2026年6月、Anthropic(Claudeを開発する米国のAI企業)が新しい最上位モデルを発表しました。特徴的だったのは、その出し方です。中身が同じ一つのモデルを、「Fable 5(フェイブル5)」という公開版と、「Mythos 5(ミトス5)」というサイバー防御の専門家だけに渡す版の、二つに分けて提供したのです。違いは性能ではなく、かけている「安全装置」の強さだけ——という珍しい設計でした。
本記事は、経営層と情シス(社内の情報システム担当)の方に向けて、何が起きたのか・なぜそうしたのか・自社は何を備えるべきかを順に整理します。「最強AIは攻撃にも使える」という不安だけが先行しがちなテーマですが、ここでは一次情報(Anthropicの公式発表)を軸に、断定を避けながら実務に落とし込みます。これは、同社が「最強モデル本体は公開しない」と予告した前回の方針が、実際にどう着地したかを追う続報でもあります。
結論——同じ「頭脳」を、防御者だけが“制限なし”で使える
まず全体像を3点に絞ります。細部はこのあと一つずつ根拠とともに見ていきます。
- Fable 5 と Mythos 5 は中身が同じモデル。性能で分けたのではなく、サイバー攻撃や生物・化学兵器に悪用されうる領域に「安全装置(セーフガード)」をかけたものが公開版の Fable 5、その装置を一部外したものが Mythos 5。
- Mythos 5 は誰でも使えるわけではない。審査を通ったサイバー防御の専門家や、電力・通信などの重要インフラ事業者にだけ渡される。Anthropicはこれを「世界で最も強いサイバーセキュリティ能力を持つモデル」と表現している。
- 企業が今すぐ使えるのは公開版の Fable 5。ただし全トラフィックの30日間保存が必須になるなど、これまでと違う運用条件がつく。攻撃側も遠からず同等の力を持つ前提で、守りを設計し直す必要がある。
何が起きたのか——「双子のモデル」を安全装置で振り分けた
Anthropicは2026年6月9日、Claude Fable 5 を「これまでで最も高性能なモデル」として公開しました。同時に発表された Mythos 5 は、Fable 5 とまったく同じ土台のモデルです。両者を分けているのは能力の差ではなく、入力された指示を検査して危険な用途をブロックする「分類器(クラシファイア)」という仕組みの有無だけ、という点が今回の核心です。
公開版の Fable 5 では、サイバー攻撃・生物・化学・モデルの不正コピー(蒸留=他社が中身を盗んで模倣する行為)といった高リスク領域の要求が来ると、AIが回答を止めて、より制限の強い従来モデル「Claude Opus 4.8」に処理を切り替えます。Anthropicの説明では、利用の大半はこの切り替えなしに Fable 5 本体で完結するとされています。一方の Mythos 5 は、サイバー領域の安全装置を外し、本来の力をそのまま防御業務に使えるようにしたものです。
| 項目 | Fable 5(公開版) | Mythos 5(防御者限定) |
|---|---|---|
| 土台のモデル | 同一 | 同一 |
| サイバー領域の安全装置 | あり(危険な要求はOpus 4.8に切替) | 一部外している |
| 使える人 | 一般の企業・個人 | 審査を通った防御専門家・重要インフラ事業者 |
| 主な想定用途 | 業務の文章・分析・開発支援など | 脆弱性発見・防御強化などのセキュリティ業務 |
| 提供経路 | Claude各プラン/クラウド経由 | Project Glasswing(後述)など限定枠 |
なぜ「最強モデル」を一般公開しないのか——AIサイバー能力の両刃性
理由はシンプルで、脆弱性を見つける力は、守りにも攻めにも等しく使えるからです。Anthropicは Mythos 5 が「エージェント型ハッキング」、つまり人手を介さずにAIが自分で偵察・侵入経路の探索・横展開(社内ネットワークを次々と渡り歩くこと)・攻撃の実行までこなせる、と説明しています。これは防御側にとっては強力な味方ですが、同じ能力が攻撃者の手に渡れば脅威になります。
「攻撃に使える力」は、安全装置の外し方ひとつで表裏一体
