Claude Mythos が 500 以上のゼロデイを発見: セキュリティ チェックを自動化
人間的\
2026 年 4 月 7 日、Anthropic は Claude Mythos プレビューを発表しました。 数日以内に内部テストを行ったところ、500 件以上の脆弱性が発見されました。 地球上で最も精査されているコードベースの一部に重大度の高い脆弱性が存在: 16 年前の限界外 FFmpeg での書き込み、OpenBSD での 27 年前のサービス拒否攻撃、および FreeBSD でのリモート コード実行 17 年間検出されませんでした (CVE-2026-4747)。
Mythos にアクセスできません。 Anthropic は、これを Project Glasswing パートナーに限定しました: AWS、Apple、Google、 Microsoft、Nvidia、CrowdStrike、その他数社。 しかし、メッセージは明らかです。AI が隠れているバグを見つけることができれば、 コードベースはファザーによって何百万回もテストされていますが、インフラストラクチャにもギャップがあります。
この投稿では、API 呼び出しを使用して今すぐ自動化できる 6 つのセキュリティ チェックについて説明します。 Mythos へのアクセスは必要ありません。 それぞれ
一人はシングルを取る curl コマンドを実行すると構造化された JSON が返され、アラート、ダッシュボード、または
CI パイプライン。
Mythos が見つけたもの (そしてそれがスタックにとって重要な理由)
従来のファザーはコードにランダムな入力をスローします。 Mythos はソース コードを証券のように読み取って推論します。 研究者。 Git のコミット履歴を追跡し、不完全なパッチを特定し、複数の範囲にわたるエクスプロイト チェーンを構築しました。 複数の脆弱性。
| プロジェクト | バグの種類 | 年 | 詳細 |
|---|---|---|---|
| FFmpeg H.264 コーデック | 範囲外の書き込み | 16年 | スライス番号付けの衝突。 ファザーはトリガーせずにラインに 500 万回ヒットしました |
| OpenBSD TCP/SACK | サービス拒否 | 27年 | 符号付き整数のオーバーフロー + NULL ポインター逆参照。 あらゆるマシンをリモートでクラッシュさせる |
| FreeBSD NFS | リモートコード実行 | 17年 | CVE-2026-4747; RPCSEC_GSS 認証でのスタック バッファ オーバーフロー、認証は必要ありません |
| ゴーストスクリプト | スタック境界のバイパス | 数十年 | フォント処理における不完全な境界チェック。 以前にパッチを適用したパスをミラーリングしました |
| CGIF | バッファオーバーフロー | 年 | LZW 辞書をリセットすると、出力が入力サイズを超えます。 100% のコード カバレッジを達成できませんでした |
費用は? OpenBSD のバグを見つけるのに 20,000 ドル未満。 FFmpeg の脆弱性については 10,000 ドル未満。 それよりも安いです 1 週間の手動侵入テスト。
現在、自分のコードに対して Mythos を実行することはできません。 しかし、深いバイナリを必要としないギャップを埋めることはできます。 分析: 期限切れの証明書、電子メール認証の欠落、脆弱なセキュリティ ヘッダー、サイレント ダウンタイム。
チェック1: SSL証明書の有効期限が切れている
SSL 証明書の期限が切れると機能停止が発生し、ユーザーの信頼が失われます。 Stripe、Microsoft、Spotify はすべて、 証明書関連のインシデント。 1 回の API 呼び出しで、残りの日数がわかります。
curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"issuer": "Let's Encrypt",
"valid_from": "2026-02-01T00:00:00.000Z",
"valid_to": "2026-05-02T00:00:00.000Z",
"days_remaining": 23,
"expired": false,
"expiring_soon": true
}
}
の expiring_soon 旗が反転する true 証明書が発行されてから 30 日以内の場合
有効期限。 これを Slack アラートまたは CI チェックにパイプします。
チェック 2: SPF レコードの検証
SPF レコードが正しく設定されていない場合、攻撃者がドメインからのメールをなりすますことができることを意味します。 Mythosの発表で思い出した セキュリティがコードを超えていることを誰もが認識しています。DNS 設定も攻撃対象領域です。
curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"has_spf": true,
"record": "v=spf1 include:_spf.google.com ~all",
"issues": [
"SPF record uses ~all (softfail) instead of -all (hardfail)"
],
"score": "B"
}
}
エンドポイントが検出する一般的な問題: ~all の代わりに -all、DNS ルックアップが多すぎます
(10 ルックアップ制限を超えています)、欠落しています include: サードパーティの送信者向けのディレクティブ。
