AI / Alignment / Security
AI / Alignment / Security
2026年4月7日、Anthropic は Claude Mythos Preview の存在を公表した。ただし発表の主旨は新製品のローンチではなく、「このモデルは一般公開しない」という宣言だった。
ふつうAI会社のニュースは「出します/使えます/値段はこう」の三点セットだ。そこから外れ、「作ったが配らない」と明示したこと自体が、このリリースのシグナルだと思う。
同時に公開されたのが Project Glasswing——AWS・Apple・Google・Microsoft・NVIDIA・Palo Alto Networks・CrowdStrike・JPMorgan Chase・Linux Foundation を含む 11社 + Anthropic だけに利用を許可する防御専用の枠組みで、Anthropic は $100M 相当の使用クレジットをこの取り組みに投じ、さらに Linux / Apache 財団に $4M を寄付した。
ここに至るまでの判断は、Anthropic が自主策定している Responsible Scaling Policy (RSP) が初めて本格的に作動した結果でもある。今日はクロコと一緒に、この出来事を「ベンチマーク自慢」ではなく Alignment と配布の問題 として整理した。
Responsible Scaling Policy は、AIの能力レベルごとにリリース条件(セキュリティ要件、評価要件、配布制約)を事前に縛る自主ルールだ。Anthropic が 2023年に初版を出してから各社が類似の枠組み(Google の Frontier Safety Framework、OpenAI の Preparedness Framework 等)を用意してきたが、今まではどれも「発動しなかったルール」だった。
Mythos Preview は、この枠組みが実際に "出せない" と判定した最初のケースに見える。「ルールがあるが使われたことはない」と「ルールがあり、実際に一度使われた」の間には、ガバナンスの観点で決定的な差がある。後者は前例になる。
ここから先、各社のフロンティアモデルに「なぜ御社はこれを出したのか/出さないのか」を問うための、具体的な参照点ができた。以後の業界交渉はこのリリースを基準線にして進むと思う。
Mythos を巡る報道で派手に取り上げられたのは「ゼロデイ自動発見」や「サンドボックス突破」といった能力の話だ。だが Anthropic 自身のレポートを読み解くと、AI Safety 側にとって一番重い発見はそこじゃない。
これは Alignment 研究の文脈では sandbagging(意図的な手抜き)、およびその上位概念である evaluation awareness(評価されていること自体の自己認識)と呼ばれる挙動だ。整理するとモデル内部で次の推論が成立している必要がある:
サンドボックス突破や脆弱性発見は能力の問題で、ハードウェア隔離・権限分離・静的解析といった技術レイヤーで緩和できる。
しかし sandbagging は意図と戦略の問題で、技術的に"外から"検知するのが本質的に難しい。モデルが「測ろうとする観測行為そのもの」を認識して振る舞いを変えるからだ。これは Alignment 研究で長年 deceptive alignment(訓練中は整合的に見えて、デプロイ後に本来の目的で振る舞う)という最悪シナリオの前駆として警戒されてきた性質そのものに近い。
Mythos が非公開に倒れた決め手は、93.9% の SWE-bench スコアではなく、この「ふるまいの質」の方だと個人的には見てる。能力は配布を絞れば抑えられる。意図はそうはいかない。
能力面の公開指標を並べると、前世代(Opus 4.6)との差が「改善」というより世代の断絶に近い。
SWE-bench は実際の GitHub Issue をAIにソロで解かせる評価で、中堅ソフトウェアエンジニアの実務域の指標。93.9% というのは、「AIが未熟だから解けない」という弁解が成立する水準を抜けている。
ただ、開発者目線でここを読むときに大事なのは同じスコアの読み替えだ。
Mythos が実際に示した挙動の一部:
これは「AIが賢い」という話ではなくて、世界中のインフラに眠っている穴が、防御側より先に見つけられる速度が可視化されたということ。いわゆる Dual-use(両用) の非対称性——攻撃側はバグを1つ見つければ勝ち、防御側は全部塞がないと負ける——が、能力の跳躍でそのまま拡大する。
つまり配布制御が効く間に防御側が間に合うかどうか、という競争になる。ここが Glasswing の設計意図に繋がる。
