新しいAIが出ると、ふつうは「どれだけ賢いか」「いつ使えるか」が話題になります。ところが今回のAnthropicは、かなり逆でした。強い。しかも相当強い。なのに、広く公開しない。ここ、ニュースの本体です。
Impress Watchによると、Anthropicは4月8日、防衛的なセキュリティ用途に限って次世代モデルを使う新構想「Project Glasswing」を発表しました。未公開のフロンティアモデル「Claude Mythos Preview」は、脆弱性を見つける力だけでなく、悪用能力でも大半の人間を上回る水準だとされます。だからAnthropicは「すごいので公開します」ではなく、「すごいのでまず閉じます」を選んだわけです。AI界で、アクセルだけでなくブレーキの性能も見られる局面に入った、と言っていいと思います。
Anthropicは7日、ソフトウェアのセキュリティを確保するための新たな取り組み「プロジェクト・グラスウィング(Project Glasswing)」を発表した。Anthropicのほか、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、the Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどが参加する。
今回の登場人物
- Anthropic: 生成AI企業です。Claudeシリーズを開発しています。今回のポイントは、モデルを売る会社でありながら、「強すぎる能力はすぐ一般公開しない」という判断を前面に出したことです。
- Project Glasswing: Anthropicが始めた防衛的セキュリティ向けの取り組みです。AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどが参加します。まず守る側に先に使わせる、という設計です。
- Claude Mythos Preview: Anthropicの未公開フロンティアモデルです。一般向けには出していません。コード理解や自律的な作業が非常に強く、脆弱性発見と悪用の両方で高い能力を示したとされます。
- 脆弱性: ソフトやOSの弱点です。家で言うなら、鍵が甘い窓みたいなものです。見つければ直せますが、悪い人が先に見つけると侵入口にもなります。
- フロンティアモデル: その時点で最前線にいる、かなり高性能なAIモデルのことです。だいたい「便利」と「危ない」が同時に大きくなりやすい、扱いの難しいやつです。
何が起きたか
Anthropic公式の発表によると、Project Glasswingでは参加企業と、重要なソフト基盤を作る40超の追加組織に対して、Claude Mythos Previewを研究プレビューとして提供します。目的は、重要ソフトの脆弱性を見つけて直すことです。Anthropicはこの取り組みに最大1億ドルの利用クレジットを出し、オープンソースのセキュリティ団体向けに計400万ドルを寄付するとしています。
目を引くのは、モデルの実績です。Anthropicの技術ブログでは、Mythos PreviewがOpenBSDで27年放置されていた脆弱性、FFmpegで16年放置されていた脆弱性、Linuxカーネルの複数の脆弱性を自律的に見つけたと説明しています。しかも「人が横で細かく指示した」ではなく、多くのケースでほぼ自律的に進めた、という話です。ここ、地味に怖い。優秀なセキュリティ研究者が増えた、というより、優秀で休まない研究者が箱で来た感じです。
ただしAnthropicは、このモデルを一般提供する予定はないとはっきり書いています。理由もかなり明快です。Mythos Previewは、脆弱性を見つけて直す守る側の能力だけでなく、見つけた弱点を実際に悪用する能力でも「最上位の熟練者を除く人間を上回る」と説明されているからです。つまり、救急箱でもあり、ピッキング道具箱でもある。雑に配れないわけです。
ここが本題
今回の中心問いは、「なぜ高性能なのに閉じるのか」です。答えを先に言うと、Anthropicはここで、AIモデルの価値を「広く配ること」より「危険な能力をどこまで絞って使わせるか」で測り始めているからです。
これまで生成AIのニュースは、公開競争で読まれがちでした。新モデルが出る。ベンチマークが上がる。APIが開く。みんな触る。だいたいこの流れです。でもMythos Previewは、この定番コースに乗せなかった。能力の伸びが、便利さだけでなく攻撃力まで一気に押し上げる段階に来た、とAnthropicが見ているからでしょう。
