私たちの知る限り、欧州連合のいかなる機関も現時点でProject Glasswingを通じてサイバーセキュリティで最も進んだAIモデルへの運用アクセスを持っていませんが、イングランド銀行、連邦準備制度理事会、米国財務省はブリーフィングを受けています。Anthropicは2026年4月7日にClaude Mythos Previewを発表し、これはサイバーセキュリティの理由で明示的に保持された最初のフロンティアモデルであり、公開されていません。このモデルは自律的にゼロデイ脆弱性を発見し、活用します。ベンチマークExploitBench(カーネギーメロン/バグクラウド、2026年5月)では、41のCVEのうち21で任意コード実行を達成しましたが、他の公開モデルは1つも成功しませんでした。アクセスは約40の組織からなるProject Glasswingに制限され、アメリカの12人の創設者—AWS、Apple、Cisco、CrowdStrike、Google、JPMorgan Chase、Microsoft、NVIDIA、Palo Alto Networks、Broadcom、Linux Foundation、Anthropic—が主導しています。欧州のいかなる機関も同日にはアクセスできず、欧州中央銀行はリスクへの意識を高めるためにユーロ圏の銀行を招集するにとどまり、同等のブリーフィングは行われていません。Les Echosが2026年5月27日に報告したように、Sia Partnersの独占的な調査は、モデルの悪意ある拡散シナリオで100対1の攻撃優位性を示唆しています。この論文で詳細に説明されています。
測定可能だが高価な技術的特異性
Mythosの能力格差は、まず独立したベンチマークで読み取れます。ExploitBenchでは、テストの完全な実行が約36,428ドル、GPT-5.5 via Codexでは3,075ドルで、約12倍の比率です。この高額なコストは、Mythosを機会主義的なアクターの手の届かないところに置きますが、能力の格差は依然として記録されています。公開されている8つのモデルの中で、GPT-5.5だけがセキュリティサンドボックスを突破し、1つのWebAssemblyバグでの制御フローの乗っ取りを達成しました。イギリスのAI Security Instituteによると、公式のred-teamingは継続的な加速を観察しています。2025年11月にはサイバー能力が8ヶ月ごとに倍増すると評価されていましたが、2026年2月には4.7ヶ月に修正され、MythosとGPT-5.5はこの加速された軌道を上回っています。MythosはAISIの2つのサイバー範囲を最初に完了したモデルであり、企業ネットワーク上での32ステップ攻撃シミュレーションで10回中6回成功し、人間の専門家が約20時間かけて解決するのに対し、工業用「Cooling Tower」シミュレーションで10回中3回成功しました。これらの数字に加えて、Anthropicは主要なオペレーティングシステムとブラウザで数千のゼロデイを自律的に発見し、99%以上が公開時に未修正であるとしています。これらは244ページのシステムカードに内部的に記録されていますが、その正確な範囲は欧州の第三者によって監査可能ではありません。
既に狭いギャップ:オープンウェイトがギャップの大部分を埋める
Mythosの特異性は、その戦略的な影響を相対化する並行する動きを覆い隠しています。2026年5月に発表されたarXivの論文によれば、Qwen3.6-27Bは単一のA100カードで33%の自動自己複製成功率を達成し、現行世代のGPT-5.4と同等であり、前世代のフロンティアではOpus 4が6%、GPT-5が0%にとどまっていました。このモデルは1〜2ドルの時間単価でクラウドプロバイダを通じてA100で動作し、RTX 5090時代の40億パラメータ閾値内に収まります—つまり一般消費者向けハードウェアの範囲内です。CISOの側でも確認されています。スイスのInfoGuardによるAISLEの専門組織の研究を引用した分析によると、テストされた8つのオープンウェイトモデルは、Mythosの優位性を証明するために提示されたFreeBSDのエクスプロイトを再現しています。そのうちの1つは約3.6億パラメータで、トークン百万あたり約0.11ドルです。能力ギャップの残りは、要求の厳しい実際のCVEでの任意コード実行に集中しています。これはSia Partnersが提案し、Les Echosによって明らかにされた100対1の優位性が構築される差異です。この数字は、Mythosが「悪意ある手に渡された」場合のシナリオに基づいており、防御がほぼ存在しないとされています。イギリスのAISI自体も「世界最悪のゴールキーパーに直面する攻撃者」として描写しています(自由訳)。Sia Partnersは、この同じ結論に基づく9つの運用軸に基づいたCISO/CIOプレイブックも商業化しており、その利害関係はLes Echosの記事で言及されていません。
