Mythosで何が変わったのか──AI脆弱性診断の現実と内製化の判断基準を解説するホワイトペーパーを公開

株式会社リチェルカセキュリティは、AIによる脆弱性診断の最新動向と、内製化に必要な設計要件を整理したホワイトペーパーを公開しました。

2026年4月に発表された「Claude Mythos」は、AIが数千件規模の高深刻度脆弱性を自律的に発見したと報告し、脆弱性発見の前提そのものを変えつつあります。脆弱性は「見つからないもの」ではなく、「より早く見つけられてしまうもの」へと変わり始めています。

本資料では、この変化が意味する構造的な転換と、AIによる脆弱性診断の実態と限界、そして企業が内製化を検討する際の判断基準を体系的に整理しています。 さらに、当社が実運用の中で検証してきた知見をもとに、「導入すれば機能するのか」「どこで失敗するのか」といった実務上の論点についても解説しています。

AI診断の導入や内製化を検討している企業、また現在のセキュリティ体制を見直したい企業にとって、意思決定の材料となる内容です。

Mythosで何が起きたのか──脆弱性発見の構造が変わり始めている 

2026年4月、Anthropicは「Claude Mythos Preview」を発表しました。

この発表では、OpenBSDやFreeBSDといった広く使われているソフトウェアに対し、AIが自律的に脆弱性を探索し、数千件規模の高深刻度脆弱性を発見したと報告されています。

注目すべき点は、その中に長年見つかっていなかったバグや、既存のファジングや人間のレビューをすり抜けてきた問題が含まれていたことです。

これは単なる精度向上ではありません。

これまで脆弱性発見は、限られた専門人材が時間をかけて行うものでしたが、その前提が崩れつつあります。

脆弱性は「見つからないもの」ではなく、「より早く見つけられてしまうもの」へと変わり始めています。

この変化は、防御側だけでなく攻撃側にも同時に影響します。

攻撃者も同様に探索を加速できる以上、

セキュリティは「防げるかどうか」ではなく、「どの速度で見つけ、どの速度で対応できるか」という競争へと移行しています。

 なぜこのテーマを当社が扱うのか 

当社は、脆弱性発見に特化したオフェンシブセキュリティチームです。

ゼロデイ脆弱性の発見や高度な診断に加え、生成AIを活用した脆弱性検出についても早期から実運用に取り組んできました。

2025年には、生成AIを活用した診断プロジェクトにおいて、1週間で13件の脆弱性を発見・報告しています。 

このような実務経験を踏まえ、AIによる脆弱性発見の可能性と限界の双方を検証してきました。

本ホワイトペーパーは、こうした実証と分析に基づき、Mythosの意味付けを評価したものです。

本資料で整理している内容 

本ホワイトペーパーでは、以下の内容を体系的に解説しています。

・Mythos以降に何が変わったのか

・AIによる脆弱性発見の実態と限界

・業界検証（AISLE、Xint）から見える共通点

・企業が取るべき対応の方向性

・内製化を検討する際の判断基準

・内製化を成立させるための設計要件

 AIで脆弱性は見つかる──しかしそれだけでは成立しない 

Mythos以降、明確になったことがあります。

AIは確かに脆弱性を見つけられるようになっています。

一方で、AIが出力する脆弱性候補の多くは、そのままでは実用的な診断結果とは言えません。

実務で利用するためには、

・偽陽性の排除

・悪用可能性の検証

・影響範囲の評価

・優先度の判断

といった工程が不可欠です。

これらの工程をどのように設計するかによって、AI診断が実際に機能するかどうかが決まります。

つまり、差を生むのはモデルの性能ではなく、モデルの外側に構築されるシステム設計です。

本資料では、この設計を「ハーネスエンジニアリング」として整理しています。

 ハーネスエンジニアリングとは何か？ 

ハーネスエンジニアリングとは、AIモデル単体の能力に依存するのではなく、 その前後のプロセス──どこを探索させるか、どのように検証するか、どのように結果を評価するか──を含めて設計する考え方です。

脆弱性発見においては、攻撃面の特定、候補の検証、偽陽性の排除といった工程が不可欠であり、これらを設計せずにAIを適用した場合、大量の候補が出力される一方で、実務では扱いきれない結果となることも少なくありません。

実際に、事前のターゲティングなしにコード全体をスキャンした場合、偽陽性が増加し、トリアージ負荷がAI導入前よりも増大するケースも見られます。

このため、AI脆弱性診断においては「どのモデルを使うか」ではなく、「モデルの能力をどのように制御し、検証するか」が成果を左右します。

本資料では、このハーネス設計を構成する要素と、内製化において求められる設計要件を整理しています。 

内製化を検討する企業にとっての論点 

内製化を検討する際には、いくつかの重要な論点があります。

・AIの出力をどの段階で人間が検証するか 

・偽陽性をどのように排除するか

 ・診断結果をどのように開発プロセスに組み込むか

 ・どの範囲を内製化し、どこを外部に委託するか

これらの設計次第で、AI診断が機能するかどうかは大きく変わります。

 詳細はホワイトペーパーで 

本資料では、内製化の可否を判断するための具体的な視点とステップを整理しています。

当社では、この考え方をもとに脆弱性診断の内製化支援も提供しています。

 会社情報 

リチェルカセキュリティは、オフェンシブセキュリティのプロフェッショナルチームです。防衛セクターを含む政府機関、フォーチュン500企業、国内外のクライアントに対するサービス提供実績を有します。

当社には、ゼロデイ脆弱性の発見者、サイバーセキュリティ関連書籍の著者、海外トップスクールや大手研究機関での研究経験を有するセキュリティリサーチャー、DEFCON CTFやGoogle CTFのファイナリストらが所属しています。

会社名：株式会社リチェルカセキュリティ

所在地：〒101-0061 東京都千代田区神田三崎町3丁目2番14号 GLORKS水道橋5階

設立日：2019年12月4日

代表取締役社長：木村 廉

URL：https://ricsec.co.jp/

Tech Blog：https://ricercasecurity.blogspot.com/

note：https://note.com/ricsec

 本件に関するお問い合わせ先 

株式会社リチェルカセキュリティ

Email：contact@ricsec.co.jp