小規模モデルでもClaude Mythosの検知によるサイバーセキュリティの脆弱性を見つけられる？AISLE：堀城はシステムにあり、モデルの中にはない

セキュリティ新興企業 AISLE は、10億トークンあたりわずか 0.11 ドルの 3.6B パラメータ小型モデルで、Anthropic のフラッグシップ資安システム Mythos の一部コアデモを再現した。AI 資安能力の限界は、あなたが思うよりもずっと「凸凹している」。
（前提：Anthropic が Mythos を発表するのは、DeFi の核爆の瞬間になるのか？）
（背景補足：Anthropic Mythos が強すぎて緊急会議に：ベイセント、パウエルがシティ, ゴールドマン, BofA, 大小モルガンを招集、5大銀行が金融リスクに集中）

この記事の目次

Toggle

• Mythos は何を示し、小型モデルは何を再現したのか？
• なぜより大きいモデルは、より安全なシステムにつながらないのか
• 却ってどこにあるのか、どこにないのか

Anthropic は今週、未公開のモデル Claude Mythos Preview を発表し、あわせて Project Glasswing（ガラス翼）計画も開始した。この計画は Amazon、Apple、Microsoft、CrowdStrike、Cisco など 12 社のテクノロジー企業で構成され、そのモデルを用いて防御的な資安研究を行う。

Mythos は、主要な各OSとブラウザ内の数千ものゼロデイ脆弱性（zero-day vulnerability：未公開で、ベンダー自身も知らない可能性があるセキュリティ上の欠陥）を、自律的に見つけ出すとされているため、AI 主導の資安防御の新時代がまもなく始まることを示唆している。

しかし一週間もたたないうちに、元 DeepMind と Anthropic の研究員 Stanislav Fort が共同で設立した資安新興企業 AISLE が、企業の技術ブログに体系的なレポートを発表した。

結論は直球だ。Mythos のフラッグシップ・デモ課題では、active パラメータがわずか 3.6B、36億トークンあたり 0.11 ドルのオープンソース小型モデルが、同じ脆弱性検出結果を達成した。

Mythos は何を示し、小型モデルは何を再現したのか？

AISLE は 3 つのテストを設計し、それぞれ異なる難易度と性質の資安タスクに対応させた。

第1セットは OWASP（Open Web Application Security Project：開放型 Web アプリケーションセキュリティプロジェクト）による偽陽性テスト。

言い換えると、ある Java SQL クエリのコードは SQL Injection（データベース注入攻撃）のように見えるが、実際には論理的に安全だ。正解は脆弱性ではない。

結果は、ほぼ逆向きの scaling（規模縮小）効果として現れた。小型オープンソースモデル GPT-OSS-20b（3.6B active パラメータ、$0.11/M tokens）がプログラムの論理を正しく追跡し、無害と判定した。

逆に、Claude Sonnet 4.5、すべての GPT-4.1/5.4 シリーズ（o3 と pro を除く）、Anthropic の全シリーズから Opus 4.5 までは、いずれも自信満々に高危険な脆弱性と誤判定した。正しく答えられたのは、ほんの一握りの最上位モデル――o3、OpenAI-pro、Sonnet 4.6、Opus 4.6 のみ。

第2セットは FreeBSD NFS 脆弱性。Mythos のフラッグシップ発表で特にデモされた CVE-2026-4747、17 年の歴史を持つ、未認可のリモートコード実行脆弱性だ。

結果：8/8 の試験対象モデルすべてが成功裏に検出できた。あの 3.6B active パラメータの小型モデルも含まれる。すべてのモデルが stack buffer overflow（スタックバッファオーバーフロー）、残り容量の計算を正しく行い、それを Critical RCE と評価した。

AISLE の結論はこうだ。この種の検出能力は「商品化」されている。

第3セットは OpenBSD SACK 脆弱性（27 年の歴史）。真に必要なのは数学推論で、符号付き整数オーバーフロー（signed integer overflow）の、有号整整数溢れの複数ステップからなる論理チェーンを追跡する必要がある。

