何が起きたか
2026年6月8日、Anthropic のレッドチームが red.anthropic.com で「Measuring LLMs' impact on N-day exploits」を公開し、Claude Mythos Preview を Mozilla Firefox と Microsoft Windows カーネルの既知(ただし最近開示された)脆弱性に対して評価しました。21個の Windows カーネルバグ全体において、Mythos は18件のブルースクリーン(Blue Screen of Death)を引き起こし、8つの異なるエクスプロイトを生成しました。最速のエクスプロイトは31分以内に完成し、最遅のものは5.7時間を要しました。Windows 権限昇格エクスプロイトあたりのコスト:API クレジットで約 $2,000。研究者は、記憶化から AI 上昇率を分離するため、モデルの知識カットオフ後に開示されたバグのみを評価しました。
なぜ重要か
これはエンタープライズグレードの脆弱性の N-Day エクスプロイト開発タイムラインの崩壊を定量化する最初の Tier-2 実証研究です。以前、セキュリティチームはパッチリリース後の攻撃者の滞留時間を数週間と想定していました。Mythos データは、高度なモデルアクセスを持つ熟練した攻撃者が開示された欠陥を数時間以内に武器化できることを示唆しています。この調査結果は、紙で言及されているように同様の機能レベルに到達しているオープンソースモデルにも等しく適用されます。週単位以上のパッチングサイクルを実施している組織は、公開 CVE 開示の瞬間から運用上の露出状態にあります。
適用範囲
重大または高い CVE のパッチギャップが 24~48 時間を超える組織は、すぐに SLA ターゲットを見直す必要があります。脆弱性管理チームは、経過期間ベースのキューよりも CISA KEV および EPSS スコアリング項目を優先すべきです。CISO は、「パッチウィンドウ」≠「安全なウィンドウ」という新しい脅威モデルについて取締役会に説明する必要があります。