ゼロデイ・シンギュラリティ:Claude Mythos と自律型 RCE の時代
正直に言いましょう。しばらくの間、「サイバーセキュリティにおける AI」という流行(ハイプ)には疲れ果てていました。ベンダーが標準的な正規表現ベースの静的解析ツールに「AI 搭載」のステッカーを貼るのを、そしてスクリプト・キディたちが初期の LLM を使って、信じられないほどノイズが多く、壊れたフィッシングメールを書くのを、私たちは見てきました。
しかし、2026 年半ば現在、その冗談は公式に終わりました。
攻撃型セキュリティの状況は単に変化しただけでなく、根本的に断絶しました。私たちはもはや、人間のペンテスターがトリッキーなペイロードを書くのを手伝う「アシスタント」としての AI について話しているのではありません。私たちが対峙しているのは、複雑なビジネスロジックを推論し、脆弱性を連鎖させ、人間のアナリストが最初の一杯のコーヒーを飲み終える前にシェルを奪取できる、完全に自律した並列化されたエージェントです。
フロンティア・モデルの恐ろしい汎用推論から、スモール・ランゲージ・モデル(SLM)の鋭い精度まで、現在の攻撃型 AI の状況が実際にはどうなっているのか、最前線からの視点をお届けします。
1. 汎用推論の巨獣:Claude Mythos
現在のセキュリティ・コミュニティにおけるパニックを理解したいなら、2026 年 4 月にリリースされた Anthropic の Claude Mythos を見るだけで十分です。
Mythos は単に評価ベンチマークに合格しただけではありません。METR(AI リスク評価機関)の評価方法そのものを破壊しました。しかし、セキュリティ研究者が夜も眠れないほど恐れているのは、Mythos が実戦環境で行ったことです。明示的な攻撃型訓練を受けていないにもかかわらず――その能力は純粋に汎用推論とコーディングの自律性の飛躍的な向上から生じたものです――Mythos は自律的に数千の未知の脆弱性を発見しました。
発見されたのは、簡単なクロスサイトスクリプティング(XSS)のバグだけではありませんでした。FreeBSD の NFS サーバーにおける 17 年前のリモートコード実行(RCE)の脆弱性や、数十年にわたる人間のピアレビューを生き延びてきた 27 年前のブラウザの欠陥を発見したのです。そしてその後は? 人間の指導なしに、それらのための完全に機能するエクスプロイトを書き上げました。
これが、Anthropic が「Project Glasswing」を通じてそのリリースを制限し、モデルが広く利用可能になる前にテック巨人(Apple、Microsoft、Google)がインフラを強化できるようにした理由です。Mythos は恐ろしい概念を証明しました。攻撃能力はもはや設計上の選択ではなく、十分に賢い AI であれば必然的に現れる特性(創発的特性)なのです。
2. 自律性の製品化:XBOW と DAST の死
Mythos が汎用知能の最前線を表している一方で、XBOW のようなツールは、AI 駆動の攻撃型セキュリティの商業化を表しています。
長年、私たちは動的アプリケーションセキュリティテスト(DAST)スキャナーに頼ってきました。DAST はノイズが多く、遅く、そして愚かであることで悪名高いものでした。単に膨大な静的ペイロードのリストをアプリケーションに投げつけ、何かが当たるのを祈るだけでした。対照的に、XBOW はデジタル・レッドチームのように振る舞います。
XBOW のようなプラットフォームがどのようにゲームを変えているかは以下の通りです:
- 適応型エクスプロイト: XBOW は単にペイロードを送信するだけでなく、サーバーのレスポンスを読み取ります。Web アプリケーションファイアウォール(WAF)がブロックした場合、XBOW はそのブロックを分析し、ガードレールをバイパスするようにペイロードを変化させます。
