0
コラム セキュリティ

AIが「人間20時間」のネットワーク侵入を自律的に完走した日

英AISIが評価したClaude Mythos Previewの性能が示す、AI時代のセキュリティの現実。

2026年4月、イギリスの政府機関が一つの事実を公表した。
AnthropicのAIが、企業ネットワークを完全に掌握する32段階の攻撃シミュレーションを、人間の助けなしに完走してみせた、と。

何が起きたのか

英国のAI Security Institute(AISI)は今月、Anthropicの最新モデル「Claude Mythos Preview」を対象にサイバー攻撃性能の評価を実施し、その結果を公開した。

テストはいくつかの形式で行われたが、中でも注目を集めたのが「The Last Ones(TLO)」と名付けられた試験だ。初期偵察から始まり、脆弱性の発見、権限昇格、ラテラルムーブメント、そしてネットワーク全体の掌握まで32段階の企業侵入シナリオを、AIが一切の人間介入なしに自律実行するというものだ。

AISIはこの作業を人間が行えば約20時間かかると推定している。

専門家レベルCTF成功率
73%
他モデルを大きく上回る
TLO完走率
3/10
他モデルは0回
平均到達ステップ
22/32
未完走でも高水準

他のモデルはいずれも、1億トークンを費やしてもTLOを完走できなかった。
Claude Mythos Previewは10回の試行のうち3回で全32ステップを完了し、未完走の7回でも平均22ステップに到達した。

さらに重要な点がある。1億トークンの制限に達した時点でも、モデルの進行度は頭打ちになっていなかった。
つまり、計算資源さえ与え続ければ成功率はさらに上がる可能性が高い。

「危険すぎる」と判断されたAI

Claude Mythos Previewは現在、一般公開されていない。
Anthropicはそのサイバー攻撃性能が高すぎると自ら判断し、MicrosoftやAppleなど一部の組織に対してセキュリティ強化目的に限定した「Project Glasswing」として提供するにとどめている。

これはAI業界において異例の動きだ。モデルを開発しながら自ら封印する。「作れてしまった」という状況に直面した開発者が、リリースを自制している。

「Claude Mythos Previewは少なくとも、ネットワークへのアクセス権を取得し、小規模かつ脆弱なエンタープライズシステムに対して自律的な攻撃を実行できることが示された」

— AISI(英国AI安全研究所)評価レポートより

ただし、AISIは結果の解釈に慎重でもある。今回のテストには「セキュリティアラートをトリガーしてもペナルティがない」という制約が設けられていた。そのため、アクティブなセキュリティ担当者がいる「十分に防御されたシステム」への攻撃能力については断言できないとも指摘している。現実の標的は、テスト環境よりもはるかに複雑だ。

矛盾をどう読むか

Anthropicはこれまで、AI安全性の研究に最も真剣に取り組む企業の一つとして知られてきた。「Constitutional AI」をはじめとする安全性フレームワークを積極的に公開し、責任あるAI開発を掲げてきた。

その同じAnthropicが、自社モデルについて「危険すぎて公開できない」と判断した。これは一見矛盾するように見えるが、むしろ逆かもしれない。自らの技術の危険性を認識しているからこそ、制御しながら公開する選択をした、とも解釈できる。

問題はここからだ。今Anthropicが持っているものは、半年後にはどの競合も持つ可能性がある。公開しないという判断は、業界全体への波及を止めない。OpenClawはすでにAWSが限定提供を開始しており、自律型エージェントの攻撃性能競争は静かに、しかし確実に進んでいる。

インフラとしてのセキュリティが問われる

今回の結果が突きつけるのは、個々の企業のセキュリティ対策の話だけではない。「高度な技術者でなくても、AIに指示を与えるだけで企業ネットワークを陥落させられるかもしれない」という現実に、社会のインフラがどう対応するかという問題だ。

20時間かかっていた攻撃が自律化される。専門知識のハードルが下がる。これは防御側にとっても同じことが言えるはずだが、攻撃と防御の非対称性「攻撃側は一点突破でよく、防御側はすべてを守らなければならない」は、AIの登場でさらに広がりうる。

AISIの評価公開は、単なるベンチマーク結果の報告ではない。政府機関が「これは無視できない能力水準に達した」と公式に宣言したと読むべきだろう。

「節目」という言葉の重さ

AIの能力が人間を超えた、という話はすでに多くの領域で語られてきた。チェス、囲碁、タンパク質構造予測、コーディング。それらはどこか「閉じた問題」だった。ルールが決まっていて、正解が存在する。

今回は違う。現実の企業ネットワークを模した、終わりのない複雑な環境で、AIが自律的に判断しながら32段階のプロセスを完走した。これは「特定の問題を解く知能」ではなく、「状況に適応しながら目的を追う知能」の話だ。

AGIという言葉を使うかどうかはひとまず置いておくとして何かが変わった日として、2026年4月は記録されるかもしれない。

← コラム一覧

他のコラム

今週のAI&Techニュース【5/18〜5/24】注目トップ5 AI注目トレンド【5月23日】GitHub & ProductHunt AI注目トレンド【5月20日】GitHub & ProductHunt 今週のAI&Techニュース【5/11〜5/17】注目トップ5 AI注目トレンド【5月16日】GitHub & ProductHunt