今回の二分割が示すのは、最新AIの能力そのものは中立で、危険を分けるのは「誰に・どこまで制限を外して渡すか」という運用設計だという事実です。Anthropicは公開前に1,000時間を超える外部からの攻撃テスト(バグ報奨金プログラム)を実施し、あらゆる場面で安全装置を回避できる「万能の抜け道」は見つからなかったとしています。それでも装置を意図的に強めに設定したと明言しており、リスクの大きさを自ら認めた格好です。
そもそも、性能を落とさずに「安全装置の有無」だけで配り分けるという今回のやり方自体が珍しいものです。これまでのAI提供は、危険を避けるために能力そのものを削った廉価版を一般に出す形が一般的でした。今回はその逆で、最高性能を保ったまま、悪用されうる用途にだけ蓋をして公開し、蓋を外した版は信頼できる相手に限定する。能力を犠牲にせず安全を確保しようとする、新しいガバナンス(統治・管理)の実験とも言えます。この設計が普及すれば、今後のAI提供は「誰に・どこまで開放するか」という審査と運用が、性能以上に重要な競争軸になっていく可能性があります。
この「攻撃より先に守りに使う」という発想は、Anthropicが先行して進めてきた防御プログラムと地続きです。AIを使った防御側の取り組みについては、Project Glasswing の解説記事で背景を詳しく扱っています。
AIはどれくらい脆弱性を見つけられるのか——前身モデルが示した実力
「最強のサイバー能力」と言われても実感が湧きにくいので、前身となる試験版(Mythos Preview)が示した実績を見ておきます。Anthropicによれば、このモデルは利用者の指示を受けて、主要なOS(基本ソフト)と主要なWebブラウザのすべてで、未知の脆弱性(ゼロデイ=まだ修正されていない欠陥)を実際に発見・悪用してみせたとされています。中でも最も古い例は、OpenBSDというシステムに27年間も潜んでいた欠陥でした。
27年という年月は、その欠陥が四半世紀以上にわたって人間の目をすり抜けてきたことを意味します。AIはこうした「見つけにくいから放置されてきた」欠陥を、人手とは桁違いの速さで掘り起こせます。防御側がこれを使えば、攻撃者に先回りして自社のシステムを点検できますが、裏を返せば、同じ力が攻撃に転用されたときの危険も大きい——という今回の慎重な提供方針の根拠が、ここにあります。
「古い・枯れた技術だから安全」とは限らなくなった
長年使われてきた枯れたソフトウェアは、これまで「実績があり安定している=安全寄り」と見なされがちでした。しかしAIが27年前の欠陥まで掘り起こせる時代には、「古いから安全」という前提は通用しません。自社が長く使い続けているシステムこそ、改めて点検対象に含める発想が要ります。
防御者に渡すと何ができるのか——Project Glasswing
Mythos 5 は当初、米国政府との協働プログラム「Project Glasswing(プロジェクト・グラスウィング)」を通じて、サイバー防御者やインフラ提供者に届けられました。すでに前身の試験版(Mythos Preview)を使っていた防御者は、Mythos 5 へ移行できます。今後は、医薬・生命科学の研究者へも提供範囲を広げる計画とされています。
防御者がこの力を使う狙いは明快です。攻撃者に先回りして自社や重要インフラのソフトウェアに潜む欠陥を洗い出し、塞ぐ。AIが膨大なコードを高速に読み解き、人間では見落としがちな古い脆弱性まで掘り起こせるため、「攻撃される前に直す」スピードが上がります。AIがこれまで安全とされてきた防御策を次々と突破しはじめている状況は、AIに破られやすくなったセキュリティ対策ランキングでも整理しています。
公開版「Fable 5」の実力——業務で何が変わるか
サイバー領域に安全装置をかけているとはいえ、Fable 5 は最新世代の最上位モデルであり、通常業務での能力は据え置きです。Anthropicは、ほぼすべての性能評価で最高水準に達したとしています。読者の業務に近いところでは、次のような実例が公表されています。
- 大規模なコード改修を一気に進める。ある決済企業の事例では、5,000万行規模のソフトウェアの改修で、従来なら数か月かかる作業を数日に圧縮したと報告されている。
