Claude Mythos × Project Glasswing全解説——Anthropicが最強AIを「非公開」にした理由

AIラボが「最強モデルを作ったが、公開しない」という判断を下したとき、何が起きているのか。

4月7〜8日にかけて報じられたAnthropicのClaude Mythos × Project Glasswingは、まさにその状況だ。数千件のゼロデイ脆弱性を発見できるモデルを、Anthropicはあえて鍵をかけた。この決断には、2026年のAI競争では語られにくい深い論理がある。私はこれを、技術的な判断というより戦略的な宣言として読む。

Project Glasswingとは何か——参加企業12社と$100Mの意味

Project Glasswingは、Anthropicが構築した選ばれた企業だけのコンソーシアムだ。参加企業は公開されているだけでもAWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan、Microsoft、NVIDIA、Linux Foundation、Palo Alto Networksなど12社以上。世界のデジタルインフラを支える企業が名を連ねている。

Anthropicはこのコンソーシアムに対し、$100M相当のClaude使用クレジットを提供すると発表した。さらに$4Mをオープンソースセキュリティ団体へ寄付する。合計$104Mを「安全」に投じるという意思表明だ。

この$100Mという数字は単なるプロモーションではない。参加企業に「本物の運用コスト」を与えることで、Glasswingを概念実証ではなく実運用プロジェクトとして位置づけている。AppleやMicrosoftがプロダクションで使えば、フィードバックはリアルなインシデントデータになる。Anthropicは最強モデルの訓練データを、最高品質の環境で収集しているとも言える。

「$100Mの寄付」ではなく「$100Mのクレジット提供」である点も意図的だろう。モデルの能力を証明しながら、エコシステムの中核に食い込む。巧みな設計だ。

Claude Mythosの実力——数千件のゼロデイ脆弱性発見の衝撃

Mythosが本当に「史上最強」かどうか、私たちは確かめられない。公開されていないからだ。しかし、報告されている数字は具体的で重い。

Mythosは内部テストにおいて数千件のゼロデイ脆弱性を発見したとされる。中でも衝撃的なのは、27年前に書かれたOpenBSDのバグを特定したという事例だ。1999年のコードに潜む脆弱性を、2026年のAIが掘り起こす——これはコードレビューの常識を根本から変える可能性がある。

「あらゆる主要OSとブラウザに脆弱性が存在する」という報告も注目に値する。誇張が含まれている可能性もあるが、仮に半分でも事実なら、MythosはAIによるセキュリティ監査の水準を一段階引き上げたことになる。

個人的には、この数字に懐疑的な部分もある。「数千件」がどのような深刻度分布かは開示されていない。CVSSスコアの低い軽微なものが含まれている可能性もある。だが、27年前のOpenBSDバグという具体例には説得力がある。あの種のレガシーコードを人間のチームが全量検査するコストを考えれば、AIの有効性は明白だ。

なぜAnthropicは最強モデルを一般公開しないのか

ここが核心だ。

ゼロデイ脆弱性を数千件発見できるモデルは、攻撃者の手に渡れば数千件の脆弱性を悪用できるモデルでもある。これが「デュアルユース問題」だ。OpenAIがGPT-4の一部能力を制限し、Googleが一部の研究を非公開にしてきたように、AIの能力と公開のトレードオフはAI業界全体が直面している課題だ。

しかし今回のAnthropicの判断には、従来のアプローチとの違いがある。「公開しない」だけでなく、「信頼できる組織のみに提供する仕組みを設計した」という点だ。Glasswingはモデルを隠すのではなく、使える文脈を限定することで、能力の恩恵と悪用のリスクを分離しようとしている。

Anthropicが「普及前に安全策を整備する」という立場を一貫して取ってきたことは、Constitutional AIの研究やClaude憲法の公開からも明らかだ。Mythosの非公開は、その姿勢の延長線上にある。能力を証明した上で、展開方法を慎重に選ぶ——これはAI safety優先のラボが選べる、数少ない合理的な戦略だ。

