Claude Mythosとは|性能と非公開の理由【2026】
目次
SWE-bench Verified 93.9%、GPQA Diamond 94.6%。2026年4月時点で公開されているどのAIモデルよりも高いスコアを叩き出したモデルが、一般には使えない。Anthropicが開発したClaude Mythosは、内部テスト中に主要OS・ブラウザの未知の脆弱性を数千件単位で検出した。Anthropicはその危険性を踏まえ、Project Glasswingという約50組織限定のプログラムでのみClaude Mythosを提供する判断を下した。
「最強だから出さない」という判断は、AI業界で前例がない。OpenAIのGPT-6もGoogleのGemini 3.1 Proも、性能が高いからこそ公開してユーザーを獲得する戦略を取った。Anthropicだけが逆を選んだ。その背景にある技術的事実と安全性の論理を、公開情報をもとに整理する。
Claude Mythosの全体像―Anthropicが「出さない」と決めたAI
Claude Mythosの内部コードネームはCapybara。Anthropicが2026年4月7日にその存在を公表したが、公表と同時に「一般公開しない」と明言した点が異例だった。
実際にAnthropicの公式発表と関連報道を突き合わせて検証した結果を整理する。
| 項目 | Claude Mythos | 備考 |
|---|---|---|
| 内部コードネーム | Capybara | 2026年4月7日公表 |
| SWE-bench Verified | 93.9% | 歴代最高(2位はGPT-6の約85%前後) |
| GPQA Diamond | 94.6% | Gemini 3.1 Proの94.3%を僅差で上回る |
| アクセス方法 | Project Glasswingのみ | 約50組織に限定 |
| 料金 | 非公開 | パートナー契約ベース |
| 一般公開予定 | 未定(当面なし) | 安全性評価の完了が条件 |
数字だけ見れば「出し惜しみ」に映る。だがAnthropicがこの判断に至った経緯を追うと、単なるマーケティング戦略ではないことがわかる。
Mythosの内部テスト中に起きた出来事―主要OSとブラウザのゼロデイ脆弱性を数千件規模で検出した―が、公開停止の直接的な引き金になった。
ベンチマーク性能―SWE-bench 93.9%が意味すること
コーディング性能の異常値
SWE-bench Verifiedは、実際のGitHubリポジトリから抽出したバグ修正タスクをAIに解かせるベンチマークだ。人間のソフトウェアエンジニアが実務で直面する問題をそのまま使うため、汎用的な知識だけでは解けない。
93.9%という数字の異常さは、他モデルと並べると一目瞭然になる。
| モデル | SWE-bench Verified | GPQA Diamond | HumanEval |
|---|---|---|---|
| Claude Mythos | 93.9% | 94.6% | 非公開 |
| GPT-6 | — | — | 95%超 |
| Gemini 3.1 Pro | — | 94.3% | — |
| Claude Opus 4.7 | — | — | — |
| Llama 4 Maverick | — | — | — |
| DeepSeek V3.2 | — | — | — |
Claude Opus 4.7は2026年4月16日にリリースされたAnthropicの最新公開モデルで、Anthropicはエージェントワークフローと長時間の自律コーディング向けに最適化した。だがMythosのSWE-bench 93.9%には及ばない。
SWE-benchで90%を超えたモデルはClaude Mythosが初めてだ。2025年末時点の最高値はClaude Opus 4の72.1%。一気に20ポイント以上跳ね上がった。
推論性能(GPQA Diamond 94.6%)
GPQA Diamondは大学院レベルの物理学・化学・生物学の問題を集めたベンチマークだ。専門家でも正解率が低い設問が多く、AI研究者がLLMの「深い理解」を測る指標として重視している。
Gemini 3.1 Proが94.3%でトップを走っていたところに、Mythosが94.6%でわずかに上回った。0.3ポイント差に実用上の意味があるかは議論の余地がある。だが「全ベンチマークで1位」を取ったという事実が、Anthropicの社内でMythosの扱いを慎重にさせた背景の一つだろう。
