2026年4月7日、世界最強のサイバーAIが「盗まれた」。これは事故ではなく、安全保障の問題だ。
【追記版】AIサイバー兵器が盗まれる日
——Anthropic Mythos不正アクセス事件が示す新たな脅威構造
The Day AI Cyber Weapons Are Stolen 【Updated】
The Anthropic Mythos Unauthorized Access Incident and the New Threat Architecture It Reveals
本稿は本日午前に配信した初版に、4月20〜23日現時点までの最新動向(アジア各国の規制当局の対応・日本政府の初動・NEC提携)を加えた追記版です。
2026年4月23日
発行元: 一般財団法人日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
■はじめに
もし日本の電力網や銀行システムが、人間のハッカーなしに、AIだけで攻撃されたら——その道具が今、行方不明になっている。
2026年4月7日、米国のAI企業Anthropicが開発した「究極のサイバーセキュリティAI」が、正体不明のグループにハッキングされた。それが明らかになったのは、2週間後のことだった。このAnthropicが公開した新しいAIは、世界中のコンピュータシステムの「未知の穴」(”ゼロデイ脆弱性”=誰も知らない欠陥)を自動で見つけ出すだけでなく、攻撃方法まで生成できる。”AI史上最強”ともいえるこのAIは、あまりに強力であるため、Anthropicは一般公開を見送り、信頼できる40社だけに限定提供していた——“はず”だった。
本稿が問うのは、技術的な事故の話ではない。「誰がこのAIを手に入れたのか」「次に何が起きるのか」という安全保障の問いである。そしてその答えは、日本の政策立案者・報道関係者・市民にとって、決して他人事ではない。
【本稿の位置づけ】
本稿は、2026年4月21日に報道されたAnthropicの高度AIサイバーツール「Claude Mythos Preview」への不正アクセス事件を分析するものである。当研究所が2026年3月31日に発表した「ロシアが『犯罪者』を『国家資産』に変える日」*の続編として位置づけられる。前稿で論じた「民間ハッカーの国家取り込み」というパターンが、今回の事件でどのように繰り返されているかを明らかにし、政策的観点からの示唆を提示する。確定した事実と筆者による推論は、本文中で明示的に区別している。 *「ロシアが『犯罪者』を『国家資産』に変える日」https://inst-ds.org/cyber-security/796/
This paper analyzes the unauthorized access incident involving Anthropic’s ‘Claude Mythos Preview,’ reported April 21, 2026, as a follow-up to our March 31 analysis on Russia’s state capture of cybercriminals. Confirmed facts and policy inference are explicitly distinguished throughout.
※ An English translation of this section is provided for international reference.
■目次
はじめに
【本稿の位置づけ】
■ 本稿で登場する主な用語
1 何が起きたのか——発表当日に「鍵」は渡った
1.1 「究極のサイバーAI」の登場
1.2 発表当日に「鍵」が複製された
2 これは「技術的な事故」ではない——繰り返される国家取り込みの構造
2.1 三ヶ月前にも同じことが起きていた
2.2 今回の事件との共通構造
3 なぜMythosはこれほど危険なのか——AIが国家レベルの攻撃を誰の手にも渡す
3.1 Mythosができること
3.2 「参入障壁」の崩壊
4 世界の文脈——孤立した事件ではない
4.1 国家がすでにAnthropicのAIを攻撃に使っていた
4.2 米国政府内部の矛盾が示すもの
4.3 三国間協定の影
5 日本への示唆——「他人事」ではない理由
5.1 日本のシステムに潜む「修正されていない欠陥」
5.2 「民間ハッカー+AI能力」という新しい脅威
5.3 政策として求められること
おわりに ——「その日」は、来ている
参考資料
■ 本稿で登場する主な用語
| Claude Mythos Preview | Anthropicが開発した最高性能のAIモデル。一般公開されておらず、選ばれた40社のみに提供 |
| Project Glasswing | Mythosへのアクセスを厳選パートナー企業に限定した防衛目的の構想。AWS・Apple・Google・Microsoft等が参加 |
| ゼロデイ脆弱性 | ソフトウェアの開発者すら気づいていない欠陥のこと。修正プログラムがないため、悪用されると防ぐ手段がない |
| 取引先経由の侵入 | 直接の標的ではなく、その取引先・委託先を踏み台にした侵入手法。セキュリティの「裏口」とも言える |
| 国家資産化 | 民間ハッカーが逮捕や接触を通じて国家のサイバー部隊に組み込まれるプロセス |
| GTG-1002 | AnthropicのAIを実際に攻撃に悪用したことが確認されている中国の国家支援ハッカーグループ |
| 否認可能性 | 「うちは関係ない」と言い張れる形で、国家がハッカーを代理として使う戦略 |
| デュアルユース | 防衛目的で作られたツールが、攻撃にも使える二面性のこと。Mythosはその典型例 |
1 何が起きたのか——発表当日に「鍵」は渡った
1.1 「究極のサイバーAI」の登場
2026年4月7日、米国のAI企業Anthropicは「Claude Mythos Preview」という新しいAIモデルを、限られた企業グループ向けに公開した。このモデルの特徴は、世界中の主要なコンピュータシステムに潜む「誰も知らない欠陥(ゼロデイ脆弱性)」を、人間のセキュリティ専門家よりもはるかに速く、大量に自動発見できることにある。
Anthropicの発表によれば、Mythosはすでに世界の主要なOS(WindowsやmacOSなど)とWebブラウザの欠陥を数千件発見している。あまりに強力であるため、一般公開は見送られた。代わりにAmazon、Apple、Google、Microsoft、CISCOなど約40社・機関のみが、防衛目的で使用する「Project Glasswing(プロジェクト・グラスウィング)」というグループを形成した。
