CISOの視点：Anthropic Mythosは脆弱性の発見をどのように変えるのか？

Arve Kjoelen 著

AIを利用した脆弱性発見によって攻撃者優位の環境となる理由と、セキュリティリーダーが今後備えるべきこと   

重要ポイント：

• 高度なAIモデルは、ソフトウェア脆弱性の発見や悪用において、人間を上回る能力を示しています。 

• バラクーダの5年間予測では、CVEの発見件数は最初の12か月で急増し、その後は増加傾向を示すもののペースは鈍化することが見込まれています。 

• 5年以内に、攻撃側が防御側よりも多くの脆弱性を発見するようになることも予測されています。 

高度なAIが今後5年間のCVEエコシステムに与える影響  

Anthropic社のMythos（ミュトス）に関するリサーチ（2026年4月）では、高度なAIモデルが、人間の研究者よりも高速にソフトウェア脆弱性を発見し、実用可能なエクスプロイトを生成できる段階に到達していることを示しました。さらに、国家支援型のサイバー攻撃グループは、すでにこうした能力を利用し始めています。AIモデルの性能向上に伴い、攻撃者がこれらの能力へアクセスできる機会も拡大していくと考えられます。 

しかし、この変化が長期的にCVEエコシステムへどのような影響を与えるのかについて、公的な検証は行われていません。公開されるCVE件数は、急激かつ継続的に増加するのでしょうか？さらに重要なのは、防御側と攻撃側のどちらが先に脆弱性を発見するのか、そしてAIによって双方の能力が加速する中で、そのバランスがどのように変化していくのかという点です。

私たちは、4つのシナリオに基づいて構築した5カ年モデルを用いて、これらの疑問に取り組んでいます。各シナリオでは、LLMの能力（脆弱性発見における有効性が60〜80%のモデルを想定）と、既存ではあるものの未発見のバグ全体に対し、毎年発見される脆弱性のバックログが10〜30%の範囲で変動します。 

すべてのシナリオにおいて、最も保守的なケースであっても、初年度には公開CVE件数が急増する結果となりました。これは、AIがすでに導入されているソフトウェアに潜在している膨大な未発見の脆弱性を、急速に特定するためです。  

攻撃者によって発見される脆弱性が増加   

この分析において最も重要なポイントは、脆弱性の件数そのものではなく、誰が脆弱性を先に発見するのかという構図が変化することです。4つすべてのシナリオにおいて、私のデータ分析では、CVE発見に占める攻撃者側の割合が、現在の約3分の1から、5年後には55〜72%へ上昇することが示されています。これは、防御側が、攻撃者に先に発見され、場合によっては武器化の段階にまで進んでいる脆弱性への対応を迫られるケースが増えていくことを意味します。  

その結果、防御の重点は、「より速く脆弱性を発見すること」から、「より速く修正すること」へ移行します。今後は、パッチ適用速度、エクスポージャー管理、自動修復が、防御の成否を左右する重要な制御ポイントになっていくでしょう。  

今後の対策   

以前の記事では、こうした新たなAI機能がもたらす運用上のリスクについて説明しました。読者の皆様には、修復速度、エクスポージャー管理、レジリエンス向上のために推奨される対応策を確認するためにも、この記事を改めて参照いただくことをお勧めします。これらの対策は、攻撃者が「先に脆弱性を発見する優位性」を獲得する可能性がある世界において、ますます重要になっています。 

また、本分析に対する継続的な検証と議論を支援するため、分析モデルおよび前提条件を対話型の形式で公開しています。https://ai-hype.ai/にアクセスすることで、各シナリオの確認、前提条件への検証、AIを利用した脆弱性発見が時間とともにどのように進化するのかを追跡できます。 

これは現在も継続中の研究分野です。今後公開するこのシリーズのブログでは、モデルのアップデート、CVEデータから得られる実環境のシグナル、さらにこれらの変化が企業へ与える影響について、より深い分析を提供していきます。  

原文はこちら：
Anthropic’s Mythos change vulnerability discovery?
May. 6, 2026 Arve Kjoelen
From the desk of the CISO: How will Anthropic’s Mythos change vulnerability discovery? | Barracuda Networks Blog