とはいえ、批判的な視点も持つ必要がある。CNBCなどは「このモデル自体がハッカーのターゲットになるリスク」を指摘している。Glasswing参加企業のインフラが侵害された場合、最強の攻撃ツールが敵の手に渡る最悪のシナリオも起こりえる。「非公開」は完全な安全保証ではない。

先行事例との比較——GPT-5.4・Gemini 3.1 Proとの差別化戦略

2026年4月時点のAIフロンティアは混戦だ。Claude Opus 4.6がLMSYS Chatbot Arenaで首位に立ち、GPT-5.4とGemini 3.1 Proがそれを追っている。この競争で各社が選んだ戦略は対照的だ。

OpenAIは「最高モデルを段階的に一般公開」し、Flex computeで価格競争にも参入している。Googleは「Gemini Flash-Liteで超低価格帯」を押さえ、スケール重視で市場を取りに行く。どちらも「広く普及させる」ことを優先した戦略だ。

AnthropicはMythosで真逆の方向を選んだ。「普及より信頼」だ。Glasswingの参加企業は、世界のデジタルインフラを守る立場にある組織ばかりだ。Mythosがそこで実績を積めば、「Anthropicのモデルは重要インフラで信頼される」というブランド資産になる。これはGPT-5.4やGemini 3.1 Proが持っていないポジションだ。

エンタープライズ収益が80%を占める現在のAnthropicにとって、この差別化は財務的にも合理的だ。$1M以上支払う顧客1,000社超という数字は、「最強モデルを特別に使える組織」というブランドと切り離せない。

日本の開発者・企業へのインパクト——サイバーセキュリティ分野でAIをどう活用するか

率直に言う。日本企業がGlasswingに参加できる可能性は、現時点では低い。参加企業リストに日本企業の名前はない。重要インフラ分野でのAI活用において、日本はまだグローバルな「内側のサークル」に入れていない現実がある。

しかし、Mythosとその周辺技術が示すトレンドから学べることは多い。

まず、AIによる脆弱性発見は現実の競合優位になりつつある。日本国内でも、金融機関や製造業の基幹システムはレガシーコードを大量に抱えている。Mythosほどの能力がなくとも、現行のClaude OpusやGPT-5.4クラスのモデルでも、コードレビュー自動化の投資対効果は十分に出せる段階にある。今年中に試験導入を検討すべきだ。

次に、サイバーセキュリティへのAI導入は「能力」より「ガバナンス」が先になる。Glasswingが非公開である理由は、まさにそこだ。日本のCISOが「AI活用」を承認するには、何が共有されて何が共有されないかの明確なポリシーが必要になる。Anthropicのアプローチは、そのモデルケースを先行して示している。

Glasswingに入れなくても、そこから学べる構造設計はある。日本の重要インフラ企業は、Glasswingの枠組みを参照しながら、国内版の「信頼できるAIセキュリティコンソーシアム」の設計を始めるタイミングかもしれない。

まとめ——「能力より安全性を優先する」AIラボが描く未来

Claude Mythos × Project Glasswingは、一つの答えを提示している。「最強のAIは、最も慎重に扱われなければならない」という答えだ。

これは後退ではない。GPT-5.4もGemini 3.1 Proも「より強く、より広く」の道を走っている。Anthropicは「より強く、より慎重に」という別の道を選んだ。どちらが正しいかは、まだわからない。AIの能力が人間の理解を超え始めた今、この問いに答えが出るのは数年後かもしれない。

個人的には、この判断を評価している。理由は単純だ——「非公開にする勇気」は「公開する勇気」より難しいからだ。競合が能力をアピールする中で、能力を隠すことでブランドを築く。それはカウンターインテュイティブな戦略だが、だからこそ長期的な差別化になりえる。

私たちが使えるモデルはまだ「最強」ではない。だが、「最強を安全に使う方法を考えるラボ」のモデルを使っている——その事実自体が、一つの価値になる時代が来るかもしれない。