1.2 発表当日に「鍵」が複製された
しかし発表と同じ日、事態は動いた。
正体不明のグループが、Anthropicが正式に許可していないにもかかわらず、Mythosへのアクセスを取得した。Bloombergの取材によれば、このグループはプライベートなオンライン会議室(フォーラム)で活動しており、Anthropicが過去のモデルで使ってきたシステムのアドレス形式を「推測」することで侵入に成功した。具体的には、Anthropicの取引先企業の認証情報(IDとパスワードに相当するもの)を利用した。
グループはその後も継続的にMythosを使用し、画面の記録と実演をBloombergに提供した。Anthropicは「取引先企業の環境を通じた不正アクセスの報告を調査中」と声明を発表。自社の中核システムへの影響は確認されていないとしているが、調査は継続中である。
| 【事件の基本データ】 ● 発覚日: 2026年4月21日(Bloomberg報道) ● 不正アクセス取得日: 2026年4月7日(Mythos発表当日) ● 侵入経路: Anthropicの取引先企業の認証情報を悪用 ● グループの自称: 「新しいAIを試してみたかっただけ、悪意はない」 ● Anthropicの現時点での判断: 中核システムへの影響なし、調査継続中 |
2 これは「技術的な事故」ではない——繰り返される国家取り込みの構造
2.1 三ヶ月前にも同じことが起きていた
当財団は2026年3月31日、「ロシアが『犯罪者』を『国家資産』に変える日」と題した分析を発表した。その中で論じたのは、LeakBase(リークベース)という世界最大のサイバー犯罪フォーラムの管理者「Chucky(チャッキー)」がロシア当局に逮捕された事件である。
なぜロシアは自国の犯罪者を自ら逮捕したのか。前稿での結論は明快だった——「逮捕は取り締まりではなく、徴兵だ」。犯罪者を刑務所に送るのではなく、国家のサイバー工作部隊に組み込む。法執行のふりをした静かな人材確保であった。
2.2 今回の事件との共通構造
今回の不正アクセスグループと国家との直接的な関係を示す証拠は、現時点では存在しない。しかし以下の点は、前稿で分析したパターンと同じ構造を示している。(以下は筆者による推論であり、確定した事実ではない)
- 「発表当日にアクセス成功」の不自然さ: 公式発表と同じ日に侵入できたという事実は、単純な好奇心では説明が難しい。何らかの事前情報、または高度な準備があったことを示唆する
- 身元が特定されていない: グループのメンバーは誰も公表されていない。「国家がやったと言えない形で国家の仕事をする」という否認可能性の構造と一致する
- 能力の価値: Chuckyが大量の個人データを持っていたように、このグループは「世界最強のサイバーAIへの侵入経路を知っている」という固有の価値を持つ。国家情報機関にとってこの価値は計り知れない
- 意図は変わる: 「悪意はない」と本人が思っていても、国家機関からの接触・採用・圧力によって状況は一変しうる
| 【二つの事件の構造比較】 ①LeakBase事件: 民間犯罪者が大量のデータを保有 → ロシアが「逮捕」という形で取り込む【8】 ②Mythos事件: 正体不明のグループが侵入経路を発見 → 国家機関が「採用」または「接触」する可能性(推論)[Author’s inference, not confirmed fact] なお、この構造は同時期のイタリア・アメリカ・ロシア三国の事件にも共通して確認されており、当研究所の別稿でも分析している【9】。 ▶共通点: 民間の能力が国家の武器になる |
3 なぜMythosはこれほど危険なのか——AIが国家レベルの攻撃を誰の手にも渡す
LeakBase事件との本質的な違いがここにある。LeakBaseは「過去に集めたデータの倉庫」だった。Mythosは違う——「欠陥を探し続け、攻撃方法を自動生成するAIエンジン」である。静的な資産と、動き続ける兵器——その違いは計り知れない。
3.1 Mythosができること
技術的な詳細より、「何が可能になるか」を理解することが重要である。
- 世界中の主要なコンピュータシステムの「誰も知らない穴」を、人間のハッカーチームより速く、大量に自動発見できる
- 発見した穴に対して、実際に攻撃に使えるプログラムを自動で作成できる
- 限定的な条件下では、隔離された試験環境から外部への通信を試みた事例も報告されている
- 英国の政府機関によるテストでは、ネットワーク全体を乗っ取るシミュレーションを完遂した初めてのAIモデルとなった
3.2 「参入障壁」の崩壊
従来、国家レベルのサイバー攻撃——たとえば電力網や金融システムへの侵入——には、米国のNSA(国家安全保障局)やロシアのGRU(軍参謀本部情報総局)のような、何百人もの専門家を抱える国家機関の能力が必要だった。
Mythosはこの前提を壊す。このAIが悪用されれば、中規模の国家、あるいは国家に雇われた犯罪グループが、かつては大国にしかできなかったレベルの攻撃を実行できるようになる可能性がある。(以下は推論)防衛側と攻撃側の均衡が一気に崩れる可能性があり、それが専門家たちがMythosを「一線を越えた」と評する理由である。[Author’s inference, not confirmed fact]
4 世界の文脈——孤立した事件ではない
4.1 国家がすでにAnthropicのAIを攻撃に使っていた
これは仮説ではない。Anthropicは2025年11月、中国の国家支援ハッカーグループ「GTG-1002」が、Anthropicの別のAIツール「Claude Code(クロード・コード)」を実際の攻撃に使用していたことを確認・妨害したと発表している。
GTG-1002はClaude Codeを使って、攻撃の準備作業(情報収集・コード生成など)を自動化していた。MythosはClaude Codeを大幅に上回る能力を持つ。同等またはより高度な国家ハッカーグループがMythosを標的にすることは、合理的に予測できる。
4.2 米国政府内部の矛盾が示すもの
米国でも状況は複雑である。国防総省(ペンタゴン)はAnthropicを「安全保障上のリスク」と指定した。しかしその国防総省の傘下にある国家安全保障局(NSA)は、Mythosを正規ルートで使用しているとAxiosが報じている。
この矛盾が物語るのは、「Mythosの能力が政策的な一貫性よりも重要だ」と国家機関が判断しているということだ。米国の最高レベルの情報機関がそう判断しているなら、敵対的な国家機関が非正規の手段でMythosを取得しようとするのは当然の帰結である。(推論)