GPT-6やGemini 3.1 Proとの立ち位置
GPT-6は2026年4月14日にグローバルローンチされ、HumanEval 95%超という驚異的なコード生成能力を見せた。ただしSWE-benchのスコアは公式には未公表だ。
Gemini 3.1 ProはARC-AGI-2で77.1%を記録し、汎用推論では業界トップクラス。Mythosがこのベンチマークでどの程度のスコアを出したかは非公開のままだが、コーディングと推論の両方で頂点を取ったモデルが「使えない」状態にあるのは、率直に言って惜しい。
数千のゼロデイ脆弱性を独自発見した経緯
内部テストで起きたこと
Anthropicの安全性チームがMythosのレッドチームテストを実施した際、予期しない結果が出た。Mythosにセキュリティ監査タスクを与えたところ、主要オペレーティングシステムとWebブラウザに存在する未知の脆弱性(ゼロデイ)を数千件規模で特定したのだ。
ゼロデイ脆弱性とは、開発元すら把握していないセキュリティホールを指す。人間のセキュリティ研究者が1件見つけるだけでも大きな成果になる世界で、Claude Mythosは数千件を一度に洗い出した。報道によれば、OpenBSD 27年間・FFmpeg 16年間放置されていた脆弱性も含まれるという。正直、この数��には驚いた。この事実がAnthropicの経営陣を動かした。
ゼロデイ発見の衝撃度
セキュリティ企業のバグバウンティ(脆弱性報奨金)プログラムでは、重大なゼロデイ1件に対して数万〜数十万ドルが支払われる。数千件規模の発見は、金銭的価値だけで数億ドル相当になりうる。問題は、同じ能力が攻撃者の手に渡った場合のリスクだ。
発見メカニズムの推測
Anthropicは具体的な手法を公開していない。だが公開情報とセキュリティ研究者の分析を総合すると、以下のプロセスが推測される。
Step 1: コード理解
オープンソースのOS・ブラウザコードベースを読み込み、アーキテクチャ全体を把握
Step 2: パターン照合
既知の脆弱性パターン(バッファオーバーフロー、競合状態等)を学習データから応用
Step 3: 新規発見
パターンの組み合わせから、人間が見落としていた脆弱性を推論的に導出
バグを修正できるモデルは、バグの場所を知っている。「修正」の方向を「発見」に向ければ、ゼロデイ検出になる。単純な原理だが、それをSWE-bench 93.9%の精度で実行できるClaude Mythosは今まで存在しなかった。人間のセキュリティ研究者が錠前師として1つの建物の施錠漏れを探すのに対し、Claude Mythosは衛星写真から都市全体の無施錠を一度に割り出す。
AIセキュリティエンジニアの観点から見ると、この能力は防御にも攻撃にも使える「デュアルユース」の典型例だ。Anthropicが慎重になったのは当然と言える。
影響を受けたOS・ブラウザ
具体的な製品名をAnthropicは公開していない。ただし「主要」と表現しており、Windows、macOS、Linux、Chrome、Firefox、Safariといったメジャーなソフトウェアが含まれる可能性が高い。
Anthropicはこれらの脆弱性を責任ある開示(Responsible Disclosure)のプロセスで各開発元に通知した。パッチ適用までのタイムラインは不明だが、これもClaude Mythosの一般公開を遅らせる理由の一つだろう。未修正の脆弱性をMythosが知っている以上、Mythosが外部に漏れればその情報も漏れるリスクがある。
Project Glasswing―限定公開の仕組み
参加組織と選定基準
Project GlasswingはAnthropicが設計したゲーテッドアクセスプログラムで、参加組織を約50に絞っている。報道ではAWS、Apple、Google、Microsoftなど大手テック12社が参加パートナーとして名前が挙がっている。選定基準の詳細は非公開だが、以下の条件が浮かぶ。
- セキュリティ体制が整備された大企業・研究機関
- AIの安全性研究に実績のある組織
- 政府機関または政府と連携するサイバーセキュリティ企業
- Anthropicと既存のパートナーシップを持つ組織
防衛目的のセキュリティ研究やAIの安全性評価を行う組織が中心だ。英国AI安全機関(AISI)もClaude Mythosの第三者評価を実施しており、政府機関との連携も進んでいる。一般のSaaS企業やスタートアップがアクセスできる見込みは、現時点では薄い。
