最近、Claude Mythos Previewの話を読んでちょっと頭が痛くなった。
Anthropicが2026年4月7日に発表したこのモデル、イギリス政府のAISIによるテストで「ネットワーク完全乗っ取り攻撃を自律的に実行できる」と評価されたやつだ。
AISIのテスト「The Last Ones」では、偵察からネットワーク乗っ取りまで32個の課題を用意して、1回あたり1億トークン使い切るまで各モデルを走らせた。
結果、GPT-5.4を含む他のモデルは全課題クリアできなかったのに、Claude Mythos Previewだけが10回中3回クリアした。
しかもAISIいわく「1億トークンに達した時点でも成果の伸びが衰えなかった」とのこと。トークン上限を伸ばしたらもっとやばいということでもある。
Claude Mythos Previewの料金は入力100万トークンあたり25ドル、出力100万トークンあたり125ドル。
1回のテストで最大1億トークンなので、10回回すと計算上は約1万2500ドル、日本円で約199万円になる。
攻撃側がそれだけ使えば、守る側はそれ以上のトークンを脆弱性スキャンに投じないといけない、というのがDrew Breunig氏の言う「トークン量の殴り合い」論の核心だ。
これを読んで、自分のサービスのことを考えた。
個人開発で動かしているAPIがあるんだけど、外部ライブラリをそこそこ使っている。
LiteLLMやAxiosでサプライチェーン攻撃が起きた話は知っていたし、「まあ有名どころなら大丈夫だろ」と思っていた。
でも今回の話で、「有名なオープンソースほど攻撃者が大量のトークンを投じて調べる動機がある」という指摘が刺さった。
Breunig氏はAIエージェントでコードを書く時代の開発フローをこう整理している。
機能を素早く作る「開発」、ドキュメントとリファクタリングの「レビュー」、予算が尽きるまで脆弱性を潰す「安全性の強化」の3フェーズだ。
「開発」は人間の判断がボトルネックで、「安全性の強化」は資金がボトルネックになる。
だから両者は分離していくという論理で、これはわりと腑に落ちた。
自分のチームでも、機能開発のスピードとセキュリティレビューのタイミングが常にずれている。
PRを出したら「あとでセキュリティ確認」が後回しになりがちで、結局ざっくりしたコードレビューだけで終わる。
AIで脆弱性スキャンを自動化しようとすると、そのコスト設計をどうするかという問題が出てくる。
スキャンに使うトークン量を増やすほど見つかる脆弱性も増えるとしたら、「どこまでやるか」の判断基準がいままでとまったく変わる。
HackerNewsでは「守る側はソースコード全体を見ながらまとめてスキャンできるから、攻撃側より効率よく動ける」という補足も出ていた。
たしかにその視点はある。攻撃側はブラックボックスでやるわけだし。
AISIも「実際のセキュリティツールや担当者がいる環境での結果は断言できない」と言っている。
ただ、「コストをかければかけるほど発見率が上がる」という構造が成立しつつあるなら、セキュリティ予算の考え方を根本的に変えないといけない。
「年に1回ペネトレーションテストを外注する」という時代感覚は、もう合わなくなってきている気がする。
自分はまず手元のリポジトリで使っている外部依存ライブラリをリストアップして、どれが広く使われていてリスクが高いかを整理するところから始めてみるつもりだ。
Anthropicが2026年4月7日に発表したこのモデル、イギリス政府のAISIによるテストで「ネットワーク完全乗っ取り攻撃を自律的に実行できる」と評価されたやつだ。
AISIのテスト「The Last Ones」では、偵察からネットワーク乗っ取りまで32個の課題を用意して、1回あたり1億トークン使い切るまで各モデルを走らせた。
結果、GPT-5.4を含む他のモデルは全課題クリアできなかったのに、Claude Mythos Previewだけが10回中3回クリアした。
しかもAISIいわく「1億トークンに達した時点でも成果の伸びが衰えなかった」とのこと。トークン上限を伸ばしたらもっとやばいということでもある。
攻撃1回あたりのコストを計算してみた
Claude Mythos Previewの料金は入力100万トークンあたり25ドル、出力100万トークンあたり125ドル。
1回のテストで最大1億トークンなので、10回回すと計算上は約1万2500ドル、日本円で約199万円になる。
攻撃側がそれだけ使えば、守る側はそれ以上のトークンを脆弱性スキャンに投じないといけない、というのがDrew Breunig氏の言う「トークン量の殴り合い」論の核心だ。
これを読んで、自分のサービスのことを考えた。
個人開発で動かしているAPIがあるんだけど、外部ライブラリをそこそこ使っている。
LiteLLMやAxiosでサプライチェーン攻撃が起きた話は知っていたし、「まあ有名どころなら大丈夫だろ」と思っていた。
でも今回の話で、「有名なオープンソースほど攻撃者が大量のトークンを投じて調べる動機がある」という指摘が刺さった。
開発・レビュー・安全性強化の3フェーズ分離という話
Breunig氏はAIエージェントでコードを書く時代の開発フローをこう整理している。
機能を素早く作る「開発」、ドキュメントとリファクタリングの「レビュー」、予算が尽きるまで脆弱性を潰す「安全性の強化」の3フェーズだ。
「開発」は人間の判断がボトルネックで、「安全性の強化」は資金がボトルネックになる。
だから両者は分離していくという論理で、これはわりと腑に落ちた。
自分のチームでも、機能開発のスピードとセキュリティレビューのタイミングが常にずれている。
PRを出したら「あとでセキュリティ確認」が後回しになりがちで、結局ざっくりしたコードレビューだけで終わる。
AIで脆弱性スキャンを自動化しようとすると、そのコスト設計をどうするかという問題が出てくる。
スキャンに使うトークン量を増やすほど見つかる脆弱性も増えるとしたら、「どこまでやるか」の判断基準がいままでとまったく変わる。
HackerNewsでは「守る側はソースコード全体を見ながらまとめてスキャンできるから、攻撃側より効率よく動ける」という補足も出ていた。
たしかにその視点はある。攻撃側はブラックボックスでやるわけだし。
AISIも「実際のセキュリティツールや担当者がいる環境での結果は断言できない」と言っている。
ただ、「コストをかければかけるほど発見率が上がる」という構造が成立しつつあるなら、セキュリティ予算の考え方を根本的に変えないといけない。
「年に1回ペネトレーションテストを外注する」という時代感覚は、もう合わなくなってきている気がする。
自分はまず手元のリポジトリで使っている外部依存ライブラリをリストアップして、どれが広く使われていてリスクが高いかを整理するところから始めてみるつもりだ。