4.3 三国間協定の影
背景として見落とせないのが、2026年1月29日に締結されたロシア・イラン・中国の三国間戦略協定である。この協定には情報・サイバー分野での協力が含まれる。前稿で分析したように、イラン戦争(2026年2月28日開戦)以降、この枠組みの中でサイバー攻撃の協調が加速している。Mythosへの不正アクセスが、こうした国家間連携と無関係かどうかは、現時点では判断できない。(推論)[Author’s inference, not confirmed fact]
【アジア各国の初動】——香港・シンガポール・韓国・オーストラリアが相次いで動いたMythosをめぐる動きは米国内にとどまらない。アジアの金融規制当局は相次いで反応した香港金融管理局(HKMA)は4月20日、AIを悪用したサイバー攻撃から銀行システムを守るための緊急タスクフォースを設置し、新たな「サイバー耐性テストの枠組み」を導入すると発表した。シンガポール、韓国、オーストラリアも同様の対応を取った。Reutersは本日23日、オーストラリア政府がAnthropicとサイバーセキュリティ脆弱性への対応で直接協議していると報じた注目すべきは、香港の銀行はProject Glasswingへのアクセスがない状態で、Mythosが発見した脆弱性に対処しなければならないという非対称な立場に置かれている点だ。防御のための道具を持たないまま、その道具が暴いたリスクだけを引き受ける構図である。
5 日本への示唆——「他人事」ではない理由
こうしたアジア各国の初動が加速する中、日本はどう動くのか。
5.1 日本のシステムに潜む「修正されていない欠陥」
Anthropicの発表によれば、Mythosが発見した数千件の欠陥のうち、99%以上はまだ修正されていない。つまり世界中のコンピュータシステムに、「存在は分かっているが、まだ修正されていない欠陥」が大量に存在する状態である。
日本の電力・鉄道・金融・医療システムが使用しているソフトウェアに、これらの未修正の欠陥が含まれている可能性は排除できない。Project Glasswingへの参加または同等の対策を早急に検討する必要がある。
5.2 「民間ハッカー+AI能力」という新しい脅威
前稿で論じた「犯罪者の国家組み込み」に、今回「最高レベルのAI能力への不正アクセス」という新しい要素が加わった。今後の現実的なシナリオとして、政策立案者は以下を想定すべきであると考える。(以下は推論)
- 国家情報機関が今回のグループを特定・接触し、Mythosへの侵入経路を提供させる
- その能力を持った人物が、国家の代理として日本を含む同盟国の重要インフラへの攻撃に動員される
- 攻撃は「民間グループの犯行」を装うが、実際には国家の指示のもとで行われる
[Author’s inference, not confirmed fact]
5.3 政策として求められること
サイバーセキュリティの世界では長年、「防衛側が不利」という非対称性が問題とされてきた。Mythosのような技術が管理外に出た場合、この非対称性はさらに拡大する。日本が取るべき行動は三つあると考える。
- 脆弱性の早期把握: Project Glasswingへの参画、または同等の取り組みを通じ、自国の重要インフラに潜む未知の欠陥を先手で発見・修正する
- 法的枠組みの整備: 「民間ハッカーが国家に組み込まれる」という形態の攻撃は、既存の安全保障・刑事法制の想定外にある。国家が関与する民間サイバー攻撃への対応を法的に整備する必要がある
- 情報共有の強化: 今回の事件は米国内で起きたが、影響は国境を越える。日米・日英・Five Eyes(ファイブアイズ:英語圏5カ国の情報共有枠組み)との緊密な情報連携が不可欠だ
【4月22〜24日追記】日本政府の初動 日本AISIはMythosについて「サイバー分野でも既存モデルを上回る性能を示した」と評価した。片山金融相は4月22日、3メガバンク幹部と緊急会合を設定。さらに金融庁は4月24日(明日)、日銀および大手金融機関とMythosをめぐるリスクを協議する正式会合を予定している。自民党も4月20日、AnthropicとOpenAIの担当者が出席した合同会議で緊急提言を取りまとめた。本日、NECがAnthropicとの法人向けAI提携を発表した。NECは防衛省との通信・指揮システム契約を持つ防衛関連企業でもあり、数万人規模の社員・関連企業への波及を含め、サプライチェーン経由のリスク管理が新たな課題として浮上している。Anthropicは昨年10月、東京オフィスを開設し日本AISIと協力覚書を締結している。その関係が今、最初の実質的な試練を迎えている。
おわりに ——「その日」は、来ている
LeakBaseの「Chucky」は、大量のデータという静的な資産を持っていた。今回の不正アクセスグループは、世界最強クラスのAIサイバー兵器への「侵入経路」という、より動的で危険な能力を持つ。
前稿の結論を繰り返す必要がある。「犯罪者」と「国家工作員」の境界はもはや存在しない。そこに「AI兵器へのアクセス」という新しい次元が加わった今、民主主義諸国が直面しているのは、従来のサイバー犯罪対応の枠組みでは捉えきれない、新たな安全保障の現実である。
AIサイバー兵器は、すでに誰かの手にある。ある政府か、個人か——残る問いは「もし」ではなく、「誰が」「いつ」「何の目的で」だ。
参考資料 / References
[1] Unauthorized group has gained access to Anthropic’s exclusive cyber tool Mythos / TechCrunch(2026年4月21日)
[2] Anthropic’s Mythos Model Is Being Accessed by Unauthorized Users / Bloomberg(2026年4月21日)
[3] Project Glasswing: Securing critical software for the AI era / Anthropic(2026年4月7日) https://www.anthropic.com/glasswing
[4] Claude Mythos Preview Technical Report / Anthropic Frontier Red Team Blog(2026年4月7日) https://red.anthropic.com/2026/mythos-preview/
[5] NSA using Anthropic’s Mythos despite Defense Department blacklist / Axios(2026年4月19日)
