの最先端モデルを上回る性能を示した。

これらの結果から、サイバーセキュリティにおけるAI能力は「ジャギー」（不安定）であり、モデルサイズに比例して向上しないことが判明した。重要なのは深いセキュリティ専門知識が組み込まれたシステム全体であり、モデル単体ではないとの結論に至った。