スマホで銀行振込をする。ECサイトで買い物をする。会社のクラウドに資料を保存する。行政サービスに個人情報を入力する――私たちは毎日、目に見えないソフトウェアの安全性を信じて暮らしている。しかしソフトウェアには「脆弱性（ぜいじゃくせい、不具合や欠陥のこと。いわゆるバグ）」がつきものだ。ハッカーのような犯罪者たちが、そうした脆弱性を攻撃して、ソフトウェアにさまざまな誤作動を起こさせる。

では、そのソフトウェアの脆弱性をAIが人間以上の速さで見つけ始めたら、いったいどうなってしまうのだろうか？

今その問いを現実のものとして突きつけているのが、米国のAI企業Anthropicが2026年4月に発表した新しいAIモデル「Claude Mythos Preview」だ（Mythosは日本語で「ミュトス」あるいは「ミトス」と発音されることが多い）。AnthropicはMythos Previewについて、「同社において最も高性能なモデル」と説明し、それが実際にさまざまなソフトウェアのゼロデイ脆弱性（開発元がまだ気付いていないため、修正プログラムも出していない未知の弱点）を発見したと発表した。

実はMythosは、まだ一般向けに無制限で公開されているわけではない。Anthropicはそのリリースにあわせ、Project Glasswingという取り組みを発表している。これは重要なソフトウェアを守る組織にClaude Mythos Previewを限定提供し、攻撃者より先に脆弱性を見つけて修正することを狙う防御目的のプロジェクトだ。

つまり使い方次第で、頼もしい味方にも恐るべき敵にもなり得る力を、信頼できる相手だけに与えようという発想である。この発想がうまくいくのか、そしてMythosのような強力なAIが登場した今、サイバーセキュリティ（ソフトウェアやコンピューターシステムに関するセキュリティ）はどうなってしまうのかを考えてみよう。

過去を振り返ってみると、サイバーセキュリティは「後追い」の歴史だった。現代の情報セキュリティは、1960年代から始まった米軍、RAND研究所（米国のシンクタンク）、CIA、NSA、防衛関連企業などが関わった初期のコンピューター研究と深く結びついている。

その当時の問題は、今のようなスマホ詐欺やランサムウェアではない。1台の大型コンピューターを複数人で使う「タイムシェアリング（1台の計算機を複数の利用者が同時に共有する仕組み）」が広がったことで、「誰がどの情報にアクセスしてよいのか」が大きな課題になった。

1970年に米国防省から発表された「ウェア・レポート」は、大規模なソフトウェアには設計者が予見しない抜け穴が残り得ること、攻撃者がそれを意図的に探して悪用し得ることを、非常に早い段階で指摘していた。つまりサイバーセキュリティの歴史は、「完璧に安全なシステムを作りたい」という理想と、「実際にはどこかに穴が残る」という現実との格闘だった。

インターネットの登場で、この問題は一気に広がった。残念ながら初期の通信プロトコル（コンピューター同士が通信するための取り決め）は、必ずしもセキュリティを中心に設計されていなかった。実際に、1988年という早い段階で「ワーム（自分自身を複製してネットワーク上に広がる悪性プログラム、コンピューターウイルスに近い）」が拡散する事件が起きている。この事件をきっかけに、ネットワークにつながること自体が新しいリスクを生むと強く認識されるようになった。

しかし防御側も、手をこまねいて見ていたわけではない。例えば多くの企業が、ファイアウォールを導入するようになった。ファイアウォールとは、会社のネットワークと外部のインターネットの境界で通信を制御する防御装置だ。村の周りに壁を作り、門番が出入りを確認するようなものだ。しかしWebやメールを使う以上、全ての通信を遮断することはできない。Webサーバー、メール、業務アプリ、クラウドサービス、スマホアプリが増えるほど、守るべき場所も増えていった。

1990年代以降には、脆弱性スキャナーや侵入検知システムが登場している。脆弱性スキャナーとは、システムの弱点を自動で探す道具だ。そして侵入検知システムとは、不審な通信や攻撃の兆候を見つける監視装置のことを指す。しかしこうした仕組みが導入されても、問題は解決しなかった。企業が新しい脆弱性にパッチ、つまり修正プログラムを当て続ける状況が生まれ、攻撃と防御のいたちごっこが続いたのである。

朝起きたらAIが攻撃用プログラムを完成させていた