[6] CISA doesn’t have access to Anthropic’s Mythos / Axios(2026年4月21日)
[7] Claude Mythos and Project Glasswing / The Conversation(2026年4月)
[8] 前稿「ロシアが『犯罪者』を『国家資産』に変える日」/ 一般財団法人日本危機管理研究所(2026年3月31日) https://inst-ds.org/cyber-security/796/
【追記版参考資料】
- Reuters, “Asian regulators monitor Anthropic’s Mythos for potential banking risks,” April 20, 2026 https://www.reuters.com/legal/government/regulators-monitor-anthropics-mythos-banking-risks-2026-04-20/
- 日本経済新聞「片山金融相、3メガ銀幹部らと会合へ アンソロピック念頭」2026年4月22日
- fptrendy.com「金融庁が金融機関と会合へ、Anthropic新AIで高まるサイバー警戒」2026年4月23日 https://www.fptrendy.com/2026/04/23/japan-fsa-mythos-ai-financial-cyber-risk/
- mrkt30.com, “Anthropic Mythos Triggers China’s AI Arms Frenzy,” April 2026 https://mrkt30.com/anthropic-mythos-triggers-chinas-ai-arms-frenzy/
- Reuters, “Australia working with Anthropic over cybersecurity vulnerabilities,” April 23, 2026 https://www.reuters.com/technology/australia-working-with-anthropic-over-cybersecurity-vulnerabilities/
- 日本経済新聞「NEC、米アンソロピックと提携 法人向けAI需要を開拓」2026年4月23日
執筆者プロフィール
舩山 美保 一般財団法人 日本危機管理研究所 理事/主任研究員
上智大学卒業(国際政治学)、青山学院大学大学院修了(国際政治経済学・哲学・心理学)。
キヤノン株式会社にて国際標準・新技術の特許調査・分析業務を担当。ISO/IEC JTC1 SC28(オフィス機器)副国際幹事として、国際規格の策定プロセスを主導した実務経験を持つ。標準化交渉の場における多国間調整および技術文書の戦略的分析に従事。中東アジア情報戦略研究所 研究員
研究領域:
言語・行動パターンの体系的分析手法を応用した意思決定構造・行動構造の解析を専門とする。とりわけPSYOP(心理作戦)および情報戦の分析、ならびに危機管理政策の視点からセキュリティインテリジェンスの研究・分析を行っている。国際政治学・心理学・哲学にまたがる学際的バックグラウンドを基盤に、国家・非国家アクターによる認知領域への介入メカニズムの解明に取り組む。
本サイトに掲載する情報は、調査・研究に基づき作成された参考情報であり、その内容の正確性、完全性、有用性等について、いかなる保証を行うものではありません。核心的主張は公開情報に基づく政策推論であり、確定した事実と推論を明示的に区別しています。
【Updated】The Day AI Weapons Are Stolen
The Anthropic Mythos Unauthorized Access Incident and the New Threat Architecture It Reveals
This report is an updated version of the original published earlier the same morning, incorporating the latest developments as of April 20–23, 2026 (responses by Asian regulators, Japan’s government initial actions, and the NEC partnership).
Published: April 23, 2026
Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)
Author: Miho Funayama
Introduction
If Japan’s power grid or banking system were attacked by AI alone — without a single human hacker — the tool to do it is now missing.
On April 7, 2026, the “ultimate cybersecurity AI” developed by U.S. AI company Anthropic was hacked by an unidentified group. It was two weeks before this became known. This new AI, which Anthropic had publicly unveiled, is capable of not only automatically discovering “unknown holes” (zero-day vulnerabilities — flaws unknown to anyone) in computer systems worldwide, but also generating methods of attack. This AI — arguably the most powerful in AI history — was so potent that Anthropic chose not to release it to the public, instead providing it on a limited basis to just 40 trusted companies — or so it was supposed to be.
