詳細を読む
Anthropicが4月に発表したClaude Mythos Previewは、主要OSやブラウザにまたがる数千件のゼロデイ脆弱性を自律的に発見しました。サイバーセキュリティベンチマークCyberGymでは83.1%を記録し、OpenBSDを対象とした1,000回の攻撃試行にかかった計算コストは2万ドル未満です。VentureBeatの分析記事は、この能力が企業のパッチ適用プロセスにとって深刻な問題を突きつけていると指摘しています。
攻撃の時間軸は急速に縮んでいます。LangflowのCVE-2026-33017(CVSS 9.8)は公開からわずか20時間で悪用され、MarimoのCVE-2026-39987(CVSS 9.3)は9時間41分で攻撃が成立しました。一方、Rapid7の2026年レポートによると、CVE公開からCISAのKEV登録までの中央値は5日間です。従来のカレンダーベースのパッチサイクルでは、もはや防御が間に合わない状況が生まれています。
記事が提案する対策の柱は、CVSS単独の優先順位付けを廃し、CISA KEV・EPSS・CVSSの3層フィルターに移行することです。28,377件の実際の脆弱性を対象にした研究では、この手法で18倍の効率向上と85.6%のカバー率を達成し、緊急対応の作業量を約95%削減できると報告されています。3つのデータソースはすべて無料で公開されており、APIを通じた自動化も可能です。
AIエージェントの普及は新たなリスクも生んでいます。CSAとZenityの調査では、53%の組織がAIエージェントの権限超過を経験済みです。DockerのCVE-2026-34040では、リクエストボディが1MBを超えると認可プラグインがすべてバイパスされる問題が発覚しました。IETFはエージェント向けの認証・認可標準を策定中ですが、実装までには時間がかかる見込みです。
記事は今四半期に実行すべき5つのアクションを挙げています。3層フィルターの導入、Tier 0サービスへのイベント駆動型パッチ適用、エージェント規模での認可境界テスト、AIビルダーホストの認証情報マッピング、そしてシャドーAIの発見スキャンです。パッチサイクルが日単位で回る企業に対し、攻撃者が時間単位で動く現実を直視すべきだと結んでいます。