Hacker Newsが見た Claude Mythos Preview、cybersecurity capability の閾値を押し上げる

2026年4月7日、Anthropicは Claude Mythos Preview の cybersecurity capability を詳述した技術記事を公開した。ポイントは、単に code generation がうまくなったという話ではない。reasoning、coding、autonomy が組み合わさることで、実際の exploit development まで到達する性能が見え始めたという主張だ。Anthropic はこの変化を defensive side で受け止めるため、Project Glasswing も同時に立ち上げている。

もっとも強い主張は zero-day 評価にある。Anthropic によれば、Mythos Preview はユーザーの指示の下で major operating system と major web browser に対する zero-day vulnerability を特定し、exploit まで構築できたという。公開記事では、発見した bug の 99% 超が未 patch のため詳細を伏せているが、それ自体が toy benchmark ではなく実際の software target を使った評価であることを示している。

公開された数字も重い。Firefox JavaScript engine の既知脆弱性を使った benchmark では、Opus 4.6 が数百回の試行で 2 回しか exploit を成立させられなかったのに対し、Mythos Preview は working exploit を 181 回、さらに register control を 29 回達成したとされる。OSS-Fuzz ベースの内部評価でも、約 1,000 の open-source repository と約 7,000 の entry point に対して、tier 1 と 2 の crash を 595 件、さらに tier 5 の control-flow hijack を 10 件記録したという。

Hacker News がこの話題に強く反応した理由は、security 業界の cost structure が変わり始めたように見えるからだ。model が patching、triage、exploit explanation を助ける一方で、攻撃側の automation cost も下がる。つまり frontier LLM の一般能力向上が、そのまま security の operational consequence に結び付く段階へ入ったということになる。

実務的には二つの含意がある。open-source maintainer や vendor は vulnerability response をさらに高速化する必要があり、同時に defensive workflow も人手中心の review から model-assisted review、fuzzing triage、patch prioritization へと移っていく可能性が高い。Anthropic の数値をどこまでそのまま受け取るかは別として、Hacker News が読んだメッセージは明確だ。もはや「より良い code model」という表現だけでは security risk を説明しきれない。