What this report asks is not a question about a technical accident. It is a security question: “Who got hold of this AI?” and “What happens next?” And the answer is anything but someone else’s problem for Japan’s policymakers, journalists, and citizens.
Positioning of This Report
This report analyzes the unauthorized access incident involving Anthropic’s advanced AI cyber tool “Claude Mythos Preview,” reported on April 21, 2026. It is positioned as a sequel to the institute’s analysis published March 31, 2026, titled “The Day Russia Turns Criminals into State Assets.” It clarifies how the pattern of “state capture of civilian hackers” discussed in that prior report is repeating itself in this incident, and presents implications from a policy perspective. Confirmed facts and the author’s inferences are explicitly distinguished throughout the text.
“The Day Russia Turns Criminals into State Assets”: https://inst-ds.org/cyber-security/796/
This paper analyzes the unauthorized access incident involving Anthropic’s ‘Claude Mythos Preview,’ reported April 21, 2026, as a follow-up to our March 31 analysis on Russia’s state capture of cybercriminals. Confirmed facts and policy inference are explicitly distinguished throughout.
Key Terms Used in This Report
| Claude Mythos Preview | Anthropic’s highest-performance AI model. Not publicly released; provided only to a select 40 companies. |
|---|---|
| Project Glasswing | A defense-oriented initiative restricting Mythos access to carefully vetted partner companies. Participants include AWS, Apple, Google, Microsoft, and CISCO. |
| Zero-Day Vulnerability | A flaw that even the software’s developers have not noticed. Because no fix exists, there is no means of defense once it is exploited. |
| Supply Chain Intrusion | An infiltration method that uses not the direct target, but its business partners or contractors as a stepping stone. Also described as a “back door” to security. |
| State Capture | The process by which civilian hackers are incorporated into a state’s cyber operations units through arrest or contact. |
| GTG-1002 | A Chinese state-sponsored hacker group confirmed to have actually exploited Anthropic’s AI for attacks. |
| Deniability | A strategy in which a state uses hackers as proxies in a way that allows it to maintain “we have no involvement.” |
| Dual-Use | The dual nature of a tool created for defense purposes that can also be used for attack. Mythos is a prime example. |
1. What Happened — The “Key” Was Copied on Launch Day
1.1 The Emergence of the “Ultimate Cyber AI”
On April 7, 2026, U.S. AI company Anthropic released a new AI model called “Claude Mythos Preview” to a limited group of companies. The defining characteristic of this model is its ability to automatically discover “unknown flaws (zero-day vulnerabilities)” lurking in major computer systems worldwide — far faster and in far greater volume than human security experts.
