CISAが強力な新しいサイバーAIツールを入手したと報じられる
Cybersecurity and Infrastructure Security Agencyは現在、AnthropicのMythos Previewモデルへの完全なアクセスを得ていると、Defense Oneが米当局者と事情に詳しい別の人物の話として報じた。アクセスは、2026年6月17日に記事が公開される約1週間前に付与されたとされており、米政府の中核的なサイバー防衛機関の一つが、日常業務で高度なAIシステムをどのように使えるかに大きな変化をもたらしている。
この動きが重要なのは、Mythos Previewが通常の企業向けAIモデルのようには扱われていないからだ。AnthropicはこれをProject Glasswingと呼ばれる非公開プログラムを通じて選択的に提供しており、配布先は審査済みの組織に限定されている。報道によると、その理由は、誤った相手に広く渡れば、このモデルが攻撃的なハッキング能力を大幅に高める可能性があるためだ。
言い換えれば、防御側が弱点をより早く見つけるのを助けるのと同じ種類のシステムが、攻撃側にも同じことをさせ得るということだ。この二重用途の性質により、アクセス、監督、導入ポリシーはモデルの技術性能と同じくらい重要になっている。
明確な方針の前にアクセスが到来
報道で最も重要な点は、CISAがこのモデルを手にしたこと自体ではなく、同庁がまだホワイトハウスの国家サイバー担当補佐官室から、どのように使うべきかについて明確な指針を受け取っていないとされることかもしれない。Defense Oneが引用した当局者によれば、ONCDはまだ導入の厳密なパラメータを定めていない。
この指示不足は、連邦の技術・サイバーセキュリティ体制全体に広がる不満を反映しているように見える。Defense Oneは、以前のNextgov/FCWの報道で、連邦の技術リーダーたちが、脆弱性スキャンにこのモデルをどう実装・利用するかについてONCDの説明が不十分だと非公式に不満を漏らしていたと伝えた。もしその説明が正確なら、現在の状況は単なる導入遅延ではない。より深いガバナンスの問題を示している。すなわち、各機関が極めて機微なAI能力へのアクセスを、それを管理するために必要な政策枠組みよりも速く受け取っている可能性があるということだ。
CISAにとって、それは難しい立場を意味する。同庁の任務は、連邦の民間ネットワークと重要インフラの保護を支援することに依存している。ソフトウェアやネットワークの脆弱性を特定するよう最適化されたモデルは、その役割で非常に価値があるかもしれない。しかし、明確な運用ルール、ガードレール、承認されたユースケースがなければ、変革的になり得るツールでさえ責任ある展開が難しくなる。
Mythos Previewが注目される理由
この報道は、Mythos PreviewをAnthropicの別の後継モデルであるMythos 5と区別している。この区別が重要なのは、米政府が先週末、輸出管理の仕組みを通じてMythos 5と、Anthropicの別のモデルFable 5の輸出を阻止したと報じられているからだ。Defense Oneによれば、この措置はサイバーとAIのコミュニティで大きな反発を招いた。
一方で、Mythos Previewは引き続き厳格に管理されたProject Glasswingの取り組みの一部だ。Defense Oneは、Mythos 5とMythos Previewの両方が、このプログラムを通じて審査済みの提供先にのみ公開されていると報じている。これは、米当局とAI開発者の双方が、これらのシステムを異例なほど機微なものと見なしていることを示唆している。特に、悪用可能な脆弱性の自動発見が即座に運用上の影響を及ぼし得るサイバーセキュリティの文脈ではなおさらだ。
この機微さは、なぜアクセス自体がニュースになるのかを説明する。多くの技術導入では、重要なのはその機関がツールを欲しているかどうかだ。ここでより差し迫った問題は、誰が最初にアクセスを得るのか、どの条件下で得るのか、そしてどのような監督の下に置かれるのかという点だ。
政策の背景は急速に変化している
Defense Oneの報道は、CISAのアクセスをトランプ政権のAIへの対応の広い変化の中に位置づけている。ここ数か月、当局者らは、コンピュータネットワーク全体の脆弱性を迅速に特定できる新しい種類のモデルに向き合ってきたとされる。その結果、AIは一般的な近代化の話題から、国家のサイバーセキュリティ政策の問題へと変わった。
Mythosのようなモデルは、ますます加速装置として位置づけられている。防御側にとっては、弱点の特定、リスクの優先順位付け、人間の分析官を最も緊急の問題へ導くのに必要な時間を短縮できるかもしれない。攻撃側にとっては、同じ能力が偵察コストを下げ、侵害計画を早める可能性がある。だからこそ、この議論はもはや生産性、自動化、モデルのベンチマークだけの話ではない。攻撃と防御の運用上の均衡の話なのだ。
CISAの参加が特に注目されるのは、同庁がMythosの初回展開から外れていたと報じられていたからだ。Axiosは4月にCISAが最初の配布対象に含まれていなかったと報じ、後にNextgov/FCWはアクセスが間もなく可能になると伝えた。今回の報道は、政策の整備が追いついていないとしても、同庁がその閾値を超えたことを示している。
次に何を意味するのか
元報道だけを踏まえると、CISAが実際にMythos Previewをどのように使うのか、内部分析、脆弱性スキャン支援、試験導入、あるいはより限定的な評価なのかは依然として不明だ。Defense Oneによれば、CISAはコメント要請に応じなかったため、主要な運用上の疑問は未解決のままだ。
それでも、この動きが重要なのは、連邦政府が議論から管理された導入へ移行していることを示しているからだ。CISAへのアクセスは、これらのモデルがもはや民間部門の実験や厳しく限定された国家安全保障上の議論だけにとどまる仮想的な道具ではないことを示唆している。現実のサイバー防衛任務を担う機関の作業環境に入り始めているのだ。
未解決の論点はガバナンスだ。基準が十分に明文化される前に各機関がアクセスを得れば、導入は不均一、慎重、断片的になりうる。指針が遅すぎれば、能力の差が急速に広がる分野で政府は時間を失うリスクがある。逆に指針が厳しすぎれば、すでに使用を許可されたツールの恩恵を各機関が十分に活かせなくなる可能性がある。
現時点で最も明確な結論は、米政府が最前線のサイバー対応能力を持つAIを、戦略的に有用であると同時に本質的にリスクのあるものとして捉えているように見えることだ。CISAがMythos Previewへのアクセスを得たという報道は、その緊張を一つの瞬間に凝縮している。技術は重要になるほど進んでおり、厳格に管理されるほど機微であり、なおかつ使用ルールがまだ書かれている最中なのだ。
この記事はDefense Oneの報道に基づいています。元記事を読む。
Originally published on defenseone.com