- ビジネスロジック攻撃: 従来のスキャナーは文脈を理解できません。XBOW は AI を使用して IDOR(安全でない直接オブジェクト参照)や BOLA(壊れたオブジェクトレベルの認可)のテストを実行します。ページを見て、ユーザーロール A がユーザーロール B のデータを見るべきではないことを理解し、それを能動的に悪用します。
- 脆弱性の連鎖: スキャナーが SSRF(サーバー側リクエスト偽造)を発見するかもしれません。XBOW はその SSRF を発見し、内部ネットワークにピボットし、AWS のメタデータを抽出し、その SSRF を完全な RCE に変えようと試みます。
3. 非対称の経済学:ランチ代で奪取されるシェル
2026 年に出される研究の中で、おそらく最も破壊的なのは、AI がどのようにハッキングするかではなく、どれくらいのコストがかかるかという点です。
歴史的に、攻撃活動は人間の労働力によって制約されてきました。複雑な Active Directory(AD)環境に対する高品質な手動ペネトレーションテストには、15,000 ドルから 50,000 ドルの費用がかかり、数週間を要します。
LLM ベースのペネトレーションテスト・エージェントに関する最近の研究は、この経済モデルを打ち砕きました。2026 年初頭、研究者は現実的な Active Directory 環境に対して Excalibur(PentestGPT V2 ベースのエージェント)をテストしました。エージェントは 5 台のホストのうち 4 台の侵害に成功し、真のラテラルムーブメントを実行しました。
- コストは? API 手数料で 28.50 ドル。
- スピードは? エージェントは線形には動作せず、到達可能なあらゆる箇所を同時に探索したため、チームで数週間かかる仕事をわずかな時間で完了しました。
複雑で多段階の攻撃チェーンを実行するための限界費用がほぼゼロにまで低下したとき、外部境界に対する洗練された調査のボリュームは無限に拡大するでしょう。
4. 「スモール・モデル」革命(SLM)
Mythos のようなフロンティア・モデルが話題を独占する一方で、本格的なエンタープライズ・セキュリティは スモール・ランゲージ・モデル(SLM) へと移行しています。
なぜでしょうか? 非常に機密性の高い独自のネットワーク・テレメトリ・データをサードパーティの API に流すことは、コンプライアンス上の悪夢だからです。企業は、特定の環境を理解する、オンプレミスの高度に特化したモデルを必要としています。
2025 年後半から 2026 年にかけての研究(SecKnowledge データセット・イニシアチブなど)により、バグを狩るために 1 兆パラメータのモデルは必要ないことが証明されました。攻撃者の戦術、技術、手順(TTP)、エクスプロイト・ペイロード、ネットワーク構成のみに SLM を微調整することで、研究者はローカルで動作するドメイン専門家モデルを作り上げました。
これらの SLM は以下の点で優れています:
- 仮説駆動型の脅威ハンティング: ハルシネーション(幻覚)を起こさずに、ノイズの多いログを精査。
- データ・レジデンシーの遵守: 完全に隔離された、または厳格に制限された環境内での運用。
- スピード: 遅延のために巨大なモデルでは対応できない速度で、ローカライズされたファジング・ペイロードを生成。
防衛側にとっての現実
研究者として、この展開を目の当たりにすることは爽快であると同時に恐ろしくもあります。「潜伏時間(Dwell Time)」に頼る日々は終わりました。AI エージェントが境界を突破すれば、睡眠は不要で、週末も休まず、マシンの速度で環境を処理します。
自動化され、適応し、推論する敵に対する唯一の有効な防衛策は、完全に自動化され、適応し、推論する防衛策です。私たちはマルチエージェント戦争の時代に突入しています。そこでは、あなたの防衛型 SLM が、攻撃型の自律エージェントとリアルタイムで絶え間ない死闘を繰り広げることになります。
パッチ管理だけではもはや不十分です。会議をセッティングするよりも早くゼロデイを見つけ出す敵を想定したセキュリティ戦略がなければ、あなたはすでに遅れを取っています。