アクセス条件と利用制約
制限されること
- ・API経由の直接アクセス(通常のClaude APIとは別系統)
- ・出力結果の外部共有(NDA締結が必須)
- ・セキュリティ関連の出力をそのまま公開すること
- ・商用プロダクトへの組み込み(現時点では不可)
許可されること
- ・安全性評価・レッドチームテスト
- ・学術論文での匿名化された言及
- ・防御的セキュリティ研究への活用
- ・Anthropicとの共同研究プロジェクト
正直なところ、一般の開発者や企業がClaude Mythosを触れる見込みは当面ない。だがProject Glasswingで得られた知見は、将来のClaudeモデルに反映される可能性が高い。安全性の検証が十分に進めば、Mythosの能力の一部が次世代のClaude Opusに降りてくるシナリオは考��られる。
ではなぜAnthropicはここまで厳重にClaude Mythosを管理するのか。その根拠は社内方針として明文化されている。
なぜ非公開にしたのか―Anthropicの安全性判断
Responsible Scaling Policyとの関係
AnthropicにはResponsible Scaling Policy(RSP)という社内方針がある。モデルの能力が一定の閾値を超えた場合、追加の安全対策が完了するまで公開を見送るという内容だ。
RSPは「ASL(AI Safety Level)」という段階的な基準で能力と安全対策を紐づけている。ASL-1が最低リスク、ASL-4以上が最高リスク。AnthropicはClaude Mythosのゼロデイ発見能力をサイバーセキュリティ領域でASL-3相当以上と内部評価したと見るのが自然だ。化学物質の危険度分類に近い仕組みで、毒性が高いほど取り扱い免許の基準が上がる。
# Anthropic RSPのASLレベル概要(公開情報に基づく)
ASL-1: 基本的なAI能力。追加の安全対策不要
ASL-2: 高度な能力。標準的なセーフティフィルターで対応可能
ASL-3: 専門的な悪用リスクあり。強化されたアクセス制御が必要
ASL-4: 壊滅的なリスクの可能性。限定的なアクセスと継続的な監視が必須
Claude Mythos → サイバーセキュリティ能力がASL-3以上と推定
→ 対応する安全対策が未完了のため、一般公開を保留
この政策の要点は「能力が先に上がり、安全対策が後から追いつく」構造を認めている点だ。多くのAI企業が「安全性は確保されている」と主張するのに対し、Anthropicは「確保できていないから出さない」と言い切った。コーディング支援でこのClaude Mythosを1日使えば、現行Opusとの20ポイント差が何を意味するか体感できるはずだ。それが手の届かないところにある。素直に腹が立つ。だがAnthropicの論理は筋が通っている。
他社の安全基準との比較
OpenAIもGoogleも安全性の枠組みを持つ。だが両社とも、性能が高いモデルを公開しないという判断を下したことは、少なくとも公にはない。
| 企業 | 安全性方針 | 性能理由で非公開にした実績 |
|---|---|---|
| Anthropic | RSP / ASLレベル | あり(Mythos) |
| OpenAI | Preparedness Framework | 公開事例なし |
| Google DeepMind | Frontier Safety Framework | 公開事例なし |
| Meta | オープンソース方針 | なし(Llama 4も公開) |
G7東京AI安全会議では30カ国がAI安全フレームワークに合意したが、「性能が高すぎるモデルの公開制限」に踏み込んだ規定は含まれていない。Anthropicが自主判断で動いた実績は、EU AI Actの次回改定で「能力閾値による公開制限」の条項追加を後押しする論拠になる。規制側がこの事例を使わない手はない。
Claude Opus 4.7との性能差
2026年4月16日にリリースされたClaude Opus 4.7は、Anthropicの現行最強の「公開」モデルだ。MythosとOpus 4.7の関係を整理する。
設計思想の違い
AnthropicはOpus 4.7を長時間の自律コーディングとエージェントワークフロー向けに仕上げた。Claude CodeやAgent SDKとの連携を前提に設計し、実用性を最優先したモデルだ。筆者がClaude Code経由でOpus 4.7を試した限り、エージェントタスクの安定性は前世代から明確に上がっている。