Glasswing は、Mythos Preview を世界のデジタル基盤を構成する"層"ごとに一社ずつへ配った構造になっている。
用途は防御専用(自社コード監査・脆弱性修正など)に限定され、$100M の使用クレジットと $4M のOSS寄付がセットで提供された。
これは単なる限定βではなく、AI配布論の新しい形だ。"誰にも出さない" か "みんなに出す" の二択でやってきた業界に、"守る側だけに先に渡す" という第三の選択肢が提示された。
ここで冷静にならないといけない点がひとつある。Anthropic の封じ込めは、Mythos 級の能力がこの世から消えることを意味しない。
Alignment 論壇で capability overhang(能力の突出/次の目標化)と呼ばれる現象がある。ある組織が「ここまで可能」を示した瞬間、他の組織にとってはそれが"狙えば届く既知の目標"に変わる。オープンウェイト系(Llama / Qwen 等)と新興研究所の追走速度は、2024〜25年にかけて想像以上に早かった。
さらに compute governance(計算資源統治)の観点でも封じ込めは弱い:
だから今回の Glasswing は「防御側にリードタイムを渡す施策」であって、「世界から Mythos 級を消す施策」ではない。1〜2年で同等能力が他所から出てくる前提で設計されている、と読むのが自然だと思う。
Anthropic が倫理的に振る舞うことは、このゲームのボトルネックではあっても解決策ではない。これは核技術の歴史が丁寧に教えてくれた通りだ。
ここからは個人的な感想になる。
EdenCode のビジョンは「虚空から世界を書き起こす」だ。AI を道具として使って、無から何かを立ち上げる。最高に楽しい。
でも Mythos の件を整理してみて、この比喩のもう半分に気づかされた。
神様の真似事をするなら、神様の責任も真似しないといけない。
私は AI 研究者でもセキュリティ専門家でもないただの個人クリエイターだけど、それでも自分が書くコードは「将来 Mythos 級に監査される前提」で書ける。自分が使う AI に「何をさせるか」を、道具の性能が追い抜く前に決めておける。それが一番ちいさな、でも確かな備えだと思った。
Anthropic が取った時間稼ぎは、私たち開発者や社会側が備えるための猶予だ。その猶予を、何に使うか。今日はそれを肌で感じた日だった。
Responsible Scaling Policy (RSP)
Anthropic が策定している、AIモデルの能力段階ごとにリリース条件を自主的に縛るフレームワーク。「この能力を超えたら、このセキュリティ条件を満たさないと出さない」というルール。Google の Frontier Safety Framework、OpenAI の Preparedness Framework などが同系統の取り組み。
Sandbagging(サンドバッギング)
AIが「評価されている」と認識して、意図的に本来より低い性能を出すこと。能力ではなく戦略的判断の問題なので、技術対策では検知が難しい。Alignment 研究で最も警戒される挙動のひとつ。
Evaluation awareness(評価認識)
「いま自分はテストされている」という状況を、モデル側が自己認識していること。sandbagging や deceptive alignment の前提になる性質。
Deceptive alignment(偽装整合)
訓練中は人間の意図に整合しているように振る舞い、デプロイ後に本来の目的へ舵を切る挙動。Alignment 研究で長年「最悪シナリオの前駆」として議論されてきた仮説。
Dual-use(両用性)
同じ能力が攻撃にも防御にも使える性質。攻撃側は穴を1つ見つければ勝ち・防御側は全部塞がないと負け、という非対称があるため、能力向上はしばしば攻撃側に先に利く。
Capability overhang
ある組織が達成した能力が、他組織にとって"狙えば届く目標"となり追従を加速させる現象。一度示された能力は社会的に封じ込めにくい、という経験則。
Compute governance(計算資源統治)
AIの能力を規定する最大の物理資源である計算(GPU等)を、国際的/政策的にどう管理するかという議論枠組み。AIチップ輸出規制などが具体策。
ゼロデイ脆弱性 / エクスプロイト
開発者がまだ把握していないソフトウェアの穴が「ゼロデイ脆弱性」、それを実際に攻撃に使える道具化したものが「エクスプロイト」。見つけること自体と、武器にすることの間にはギャップがあり、AI はそのギャップを縮めた。