- 長い文脈を保ったまま作業を続けられる。会話やタスクが長く続いても、前の経緯を記憶として保持しながら判断できる精度が、従来より大きく向上した。
- 画像を見て理解する力が上がった。画面や図を読み取って判断する用途でも、従来モデルを上回る結果が示されている。
つまり、攻撃用途を封じても、文章作成・分析・開発支援といった日常業務での価値はむしろ高まっています。企業にとっての現実的な向き合い方は、「攻撃にも使える危険なモデル」と身構えることではなく、便利な公開版を安全な運用条件のもとで使いこなしつつ、攻撃側の高度化に備えるという二本立てです。
公開版「Fable 5」を業務で使うとき、気をつける3点
防御者向けの Mythos 5 とは別に、企業が実際に触れるのは公開版の Fable 5 です。便利さの裏で、これまでと運用条件が変わる点が3つあります。
- 全トラフィックの30日間保存が必須になる。Anthropicは Mythos 級モデルでは入出力データを30日間保存することを求めている。これは安全目的(新しい攻撃手口の検知など)に限定し、新モデルの学習には使わない・人間がアクセスした記録も残す、と説明している。ただし「これまでデータを一切残さない契約だった企業」も対象になるため、社内の情報取り扱いルールとの突き合わせが要る。
- 危険な領域では自動的に旧モデルに切り替わる。サイバー・生物・化学・健康などの要求は Claude Opus 4.8 にフォールバック(自動退避)する設計。セキュリティ調査のような正当な業務でも、回答が制限される場面があり得る点は理解しておく。
- 料金は最新世代として高め。100万トークン(おおよそ数十万字相当の処理量)あたり、入力10ドル・出力50ドルで、試験版(Mythos Preview)の半額以下に下がった一方、従来の Opus 4.8 と比べると割高。使いどころを絞らないとコストが膨らむ。
「データの置き場所」をどう設計するかが論点になる
30日保存が前提になることで、機微なデータを扱う企業ほど「どの業務をクラウド型AIに通し、どの業務は通さないか」の線引きが重要になります。社外にデータを出したくない領域がある場合は、社内環境で動かすオンプレミス型AIとの併用も選択肢に入ります。
日本企業はどう備えるか——攻撃側もMythos級になる前提で
Anthropicが最強モデルを防御者に限定しても、AIのサイバー能力が世界的に底上げされていく流れは止まりません。「いずれ攻撃側も同等の力を持つ」と仮定したうえで、守りを先に整えるのが現実的です。今日から着手できることを4点に整理します。
- 脆弱性の棚卸しと修正の高速化。AIが古い欠陥まで掘り起こせる以上、「いつか直す」では遅い。資産(サーバー・端末・外部公開システム)の把握と、修正パッチ適用のサイクルを短くする。
- AIを使うときのデータの線引きを決める。機微情報をクラウド型AIに通してよいか、業務ごとに可否を明文化する。判断基準づくりはAIコーディングエージェントを安全に導入するための社内ルール設計が参考になる。
- 社外に出せないデータはオンプレミス型を検討する。クラウド一択にせず、社内環境で動かす生成AIを併用する判断軸は大企業こそローカルLLMとオンプレミス生成AIを検討すべき理由で詳しく扱っている。
- 「守りにAIを使う」体制を持つ。攻撃の高速化に人手だけで追従するのは難しい。検知・調査の一部をAIに任せる前提で、運用と判断の役割分担を設計しておく。
なお、報道では提供開始直後に米国の輸出管理上の判断で一部の提供が一時停止されるなど、利用条件は流動的です。最新の提供状況は必ず公式発表で確認してください。重要なのは、特定モデルの可否に一喜一憂することではなく、「最新AIが攻守どちらにも効く」という構造を踏まえて自社の守りを設計することです。
AIを「守り」と「業務」に安全に組み込みたい企業へ
はてなベースは、AIエージェントを既存の業務フローへ組み込む設計から、その前提となるデータ統合・整理、社外に出せないデータ向けのオンプレミス型生成AI導入まで支援しています。「全社でAIを使いたいが、セキュリティとデータの扱いが不安」というケースで、線引きの設計からご相談いただけます。