According to Anthropic’s announcement, Mythos has already discovered thousands of flaws in major operating systems (such as Windows and macOS) and web browsers worldwide. It was so powerful that public release was withheld. Instead, approximately 40 companies and institutions — including Amazon, Apple, Google, Microsoft, and CISCO — formed a group called “Project Glasswing” to use it for defensive purposes.
1.2 The “Key” Was Copied on Launch Day
However, on the same day as the announcement, events unfolded.
An unidentified group obtained access to Mythos without Anthropic’s official authorization. According to Bloomberg reporting, this group operated in a private online forum and succeeded in gaining entry by “guessing” the address format of systems Anthropic had used for past models. Specifically, they used the credentials (equivalent to IDs and passwords) of one of Anthropic’s business partners.
The group subsequently continued using Mythos and provided Bloomberg with screen recordings and demonstrations. Anthropic issued a statement saying it is “investigating reports of unauthorized access through a partner company’s environment,” noting that no impact on its core systems has been confirmed — though the investigation is ongoing.
| Basic Incident Data |
|---|
| ● Date Discovered: April 21, 2026 (Bloomberg report) |
| ● Date of Unauthorized Access: April 7, 2026 (same day as Mythos announcement) |
| ● Entry Method: Exploitation of a business partner’s credentials |
| ● Group’s Own Claim: “We just wanted to try the new AI — no malicious intent” |
| ● Anthropic’s Current Assessment: No impact on core systems confirmed; investigation ongoing |
2. This Is Not a “Technical Accident” — The Repeating Structure of State Capture
2.1 The Same Thing Had Happened Three Months Earlier
On March 31, 2026, this institute published an analysis titled “The Day Russia Turns Criminals into State Assets,” examining the incident in which “Chucky,” the administrator of LeakBase — one of the world’s largest cybercrime forums — was arrested by Russian authorities.
Why did Russia arrest its own criminal? The conclusion of that prior report was unambiguous: “The arrest is not law enforcement — it is conscription.” Rather than sending the criminal to prison, he is incorporated into the state’s cyber operations unit. It was a quiet acquisition of human talent disguised as law enforcement.
2.2 The Common Structure with This Incident
No evidence currently exists directly linking the unauthorized access group in this incident to a state. However, the following points demonstrate the same structure as the pattern analyzed in the prior report. (The following constitutes the author’s inference and is not established fact.)
- The unnaturalness of “successful access on launch day”: The fact that intrusion was possible on the same day as the official announcement is difficult to explain by simple curiosity. It suggests some form of advance intelligence or sophisticated preparation.
- Identities remain unconfirmed: No members of the group have been publicly identified. This is consistent with the structure of deniability — “doing the state’s work in a way that cannot be attributed to the state.”
- The value of the capability: Just as Chucky possessed vast quantities of personal data, this group holds a unique value: “knowing the intrusion pathway into the world’s most powerful cyber AI.” To national intelligence agencies, this value is incalculable.
- Intent can change: Even if individuals believe they “had no malicious intent,” contact, recruitment, or pressure from state agencies can transform the situation entirely.
| Structural Comparison of the Two Incidents |
|---|
| ① LeakBase Incident: Civilian criminal holds vast quantities of data → Russia incorporates him through “arrest” [8] |
| ② Mythos Incident: Unidentified group discovers intrusion pathway → Possibility that state agencies “recruit” or “make contact” (inference) [Author’s inference, not confirmed fact] |
| This structure has also been confirmed in incidents involving Italy, the United States, and Russia during the same period, analyzed separately by this institute. [9] |
| ▶ Common Point: Civilian capability becomes a state weapon |
3. Why Mythos Is So Dangerous — AI Places Nation-State-Level Attack Capability in Anyone’s Hands
This is where the essential difference from the LeakBase incident lies. LeakBase was “a warehouse of data collected in the past.” Mythos is different — it is “an AI engine that continuously searches for flaws and automatically generates attack methods.” The difference between a static asset and a continuously moving weapon is immeasurable.
3.1 What Mythos Can Do
Understanding “what becomes possible” matters more than technical details.
- It can automatically discover “unknown holes” in major computer systems worldwide — faster and in greater volume than a human hacker team
- For discovered holes, it can automatically create programs actually usable for attacks
- Under limited conditions, cases have also been reported in which it attempted external communications from isolated test environments
- In tests conducted by a UK government agency, it became the first AI model to complete a simulation of seizing control of an entire network
3.2 The Collapse of the “Entry Barrier”
Conventionally, nation-state-level cyberattacks — for example, intrusions into power grids or financial systems — required the capabilities of state agencies with hundreds of specialists, such as the U.S. NSA (National Security Agency) or Russia’s GRU (Main Intelligence Directorate).
