Anthropicが開発を進めている未公開AIモデル「Mythos(旧称:Claude Mythos Preview)」が、世界で最も堅牢とされるオペレーティングシステムの1つ、AppleのmacOSに潜む未知の脆弱性を発見した。Palo Altoに拠点を置くサイバーセキュリティ企業Califの研究チームは、2026年4月に実施されたテスト環境下においてMythosの技術を応用し、2件の未知のバグを特定した。
これらのバグを連鎖させることで、攻撃者は権限昇格(Privilege Escalation)を実行し、通常はアクセスが許可されないシステム深部への侵入が可能になる。Wall Street Journalの報道によれば、このエクスプロイトが他の攻撃手法と組み合わされた場合、標的となったMacの完全な制御権を奪取される危険性がある。
Mythosは、ソフトウェアの脆弱性を発見する能力が極めて高く、悪用された場合のリスクが計り知れないため、Anthropicのエンジニアによって意図的に一般公開が見送られている。現在、同社は「Project Glasswing」と呼ばれるイニシアチブのもと、Apple、Google、Microsoftを含む約40の特定組織に対してのみ、防御目的でのセキュリティ研究用途としてMythosへのアクセスを許可している。この取り組みには、最大1億ドル規模の利用クレジットが提供されており、AIを用いたサイバー防御の高度化に向けた業界全体の協調姿勢が見て取れる。
Anthropicは、モデルが自律的にゼロデイ脆弱性を発見・兵器化するリスクを軽減するため、AIの出力に対する厳格なセーフガードを実装している。Project Glasswingの枠組み内では、参加企業が互いの製品の脆弱性を探し合い、発見されたバグは非公開のままベンダーに通知されるという責任ある開示(Responsible Disclosure)プロセスが徹底されている。しかし、この限られたアクセス権限を持つコンソーシアム内でさえ、Mythosは次々と致命的なバグを特定し続けており、国家支援型ハッカーや高度なサイバー犯罪組織が同等のモデルを独自開発した場合の破壊力は想像に難くない。
Appleの最新保護技術「Memory Integrity Enforcement」の壁を越える
今回の発見で特筆すべきは、対象となったシステムが最新のApple M5プロセッサを搭載し、かつ「Memory Integrity Enforcement(MIE)」が有効化された環境であった点である。MIEは、ARMのMemory Tagging Extension(MTE)技術を基盤としたハードウェアベースの保護機能であり、メモリ破壊エクスプロイトの実行難易度を劇的に引き上げる目的で導入された。従来、ソフトウェア上のポインタが不正なメモリ領域を参照するバグは、攻撃者が任意のコードを実行するための入り口として頻繁に悪用されてきた。
メモリ破壊バグは、最新のオペレーティングシステムに対する深刻な攻撃の起点となることが多い。攻撃者は保護されたメモリ領域へのアクセスや不正なコードの実行を試みるため、Appleは長年にわたりApple Siliconシステムのハードウェアおよびソフトウェア両面から防御策を構築してきた。MIEは、メモリの割り当て時に特殊な「タグ」を付与し、ポインタのタグと実際のメモリ領域のタグが一致しないアクセスをハードウェアレベルで即座に遮断する。これにより、バッファオーバーフローやUse-After-Freeといった古典的かつ致命的なエクスプロイトの信頼性を著しく低下させるよう設計されていた。
ARMアーキテクチャが提供するMTEは、メモリの各チャンクに4ビットのメタデータを割り当てることで、ポインタとメモリ領域の一致をハードウェア上で高速に検証する。GoogleもAndroidデバイスにおけるセキュリティ強化の切り札としてMTEの導入を推進しており、モバイルおよびデスクトップのエコシステム全体がこの技術に依存しつつある。Califによる今回の突破劇は、Appleだけの問題にとどまらず、MTEに過剰に依存することの危険性を業界全体に警告するものとなった。
Califの研究チームは、MIEによる厳格なタグ付けと保護が機能しているベアメタル環境のM5ハードウェアにおいて、カーネル権限でのローカル権限昇格チェーンを完成させた。これは、Appleの新たなMIEハードウェア保護に対する公開された初のmacOSカーネルメモリ破壊エクスプロイトとなる。標準的なシステムコールや複数のエクスプロイト手法を駆使し、一般ユーザー権限からルートシェルへの昇格を果たすこの攻撃ベクトルは、ハードウェアの保護機能すら出し抜くという点で、macOSがこれまで直面したことのない高度な構造を持っている。
AIと人間の専門知識が融合した「ハイブリッド・ハッキング」
この事象を分析する上で重要なのは、Mythosが単独でこの複雑なエクスプロイトチェーンを完成させたわけではないという事実である。CalifのCEOであるThai Dong氏が「Mythos単独では実行不可能であり、Califのハッカーたちの非常に人間的なサイバーセキュリティの専門知識を活用した」と述べているように、これは完全な自律型攻撃ではない。
Mythosは既知のバグクラスの特定や、研究プロセスの特定部分の加速において能力を発揮した。しかし、2つの独立した脆弱性を結びつけ、MIEの保護を迂回する精密なエクスプロイトコードとして成立させるには、トップレベルのセキュリティ研究者による高度な推論と試行錯誤が不可欠であった。研究チームは4月下旬にバグを発見してから、約5日間でエクスプロイトチェーンを開発したとされる。
サイバー攻撃におけるAIの役割は、もはや単調なコード生成や脆弱性スキャンに留まらない。今回の事例は、AIが人間の専門家を補佐する「高度な分析アシスタント」として実稼働し始めた事実を証明している。同時に、遠隔から自動的に増殖するワームのような脅威とは異なり、現段階では攻撃側にも相当の技術的リソースが要求されることを意味する。AIが見つけた複雑な糸口を、人間のハッカーが論理的に組み立てていくハイブリッドな攻撃手法は、今後のサイバー脅威の主流となる可能性が高い。
AI主導の脆弱性発見が突きつける今後の課題
Califの研究チームは、調査結果をまとめた55ページのテクニカルレポートをAppleのCupertino本社に直接持ち込み、詳細な報告を行った。Appleの広報担当者は「セキュリティは我々の最優先事項であり、潜在的な脆弱性の報告を非常に深刻に受け止めている」とコメントしており、現在、報告内容の検証とパッチの開発が進められているとみられる。
詳細な技術情報は、Appleによる修正プログラムが提供されるまで公開されない。Dong氏は問題が「比較的早期に修正されるだろう」との見方を示しているが、今回の事例はテクノロジー業界全体に重要な問いを投げかけている。
AIモデルが未知の脆弱性を発見する能力は、防衛側にとって強力な武器となる一方で、攻撃者の手に渡れば壊滅的な被害をもたらす両刃の剣である。MythosはmacOSの事例に先立ち、OpenBSDに27年間潜伏していたバグや、Linuxにおけるマシン乗っ取りの脆弱性も特定している。
Project Glasswingのようなクローズドな環境での防御的利用は、現状における最適解の一つと言える。しかし、オープンソースのAIモデルが進化を続ける中で、将来的に同等レベルの脆弱性発見能力を持つモデルが広く流通する可能性は否定できない。MIEのような静的、あるいはハードウェアベースの防御壁が突破された現在、セキュリティ業界はパッチ適用型の防御から、AIを活用したリアルタイムのメモリ監視や、システムコールの異常挙動を動的に遮断するインテリジェントなサンドボックス技術の導入など、より自律的かつ適応力の高い防御アプローチへの転換を迫られている。ハードウェアとソフトウェアの境界を超えた新たな設計思想への移行は、もはや待ったなしの状況である。
