何が起きたか
Bloomberg は 2026 年 4 月 21 日、Anthropic の Claude Mythos Preview モデルに無許可ユーザーの小規模グループがアクセスしたと報道した。同モデルは同社によって公開リリースには危険すぎると説明されており、Mercor breach からの情報漏洩とサードパーティ契約評価者からのインサイダーアクセスを使用してモデルのオンライン上の場所を推測することでアクセスを獲得した。このグループはモデルの 4 月の発表以来継続的なアクセスを維持してきた。
なぜ重要か
この breach は Anthropic が最も機密性の高いモデルをどのように保護するかにおいて根本的なセキュリティギャップを露呈させており、Mythos が「すべての主要なオペレーティングシステムと Web ブラウザの脆弱性を発見する」という広告能力を持つことを考えると特に懸念される。このインシデントは Anthropic の AI 安全性のポジショニングを損なわせ、ベンダーセキュリティ慣行、サードパーティ請負業者の審査、および限定プレビューモデルの監視に関する重大な質問を提起している。セキュリティ研究者 Lukasz Olejnik は、この失敗を「完全に予想可能」であり、従来のサイバーセキュリティでは日常的であると表現した。
必要な対応
機密デプロイメント用に Anthropic を評価している組織は、請負業者アクセス制御、モデル使用ログ、および異常検知機能に関する明確化を要求する必要がある。AI セキュリティチームは、特にインサイダー隣接アクターからの無許可アクセスパターンを検出するのに十分な監視が自社の限定プレビューまたは内部モデルにあるかどうかを評価する必要がある。