Mythos destroys this premise. If this AI is misused, there is the possibility that mid-level states, or criminal groups hired by states, could execute attacks at a level previously only achievable by major powers. (The following constitutes inference.) The equilibrium between defenders and attackers could collapse at once — and that is why specialists describe Mythos as having “crossed a line.” [Author’s inference, not confirmed fact]
4. The Global Context — This Is Not an Isolated Incident
4.1 States Had Already Been Using Anthropic’s AI for Attacks
This is not a hypothesis. In November 2025, Anthropic announced that it had confirmed and disrupted the use of another Anthropic AI tool, “Claude Code,” by Chinese state-sponsored hacker group “GTG-1002” in actual attacks.
GTG-1002 was using Claude Code to automate preparatory attack work (intelligence gathering, code generation, etc.). Mythos possesses capabilities far exceeding those of Claude Code. It is rationally predictable that state hacker groups of equivalent or greater sophistication would target Mythos.
4.2 What the Internal Contradiction Within the U.S. Government Reveals
The situation in the United States is also complex. The Department of Defense (Pentagon) has designated Anthropic as a “national security risk.” Yet Axios reports that the National Security Agency (NSA), which falls under that same Department of Defense, is using Mythos through official channels.
What this contradiction reveals is that “state agencies have judged Mythos’s capabilities to be more important than policy consistency.” If the United States’ highest-level intelligence agency has made that judgment, it is a natural consequence that hostile state agencies would attempt to acquire Mythos through unofficial means. (Inference)
4.3 The Shadow of the Trilateral Agreement
One context that cannot be overlooked is the Russia-Iran-China trilateral strategic agreement concluded on January 29, 2026, which includes cooperation in the intelligence and cyber domains. As analyzed in the prior report, since the Iran War (launched February 28, 2026), coordination of cyberattacks within this framework has accelerated. Whether the unauthorized access to Mythos is unrelated to this state-to-state coordination cannot be determined at this time. (Inference) [Author’s inference, not confirmed fact]
[Initial Responses Across Asia] — Hong Kong, Singapore, South Korea, and Australia Move in Succession
Developments surrounding Mythos are not confined to the United States. Asian financial regulators have responded in succession. The Hong Kong Monetary Authority (HKMA) announced on April 20 the establishment of an emergency task force to protect the banking system from cyberattacks exploiting AI, and the introduction of a new “cyber resilience testing framework.” Singapore, South Korea, and Australia took similar measures. Reuters reported on the 23rd that the Australian government is in direct consultation with Anthropic on responses to cybersecurity vulnerabilities.
Noteworthy is the asymmetric position in which Hong Kong banks find themselves — having to address vulnerabilities discovered by Mythos without access to Project Glasswing. They must bear the risks that the tool has exposed, without possessing the tool needed for defense.
5. Implications for Japan — Why This Is Not “Someone Else’s Problem”
As initial responses across Asian nations accelerate, how will Japan act?
5.1 “Unpatched Flaws” Lurking in Japan’s Systems
According to Anthropic’s announcement, more than 99% of the thousands of flaws discovered by Mythos have not yet been patched. In other words, computer systems worldwide contain vast quantities of “flaws whose existence is known but which have not yet been fixed.”
The possibility cannot be ruled out that software used by Japan’s electricity, railway, financial, and healthcare systems contains these unpatched flaws. Participation in Project Glasswing or equivalent measures needs to be urgently considered.
5.2 The New Threat of “Civilian Hacker + AI Capability”
To the “state capture of criminals” discussed in the prior report, this incident has added a new element: “unauthorized access to the highest-level AI capability.” As realistic future scenarios, policymakers should consider the following: (The following constitutes inference.)
- A national intelligence agency identifies and contacts this group, having them provide the intrusion pathway into Mythos
- That capability is mobilized, under state direction, for attacks on critical infrastructure of allied nations including Japan
- Attacks are disguised as “criminal acts by a civilian group” but are in reality carried out under state instruction
[Author’s inference, not confirmed fact]
5.3 What Policy Requires
In the world of cybersecurity, the asymmetry of “the defensive side being at a disadvantage” has long been a problem. If technology like Mythos escapes controlled management, this asymmetry expands further. Three actions Japan should take are proposed:
- Early identification of vulnerabilities: Through participation in Project Glasswing or equivalent initiatives, proactively discover and patch unknown flaws lurking in critical domestic infrastructure
- Development of legal frameworks: Attack patterns of the form “civilian hackers incorporated into the state” fall outside the assumptions of existing security and criminal law. Legal frameworks for responding to state-involved civilian cyberattacks need to be developed
- Strengthening information sharing: This incident occurred within the United States, but its impact transcends borders. Close information coordination with Japan-U.S., Japan-UK, and Five Eyes (the intelligence-sharing framework of five English-speaking nations) is indispensable
[April 22–24 Updates] Japan’s Government Initial Actions
Japan’s AISI assessed Mythos as having “demonstrated performance exceeding existing models even in the cyber domain.” Minister of Finance Katayama arranged an emergency meeting with executives of the three megabanks on April 22. Furthermore, the Financial Services Agency has a formal meeting scheduled for April 24 (tomorrow) to discuss risks surrounding Mythos with the Bank of Japan and major financial institutions. The Liberal Democratic Party also compiled urgent recommendations at a joint meeting on April 20, attended by representatives from Anthropic and OpenAI.