チェック 3: DMARC ポリシー
DMARC を使用しない場合、SPF および DKIM チェックには強制力がありません。 攻撃者はなりすましメールを受信トレイに送ります。 検証をスキップします。
curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'
探す policy: "reject" 応答で。 それ以下のもの (none または
quarantine) は、ドメインからのなりすましメールが引き続き受信箱に届く可能性があることを意味します。
チェック4:DKIMセレクター
DKIM は、送信電子メールに暗号キーを使用して署名します。 これがないと、受信サーバーはメールの内容を検証できません。 輸送中に改ざんされていなかった。
curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com", "selector": "google"}'
メールプロバイダーが使用するセレクターを渡します (Google が使用する google、マイクロソフトが使用している
selector1 そして selector2)。 エンドポイントは、公開キーが存在し、正しく設定されていることを検証します。
フォーマット済み。
チェック 5: HTTP セキュリティ ヘッダー
次のようなヘッダーが欠落しています Strict-Transport-Security、 X-Content-Type-Options、 そして
Content-Security-Policy アプリはダウングレード攻撃、MIME スニッフィング、XSS に対して無防備なままになります。
curl -s -X POST https://api.botoi.com/v1/headers \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'
応答には次の内容が含まれます security_headers どのヘッダーが存在し、どのヘッダーが欠落しているかを示すオブジェクト
そしてそれらに含まれる値。 リグレッションを検出するには、このチェックをデプロイメント パイプラインに追加します。
チェック6: 稼働時間と応答時間
サイトがダウンしても、他に何も問題はありません。 簡単な稼働時間チェックでアプリの応答を確認し、遅延を測定し、 リダイレクト ループや予期しないステータス コードをキャッチします。
curl -s -X POST https://api.botoi.com/v1/uptime/check \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'6 つすべてを 1 つの監査スクリプトに結合します
単一の bash スクリプトを使用して、任意のドメインに対して 6 つのチェックすべてを実行します。 名前を付けて保存 audit.sh、作ってください
実行可能ファイルを作成し、ドメインを引数として渡します。
#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"
echo "Security audit for \$DOMAIN"
echo "=========================="
# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'
# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'
# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'
# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'
# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'
echo "\\nAudit complete."Botoi SDK を使用した Node.js
TypeScript を使用したい場合は、 @botoi/sdk パッケージは、完全な型安全性を備えたすべてのチェックを並行して実行します。
import Botoi from "@botoi/sdk";
const botoi = new Botoi(); // no key needed for free tier
async function auditDomain(domain: string) {
const [ssl, spf, dmarc, headers] = await Promise.all([
botoi.sslCert.expiry({ domain }),
botoi.dnsSecurity.spfCheck({ domain }),
botoi.dnsSecurity.dmarcCheck({ domain }),
botoi.headers.check({ url: \`https://\${domain}\` }),
]);
const issues: string[] = [];
if (ssl.data.days_remaining < 30) {
issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
}
if (!spf.data.has_spf) {
issues.push("Missing SPF record");
}
if (!dmarc.data.has_dmarc) {
issues.push("Missing DMARC record");
}