Mythosはそのさらに上位に位置する研究モデルだ。実用性よりも「能力の限界がどこにあるか」を探ることが主目的。結果的にセキュリティ分析という予期しない応用が見つかり、その能力の危険性から公開が止まった。
一般開発者にとっての選択肢
Claude Mythosを使えない以上、実際にAnthropicのモデルを使ってみるなら、選択肢はClaude Opus 4.7、Sonnet 4.6、Haiku 4.5の3つになる。
現実的な選択
自分ならOpus 4.7を選ぶ。理由は3つ。エージェントワークフローへの最適化が明確にされていること、APIから直接使えること、そしてClaude Codeとの統合がネイティブに動くこと。Mythosの93.9%は魅力的だが、使えないものを待つより、手元で動くモデルで成果を出す方が合理的だ。
Mythosの技術が将来のOpusに降りてくる可能性はある。Anthropicは過去にもSonnetの能力を段階的に引き上げてきた実績がある。「Mythosで検証した安全なサブセット」が次のOpusに入る展開は十分にありえる。
開発者・企業への影響
セキュリティ業界への波及
脆弱性の発見は、これまで少数の専門家にしかできなかった。1件見つけるのに数週間かかることも珍しくない。Claude Mythosは内部テストの数日で数千件を出した。速度ではなく、次元が違う。
AIを使った脆弱性スキャンの商用ツールは2025年後半から増えているが、いずれも既知パターンの検出にとどまる。ゼロデイを見つけられるツールは市場にまだない。Claude Mythosの能力が製品化されれば、バグバウンティ市場とペネトレーションテスト業界の力学が一変する。
防御側への恩恵
- ・自社製品の脆弱性を公開前に発見・修正
- ・監査工数を数週間→数日に圧縮
- ・パッチ適用の優先順位を自動判定
攻撃側への懸念
- ・国家レベルのサイバー攻撃能力が民間にも
- ・脆弱性発見の「民主化」が悪用リスクに
- ・パッチ適用前の攻撃ウィンドウが縮まらない可能性
AIエンジニアのキャリアへの示唆
AI安全性エンジニアの求人が急増している。Anthropic・OpenAI・Google DeepMindの3社とも安全性チームの採用を強化しており、機械学習×セキュリティの掛け算ができる人材は市場に少ない。AIエンジニア転職を考えるなら、この領域は注目に値する。
LinkedInでAnthropicの求人を確認すると、Safety Engineer・Red Team Researcher��ポジションが2025年Q1比で倍以上に増えている。OpenAIのPreparednessチームやGoogle DeepMindのFrontier Safetyチームも同様だ。
「AIの性能を上げる」仕事と同じくらい、「AIの危険性を見極める」仕事に価値が出てきた。Mythosの存在がそれを証明している。
キャリアの具体的な動き方
AI安全性のポジションは、機械学習の知識に加えてセキュリティの素養を要求する。採用担当はCTF(Capture The Flag)コンテストの実績やレッドチームテストの経験を明示的に評価する。複数の求人票でその記載を確認した。
今後の展望―一般公開はあるのか
結論から言えば、Mythosそのものの一般公開は短期的にはない。だが3つのシナリオが考えられる。
シナリオA: 段階的公開
安全対策が整った機能から順に、次世代のClaude Opusに統合。セキュリティ関連の能力は制限付き。2026年後半〜2027年が目安。
シナリオB: 限定拡大
Project Glasswingの参加組織を50→200程度に拡大。エンタープライズ契約でのみアクセス可能に。2026年中に発表の可能性。
シナリオC: 永久非公開
安全性のハードルが高すぎて公開できないまま、次世代モデル(Claude 5系)に技術が吸収される。Mythos自体は研究モデルとして凍結。
自分ならシナリオAの可能性が高いと見る。Anthropicはビジネスとしてモデルを売る必要がある。Mythosの技術を完全にお蔵入りにする余裕はない。だがセキュリティ関連の能力をフィルタリングする仕組みの構築には時間がかかるだろう。見落としがちだが、フィルタリングの精度そのものがMythosレベルの能力を要求する厄介な問題だ。
当面の間、AIエージェント開発や日常業務でClaude APIを使うなら、Opus 4.7で十分な性能が得られる。Mythosの一般公開を待つよりも、今使えるモデルで実践を積む方が建設的だ。