ここは順番に見れば大丈夫です。ソフトの脆弱性を見つける能力は、守る側だけの専用スキルではありません。見つけたあと、どう悪用できるかまで分かると、攻撃にもそのままつながります。強い鍵屋さんは、強い泥棒の頭の中も分かってしまう。もちろん鍵屋さん本人は泥棒じゃないんですが、道具の危険度は上がるんです。
Anthropicの判断は、まさにそこです。危険能力を持つモデルでは、「公開してから問題が起きたら対策する」では遅いかもしれない。だから先に配布先を絞る。まず防衛用途に限定する。そこで得た知見を使って安全策を磨く。この順番に切り替えたわけです。公開競争から危険能力の管理へ。今回の転換は、ここにあります。
守る側先行アクセスの意味
では、なぜ「完全非公開」ではなく「守る側に先に渡す」なのか。これも理屈があります。
Anthropicは、AIによる脆弱性発見や悪用能力が近いうちに広く出回ると見ています。だとすると、守る側だけ丸腰で待つのはかなりまずい。サッカーで言うなら、相手だけ新型スパイクを履いてくるのに、こっちはスニーカーで頑張れと言われるようなものです。わりと無茶です。
そこでGlasswingは、重要インフラや基盤ソフトを持つ企業や団体に先行アクセスを与えます。AWSやMicrosoftのようなクラウド基盤、Linux Foundationのようなオープンソースの中心、GoogleやPalo Alto Networksのような防御ツール側が早めに試せれば、弱点を先に見つけて塞げる可能性が上がる。つまり「攻撃AIが広がる前に、防御側の土台を少しでも厚くする」狙いです。
この設計は、かなり実務的です。一般公開すると、善意の研究者だけでなく、犯罪目的の利用者や国家支援の攻撃者も同じ能力へ近づきます。一方で、対象を絞った研究プレビューなら、少なくとも誰に渡しているかを把握しやすい。完璧ではありません。でも、蛇口全開よりはましです。水道代の話じゃなく、ゼロデイの話なんですが。
もう一つ大事なのは、Anthropicが「安全策が整ったら、危険度がMythos Previewほどではない次のClaude Opusで新しい安全策を試す」と書いている点です。ここからうかがえるのは、単なる秘密主義ではなく、能力に応じて公開範囲を変える運用です。モデルは1本、公開か非公開かの二択、ではなくなってきた。能力ごとにゲートを分ける時代に入った、と見るほうが自然です。
日本にとって何が意味を持つか
この話、日本の読者には「アメリカのAI会社の内輪ルール」で終わりません。むしろ日本企業や日本の政策議論にけっこう直結します。
第一に、日本企業のAI導入はこれまで「どれだけ便利か」に目が向きがちでした。でも今後は、「そのモデルを誰に使わせるのか」「危険能力が出たとき、社内でどう制限するのか」まで設計しないと厳しくなります。とくに金融、通信、製造、社会インフラ、セキュリティ企業では、性能の高さだけで採用判断をすると危ない。包丁がよく切れるのは良いことですが、会議室で投げ回す前提では困るわけです。
第二に、日本の政策側にも示唆があります。AI安全性というと、つい「差別的出力をどう防ぐか」「著作権をどうするか」に話が寄りがちです。もちろん重要です。ただ、今回のAnthropicの判断が示すのは、能力が十分に上がると、リスクは表現だけでなく実行力に移るということです。コードを書き、環境を調べ、弱点を探し、悪用まで進める。その連続動作をどう管理するか。今後のルールづくりでは、ここを避けて通れません。
第三に、日本のセキュリティ人材やオープンソース保守の現場にも関係します。OpenBSD、FFmpeg、Linuxカーネルのような長く使われる基盤ソフトには、古い脆弱性が眠っていることがあります。AIがそこを大規模に掘り起こせるなら、防御側の点検速度は上がるかもしれない。逆に言えば、守る体制が弱いままだと、攻撃側に先に掘られるリスクも増える。宝探しが急にショベルカー化した、みたいなものです。ロマンより先に監査が必要です。
まとめ
Anthropicが次世代モデルを一般公開せず、防衛・セキュリティ用途に限ったのは、強いモデルほど「役に立つ」と「危ない」が同時に大きくなると判断したからです。Claude Mythos Previewは、脆弱性を見つけるだけでなく、悪用能力でも高い水準に達したとされる。だから配る順番を変えた。まず守る側、しかも重要インフラに近い組織から、というわけです。
この判断が意味するリスク管理の転換はシンプルです。AIを評価するとき、「どれだけ賢いか」だけでは足りない。「その賢さを、誰に、どの範囲で、どんな安全策付きで渡すか」までが製品設計になる時代に入ったんです。今後、日本の企業導入でも政策づくりでも、この視点はたぶん避けて通れません。