何が起きたか
2026年6月8日、Anthropicのレッドチームは「Measuring LLMs' impact on N-day exploits」をred.anthropic.comで発表し、Claude Mythos Previewを既知(ただし最近開示された)Mozilla FirefoxおよびMicrosoft Windowsカーネルの脆弱性に対して評価した。21個のWindowsカーネルバグ全体で、Mythosは18件で「blue screen of death」を引き起こし、8つの異なるエクスプロイトを生成した。最速のエクスプロイトは31分以内に完成し、最遅のものは5.7時間を要した。WindowsのEOP(特権昇格)エクスプロイトあたりのコスト:APIクレジットで約$2,000。研究者はモデルのナレッジカットオフ後に開示されたバグのみを評価し、メモ化からAIの向上を分離した。
なぜ重要か
これはエンタープライズグレードの脆弱性に対するN-Dayエクスプロイト開発タイムラインの崩壊を定量化した初のTier-2実証研究である。以前、セキュリティチームはパッチリリース後の攻撃者の滞在時間を数週間と想定していた。Mythosのデータは、高度なモデルアクセスを持つ熟練した攻撃者が開示された欠陥を数時間以内に兵器化できることを示唆している。この知見はオープンソースモデルにも同等に適用され、論文はそれらが同様の機能レベルに到達していることを指摘している。パッチサイクルが週単位以上で実行される組織は、現在、公開CVE開示の時点から運用上露出している。
適用範囲
クリティカルまたは高度なCVEのパッチギャップが24~48時間以上の組織は、SLAターゲットを直ちに再検討すべきである。脆弱性管理チームはCISA KEVおよびEPSSスコアアイテムを年齢ベースのキューより優先すべきである。CISOは「パッチウィンドウ」≠「安全なウィンドウ」という新しい脅威モデルについてボードに説明すべきである。