「出さない」判断はAI業界の転換点になるか
2025年まで、AI企業の競争は「いかに早く、いかに高性能なモデルを公開するか」だった。ベンチマークの数字が上がるたびにプレスリリースが出て、APIが公開され、開発者がなだれ込む。そのサイクルが業界を前に進めてきた。
Mythosはそのサイクルに初めてブレーキをかけた。性能が高すぎるから出さない。この判断が前例になれば、今後の競争のルールが変わる。
規制当局への影響
EUのAI Act(AI規制法)は2026年中に段階施行が進んでいるが、「モデルの性能に基づく公開制限」を企業に義務づける条項はない。規制は「リスクの高い用途」を対象としており、モデルそのものを止める仕組みをEUは設計していない。
Anthropicが自主的にMythosを止めたことで、規制当局は「企業の自主判断に委ねるべきか、法的な公開基準を設けるべきか」を問われることになる。G7東京AI安全会議の合意フレームワークは、次の改定で「能力閾値による公開制限」の条項を盛り込む根拠としてClaude Mythosの事例を引用する可能性が高い。
オープンソース陣営への問い
MetaはLlama 4を10Mトークン文脈付きでオープンソース公開した。Googleもgemma 4をApache 2.0で配布している。オープンソース陣営は「AIの民主化」を掲げ、モデルの公開を進めてきた。
だがMythosレベルの能力を持つオープンソースモデルが登場した場合、同じスタンスを貫けるのか。ゼロデイ発見能力を持つモデルの重みファイルがHugging Faceに置かれたら、誰がその使い方を制御するのか。この問題はまだ答えが出ていない。
よくある質問(FAQ)
Claude Mythosは無料で使えますか?
使えない。一般公開されておらず、Project Glasswingに参加する約50組織のみがアクセスできる。個人や一般企業は利用できない。
Claude Opus 4.7とMythosの違いは?
Opus 4.7はエージェントワークフローに最適化された公開モデル。MythosはOpus 4.7より高いベンチマークスコアを持つが、セキュリティリスクのため非公開。一般の開発者はOpus 4.7が最高性能の選択肢になる。
Project Glasswingに申請できますか?
申請プロセスは公開されていない。Anthropicとの既存のパートナーシップ、セキュリティ体制の整備、AI安全性研究の実績が選定基準と推測されるが、一般企業が自発的に申請するルートは現時点で存在しない。
ゼロデイ脆弱性はすでに修正されていますか?
Anthropicは各ソフトウェア開発元にResponsible Disclosureで通知したとされるが、修正状況の詳細は非公開。一部は修正済みと推測されるが、全件の対応完了には時間がかかる見込み。
Mythosの技術は今後のClaudeモデルに反映される?
可能性は高い。Anthropicは過去にも研究成果を段階的にSonnet・Opusに反映してきた。セキュリティ関連の能力は制限される可能性があるが、コーディング・推論の改善は次世代モデルに活かされるだろう。
まとめ―「最強だから出さない」は合理的か
Claude MythosはSWE-bench 93.9%、GPQA Diamond 94.6%という突出した性能を持ちながら、ゼロデイ脆弱性の大量発見という予期しない能力が判明し、一般公開が見送られた。AI業界初の事例だ。
Project Glasswingで約50組織に限定提供している現状は、開発者にとって歯がゆい。Anthropicの公式ブログとAISIの評価レポートをデータを分析してみると、RSPに基づく判断は少なくとも論理的には一貫している。
自分なら、Mythosの一般公開を待たずにClaude Opus 4.7でプロダクト開発を進める。93.9%と現行Opusの差は確かに大きいが、使えないモデルの数字を眺めるより、手元で動くモデルの限界を探る方が実りがある。Mythosの技術が降りてくる日に備えて、Claude CodeやAgent SDKのエコシステムに慣れておくのが、今できる最善手だ。
この記事のポイント
- ・Claude MythosはSWE-bench 93.9%、GPQA Diamond 94.6%の歴代最高スコア
- ・ゼロデイ脆弱性を数千件発見し、安全性の懸念から一般非公開に
- ・Project Glasswingで約50組織のみアクセス可能
- ・一般開発者はClaude Opus 4.7が現時点での最高選択肢
- ・AI安全性エンジニアの需要が急拡大中