Glasswing: アメリカの領域、非対称の警告
すでに名を挙げた12の創設者に加え、InfoGuardによれば、JPMorgan Chase、Goldman Sachs、一部のクラウドおよびOSプロバイダなど選ばれた企業が防御的な利用のために連合に参加しています。その他の経済はアクセスできません。警告のシーケンスはこの範囲を反映しています。Anthropicは連邦準備制度理事会、米国財務省、サイバーセキュリティおよびインフラストラクチャセキュリティ庁、イングランド銀行をブリーフィングし、財務長官Scott BessentとFed議長Jerome Powellは、主要銀行のCEOと緊急会議を開き、モデルの特定の脅威を指摘しました。ユーロ圏側では、欧州中央銀行がリスクへの意識を高めるためにユーロ圏の銀行を招集しましたが、Anthropicがイングランド銀行に提供したものと同等のブリーフィングは行われていません。2026年4月28日の記者会見で、委員会のスポークスマンThomas Regnierは、欧州の機関がProject Glasswingにアクセスしていないことを確認し、「サイバーセキュリティの懸念がまだ対処されている」と述べ、企業が「誠意を持って対話している」と述べましたが、具体的なスケジュールには言及しませんでした。2026年5月29日現在、ANSSIもENISAもMythosに関する公式見解やアクセス解除のための評価手続きについての発表を行っていません。この沈黙は、アメリカとイギリスの制度的な動員と対照的です。
「100対1」は2つの累積条件に依存しています
Sia Partnersによって計算された非対称性は条件付きです。それは、悪意あるアクターがMythosへのアクセスを得ることを前提としており(現在はProject Glasswing下の約40組織に限定されています)、防御がほとんど存在しないことを想定しています。イギリスのAISIは、73%の成功率で専門的なハッキングタスクを完了したと報告していますが、Mythosが「ほとんど存在しない防御に対して評価された」と明確にしています—評価者の一人は「世界最悪のゴールキーパーに直面する攻撃者」と話しています(自由訳)。適切に強化された生産環境では、状況は異なります。さらに、Sia Partnersはこの同じ結論に基づくCISO/CIOプレイブックを商業化しており、これが批判的な読み物として保持するべき直接的な利害関係を構成しています。
制度の分裂:プレデプロイメント対法的義務
Mythosへのアクセスのギャップは、フロンティアモデルの管理の文法に見られるより深い制度的分裂を拡大させています。イギリスのAI Security Instituteはデプロイメント前のred-teamingを実施しており、約250人の人員とAnthropic、Google DeepMind、OpenAIとの公式パートナーシップを持ち、広範な配布前にモデルのスナップショットを直接評価しています。技術ディレクターのJade Leungは、2026年4月22日のResultSenseで「テストしたすべてのシステムで脆弱性を見つけた」と述べています(自由訳)。欧州連合はスペクトルのもう一方の端に立ちます。同じソースによれば、彼らは「開発者に対する法的義務を優先し、内部的なred-teaming能力を持たなかった」(自由訳)と述べています。AI ActとDORAを通じて、金融セクターのために。フランスは、2025年にINESIAの立ち上げで評価的主権の最初のマイルストーンを設定しましたが、AISIの範囲と比較できるものではありません。この不均衡が、全ての党派からの欧州議会議員を、委員会の副会長Henna Virkkunenに手紙を書かせ、Project Glasswingへの欧州の参加とゼロトラストアーキテクチャの加速を求めさせました。この手紙は2026年4月27日付けで、欧州の法的枠組みの反対として運用インフラの要件を提示しています—これはセクターリソースの基盤に直面している要件です。ENISAによれば、2024年のEU内のサイバーセキュリティ専門家の不足は299,000ポジションで、2023年比で9%増加しており、NIS枠内の中央値のサイバーセキュリティ予算は150万ユーロです—つまり、この予算とカーネギーメロン/バグクラウドによって公開されたMythosのExploitBench実行コストから計算した約40回のExploitBench実行に相当します。