難度は大きく上がり、モデルの性能差がはっきり分かれた。GPT-OSS-120b（5.1B active パラメータ）は脆弱性のエクスプロイトチェーンを完全に再現し、AISLE は A+ と評価した。Kimi K2 のオープンソース版は A-。一方で Qwen3 32B は「コードが頑健」という誤った結論を出し、F と評価された。

このより難しいタスクでも、コストが極めて低いオープンソースモデルが、フラッグシップ・システムと同等のデモを達成した。

なぜより大きいモデルは、より安全なシステムにつながらないのか

このレポートの本当の論点は「小型モデルで十分」ということではなく、AI 資安能力の構造が、世間の想像よりはるかに複雑だという点にある。

AISLE は資安 AI パイプラインを 5 つの独立したサブタスクに分解した：

• 幅広いスキャン（broad scanning）
• 脆弱性検出（vulnerability detection）
• 分流・検証（triage and validation）
• パッチ生成（patch generation）
• 脆弱性エクスプロイトの構築（exploit construction）

それぞれのサブタスクで scaling（規模拡大縮小）の性質が異なり、必要とされるモデル能力も異なる。Mythos の発表ではこの5段階を一つの完全なシステムとして統合して提示しているが、実際にはそれらのモデル需要の差は極めて大きい。一部のサブタスクは 3.6B パラメータでもすでに完全に飽和しており、一部は複雑な推論能力を要する。

これは、2023 年にハーバード・ビジネス・スクールの研究者 Dell’Acqua と Mollick らが提案した「Jagged Frontier（でこぼこ境界）」という概念とも呼応している。AI 能力の境界は、なめらかな一本の曲線ではなく、凹凸のある鋸歯状で、あるタスクでは人間をはるかに上回るのに、隣接するタスクでは意外にも脆い。

この研究は、ユーザーが能力の境界の内側で AI を導入すれば生産性が約 40% 向上する一方、うかつにも境界の外へ延ばすと逆に 19% 低下することを示した。

AISLE はこの枠組みのもとで、より実務的な推論を提示している。「1,000 人分の足りている探偵がどこへでも探しに行くのは、1 人の天才探偵が『どこにあるはずだ』と推測するよりも多くの脆弱性を見つけられる」。

低コストのモデルを大量に投入して幅広いスキャンを行うことは、慎重に単一の高コストモデルをスケジューリングするより、全体的な効用で勝つ可能性がある。AISLE は、2025 年半ばから実際の目標に対して脆弱性発見のシステムを実行していると述べている。OpenSSL で 15 個の CVE を発見（そのうち単回のセキュリティ更新に 12 個、CVSS 9.8 Critical）、curl で 5 個、30 以上のプロジェクトにまたがって合計 180 個超の外部検証済み CVE を発見した。

却ってどこにあるのか、どこにないのか

この分析は、Anthropic に対して全面的な批判でも単なるお墨付きでもない。

AISLE は明確に、Mythos の意義は「『AI 資安』というカテゴリーが現実に存在する」ことを証明する点にあると述べている。単なる研究室のデモ実験ではなく、実際の目標に対して動作し得るシステムだということだ。Anthropic がやっているのは「1 トークンあたりの知能密度」を最大化することであり、深い推論が必要なタスクにおいては代替しがたい価値がある。

しかし同時に AISLE は、産業全体にとってより根本的な問題を指摘している：防壁（護城河）はシステムにあって、モデルそのものにはない。

資安の領域において AISLE は、深い専門知識を埋め込む設計思想――たとえば、タスクをどう分解するか、サブタスク間で異なるコストのモデルをどうスケジューリングするか、生産環境でメンテナーの信頼をどう維持するか――こそが、本当の差別化の源泉だと考えている。

OpenSSL の中から CVSS 9.8 の脆弱性を見つけられるシステムと、制御されたデモにおいて既知パターンの脆弱性を検出できるシステムには、より強いモデルだけでは足りず、完全に異なるエンジニアリング論理が必要だ。

まとめると、AISLE のレポートが見出したのはこうだ。より安価でよりオープンなモデルでも、そのコアデモの一部は再現できる。真の問題は、誰のモデルが最強かではなく、誰がこの5つのサブタスクのアーキテクチャを先に実運用環境で通したのか、にあるのかもしれない。