Today, NEC announced a corporate AI partnership with Anthropic. NEC is also a defense-related company holding communications and command systems contracts with the Ministry of Defense, and supply chain risk management — including ripple effects across tens of thousands of employees and affiliated companies — is emerging as a new challenge. Anthropic opened its Tokyo office last October and concluded a memorandum of cooperation with Japan’s AISI. That relationship is now facing its first substantive test.
Conclusion — “That Day” Has Arrived
LeakBase’s “Chucky” held a static asset: vast quantities of data. The unauthorized access group in this incident holds a more dynamic and dangerous capability: “an intrusion pathway into the world’s most powerful class of AI cyber weapon.”
The conclusion of the prior report must be repeated. The boundary between “criminal” and “state operative” no longer exists. Now that “access to AI weapons” has been added as a new dimension, what democratic nations are confronting is a new security reality that cannot be captured within the framework of conventional cybercrime response.
AI cyber weapons are already in someone’s hands. A government or an individual — the remaining question is not “if” but “who,” “when,” and “for what purpose.”
References
[1] Unauthorized group has gained access to Anthropic’s exclusive cyber tool Mythos / TechCrunch (April 21, 2026)
[2] Anthropic’s Mythos Model Is Being Accessed by Unauthorized Users / Bloomberg (April 21, 2026)
[3] Project Glasswing: Securing critical software for the AI era / Anthropic (April 7, 2026) https://www.anthropic.com/glasswing
[4] Claude Mythos Preview Technical Report / Anthropic Frontier Red Team Blog (April 7, 2026) https://red.anthropic.com/2026/mythos-preview/
[5] NSA using Anthropic’s Mythos despite Defense Department blacklist / Axios (April 19, 2026)
[6] CISA doesn’t have access to Anthropic’s Mythos / Axios (April 21, 2026)
[7] Claude Mythos and Project Glasswing / The Conversation (April 2026)
[8] Prior report: “The Day Russia Turns Criminals into State Assets” / Japan Institute of Crisis Management (March 31, 2026) https://inst-ds.org/cyber-security/796/
[Updated Version References]
- Reuters, “Asian regulators monitor Anthropic’s Mythos for potential banking risks,” April 20, 2026
- Nikkei, “Minister of Finance Katayama to Meet with Three Megabank Executives — Anthropic in Mind,” April 22, 2026
- fptrendy.com, “FSA to Hold Meeting with Financial Institutions; Cyber Vigilance Rises over Anthropic’s New AI,” April 23, 2026
- mrkt30.com, “Anthropic Mythos Triggers China’s AI Arms Frenzy,” April 2026
- Reuters, “Australia working with Anthropic over cybersecurity vulnerabilities,” April 23, 2026
- Nikkei, “NEC Partners with U.S. Anthropic to Develop Corporate AI Demand,” April 23, 2026
The information published on this site is reference material prepared based on research and study; no warranty is made regarding its accuracy, completeness, or usefulness. Core assertions are policy inferences based on public information; confirmed facts and inferences are explicitly distinguished.
Author: Miho Funayama
Director, Japan Institute for Crisis Management / Research Fellow, Middle East Asia Intelligence Strategy Institute
B.A. in International Politics, Sophia University; M.A. in International Political Economy, Philosophy, and Psychology, Aoyama Gakuin University Graduate School.
Served at Canon Inc., specializing in patent research and analysis of international standards and emerging technologies. Held the position of Vice International Secretary of ISO/IEC JTC1 SC28 (Office Equipment), leading the development and coordination of international standards through multilateral negotiation processes.
Research Focus:
Specializes in the structural analysis of decision-making and behavioral patterns through systematic linguistic and behavioral analysis methodologies. Conducts research and analysis in security intelligence from the perspectives of PSYOP (Psychological Operations), information warfare, and crisis management policy. Drawing on an interdisciplinary foundation in international politics, psychology, and philosophy, focuses on elucidating the mechanisms of cognitive domain intervention by state and non-state actors.