今月上旬、Anthropicは、「Claude Mythos Preview」を発表しました。これは汎用モデルで、これまでにない規模でソフトウェアの脆弱性を発見する能力を持っています。 実際、27年間見逃されていた脆弱性を発見しました。その数日後、MozillaはFirefox 150をリリースし、Mythosが1回の評価で特定した271件の脆弱性に対する修正を適用しました。そして、「防御側が攻撃者よりも先にバグを発見できるようになるため、ゼロデイ時代には終わりがくる」という主張を展開しました。
これは注目すべき主張であり、この瞬間の可能性と圧力の両方を端的に表しています。機械学習、そして現在のLLM(大規模言語モデル)は、長年にわたってソフトウェアの脆弱性発見能力を少しずつ向上させてきました。Mythosはその流れからの断絶ではなく、その傾向の確認です。驚くべきことは、AIが数十年間隠れていたバグを発見したことではありません。そのような能力の変化がいかに早く訪れたか、そして今後数年間の方向性を明確に示している、という点です。
このトレンドは止まらない
このような能力が広く利用できるようになると(オープンモデル、技術の複製、あるいは並行したイノベーションを通して)、セキュリティの攻守両サイドがより速くなります。防御側とベンダーはこれらのツールを使って、前例のない速度で脆弱性を発見してパッチ適用を行うでしょう。攻撃者も同じツールを使って脆弱性を発見して武器化するでしょう。
その結果として生まれるリリースの流れは、今日とはまったく異なるものになります。従来のモデルでは発見に何か月も何年もかかっていた脆弱性に対処するために、より多くのソフトウェアおよびOSのアップデートがより高頻度で届くようになるでしょう。Firefox 150は、その実際の姿を示す先行事例です。
これは、セキュリティの長期的な観点からは朗報です。しかし今日それらのアップデートを取り込まなければならない組織にとっては、差し迫った問題を生み出します。
プレッシャーはITOpsに移る
パッチがより速く届き、攻撃者が脆弱性をより速く武器化するなら、公開から悪用までの猶予期間は縮まります。アップデートの展開に数日から数週間もかかる組織は、これまで以上にリスクにさらされることになります。パッチ適用の速度は衛生管理的指標ではなく、生存のための指標になるのです。
AI駆動の脆弱性発見の議論でしばしば見逃される二次的な問題もあります。それはある意味でより緊急性の高い問題です。防御側が新しいバグの発見に使用する能力が、攻撃者が既存のパッチを悪用ツールに変えるためにも使えるということです。ベンダーが修正を出すと、そのパッチ自体が脆弱性の説明書、つまり読むことのできる者へのロードマップにもなります。Anthropic自身の研究では、Mythosが既知のCVEを人間の介入なしに24時間以内に機能する権限昇格エクスプロイトに変えることが示されています。
これが意味することは、なかなか厄介な現実です。AIが新たなゼロデイ脆弱性の発見を加速する前でさえ、すでにNデイ(開示されパッチが適用されているが、まだアップデートされていないシステムで悪用可能な脆弱性)の時間的猶予を縮めています。MandiantのM-Trends 2026レポートによると、脆弱性が悪用されるまでの平均時間はマイナス7日にまで短縮しており、つまりパッチがリリースされる前に悪用が日常的に行われていることを意味します。AIは両端の差を広げます。ベンダーがパッチを速く出せば出すほど、攻撃者がそのパッチをまだ適用していない全員を標的とした武器として逆解析するのも速くなります。
これはパッチ適用の命題を再定義します。未知の脅威に先手を打つだけでなく、良く知られた脅威に対して最も狙われやすいターゲットにならないことが重要なのです。
しかし、判断を伴わない速度もそれ自体がリスクです。不良パッチの被害を経験したことのある人なら、環境全体に積極的にアップデートを展開することが、攻撃者と同様にビジネスオペレーションを停止させる可能性があることを知っています。答えは届いた瞬間にすべてにパッチを適用することではありません。速く、かつ自信を持ってパッチを当てること ― 自分の環境で何が悪用可能かを把握し、どのパッチが安全に展開できるかを知り、すべての変更に手動レビューを待つことなく行動できる自動化を整えることです。
実際にはどういうことか
これこそが、NinjaOneがAI駆動の脆弱性管理とパッチ管理に取り組む意義です。「速さと安全性」の問題に直接対処する3つの機能があります。
- 正確なソフトウェアインベントリーが基盤です。AIがエンドポイントのテレメトリを分析して製品・バージョン・依存関係を識別し、不統一な名称を正規化することで、同一アプリケーションがどこに存在しても認識されます。これなしでは、脆弱性マッチングは推測に頼ることになります。
- リアルタイムの脆弱性特定は、そのインベントリの上に構築されます。新たなCVEが公開されるたびに、AIが継続的にそれをライブのエンドポイントデータと照合し、次の定期スキャンを待つのではなく数分以内に影響を受けるアセットを浮かび上がらせます。
- パッチインテリジェンスAIがループを完成させます。すべてのパッチがすぐに展開できるわけではなく、すべての脆弱性が同等のリスクを持つわけでもありません。ベンダーの情報、コミュニティからのフィードバック、実際の展開データを用いてパッチの品質と展開リスクを評価することで、ITチームは重要なパッチに迅速に対応し、運用に支障をきたす可能性のあるパッチについては回避することができます。
これらの機能を組み合わせることで、チームは脆弱性の公開から修復までの期間を、手探りでの対応を防ぎながら短縮することができます。
認識から実行へ
脆弱性管理とパッチ管理は、常に隣接する分野として扱われてきました。しかし、Mythosが示す世界では、これらが単一の閉じたループとして機能しなければなりません。何が露出しているかのリアルタイムな可視性と、脅威のスピードに合わせて動く自律的かつリスクを考慮したパッチ適用をうまく組み合わせたものです。
この状況をうまく切り抜ける組織は、最も多くのスキャナーを持つわけでも、最長のパッチ積み残しを抱える企業でもありません。攻撃者よりも速く認識から実行に移れる組織、自律的に行動できるほどツールを信頼しながら、安全に行動できるほど十分なインテリジェンスを持つ組織です。
今後数年は様相が変わるでしょう。パッチの量は増加し、展開の時間的猶予は縮まり、攻守どちらの側にとっても、ミスを犯したときのリスクが高まります。ベンダーのリリースノートにあるパッチは、自身の環境に安全に展開されるまでは何の役にも立ちません。
Mythosとそれに続くモデルは、サイバー脅威の速度と深刻さを変えていくでしょう。それは明らかです。一歩先を行く組織は、最も多くのスキャナーや最も大きなセキュリティチームを持つところではありません。ビジネスの安定性を犠牲にすることなく、脅威の速度に合わせてITオペレーションを動かせる組織です。
