何が起きたか
Bloomberg は 2026 年 4 月 21 日、権限のないユーザーの小規模グループが、Mercor breach からの漏洩情報とサードパーティ契約評価者からのインサイダーアクセスを使用してモデルのオンライン場所を推測することで、Anthropic の Claude Mythos Preview モデル(同社によって公開リリースには危険すぎると説明されている)へのアクセスを取得したことを報告しました。このグループはモデルの 4 月発表以来、継続的なアクセスを維持しています。
なぜ重要か
この breach は、Anthropic がその最も機密性の高いモデルをどのように保護するかについての根本的なセキュリティギャップを露呈しており、特に Mythos の「すべての主要なオペレーティングシステムと Web ブラウザの脆弱性を発見する」という宣伝能力を考慮すると懸念があります。このインシデントは Anthropic の AI safety ポジショニングを損なわせ、ベンダーセキュリティプラクティス、サードパーティ契約者の審査、および限定的なプレビューモデルの監視に関する重大な質問を提起します。セキュリティ研究者の Lukasz Olejnik はこの失敗を「十分に想像できる」ものであり従来のサイバーセキュリティでは日常的なものと特徴付けました。
必要な対応
Anthropic を機密デプロイメント用に評価している組織は、契約者アクセス制御、モデル使用ログ、および異常検知能力に関する明確化をリクエストする必要があります。AI セキュリティチームは、特にインサイダー隣接アクターからの権限のないアクセスパターンを検出するのに十分な監視を自らの限定的なプレビューまたは内部モデルが持っているかどうかを評価する必要があります。