if (spf.data.score !== "A") {
issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
}
return { domain, issues, passed: issues.length === 0 };
}
const result = await auditDomain("your-app.com");
console.log(result);GitHub アクションで自動化する
プッシュするたびにこれらのチェックを実行します。 main そして毎週のスケジュールで。 次の場合、アクションはビルドに失敗します。
SSL 証明書の有効期限が切れてから 14 日以内であるか、SPF スコアが A を下回っています。
name: Security Audit
on:
schedule:
- cron: '0 9 * * 1' # Every Monday at 9 AM
push:
branches: [main]
jobs:
audit:
runs-on: ubuntu-latest
steps:
- name: Check SSL expiry
run: |
RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
if [ "\$DAYS" -lt 14 ]; then
echo "::warning::SSL certificate expires in \$DAYS days"
exit 1
fi
- name: Check DNS security
run: |
SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
SCORE=\$(echo \$SPF | jq -r '.data.score')
if [ "\$SCORE" != "A" ]; then
echo "::warning::SPF score is \$SCORE, not A"
fiMythos がセキュリティ チームに与える影響
Mythos は、OSS-Fuzz コーパス全体でクラッシュを誘発する入力を 595 個発見しました。これに対し、Opus 4.6 では約 150 個でした。 Opus 4.6 が管理していた 181 の実用的な Firefox エクスプロイトを開発しました。 2. Anthropic は API に 1 億ドルをコミットしました。 Project Glasswing を通じてオープンソース セキュリティ組織にクレジットと 400 万ドルを寄付します。
要点: AI 主導の脆弱性発見は機能します。 規模もスピードも増すばかりです。 攻撃者は、 同様の機能にアクセスできます。 防御は手動監査のみに依存することはできません。
この投稿の 6 つのチェックでは、依存関係で 16 年前のバッファ オーバーフローは検出されません。 しかし、彼らはそれを捕まえます 実際のインシデントを引き起こす簡単な障害: 期限切れの証明書、なりすまし可能な電子メール ドメイン、セキュリティの欠如 ヘッダーとサイレント ダウンタイム。 今すぐそれらを自動化しましょう。 戻ってきたものを修正します。 それから、より深いことについて心配してください。
FAQ
- クロード神話とは何ですか?使用できますか?
- Claude Mythos Preview は、2026 年 4 月 7 日に発表された Anthropic の最新 AI モデルです。FFmpeg、OpenBSD、FreeBSD などのオープンソース プロジェクトで 500 を超える重大度の高い脆弱性が見つかりました。 Anthropic には一般公開の予定はありません。 アクセスは、AWS、Apple、Google、Microsoft、Nvidia、CrowdStrike などの Project Glasswing パートナーに制限されます。
- クロード・ミトスはどのような脆弱性を発見しましたか?
- Mythos では、メモリ破損のバグ、バッファ オーバーフロー、スタック オーバーフロー、ロジックの欠陥が発見されました。 注目すべき例には、FFmpeg の H.264 コーデックでの 16 年前の境界外書き込み、OpenBSD の TCP スタックでの 27 年前のサービス拒否バグ、FreeBSD NFS での 17 年前のリモート コード実行の脆弱性 (CVE-2026-4747) などがあります。
- API を使用してドメインの SSL および DNS セキュリティをチェックできますか?
- はい。 証明書の有効性を確認するには、ドメインを指定して https://api.botoi.com/v1/ssl-cert/expiry に POST リクエストを送信します。 電子メール認証レコードを監査するには、/v1/dns-security/spf-check、/v1/dns-security/dmarc-check、および /v1/dns-security/dkim-check を使用します。 すべてのエンドポイントは API キーなしで 1 分あたり 5 リクエストで動作します。
- CI パイプラインのセキュリティ チェックを自動化するにはどうすればよいですか?
- curl または HTTP クライアントを使用して、任意の CI システムからセキュリティ エンドポイントを呼び出します。 SSL の有効期限、DNS セキュリティ レコード、HTTP セキュリティ ヘッダー、およびサイトの可用性をプッシュごとまたは cron スケジュールで確認します。 Botoi API は構造化された JSON を返すため、結果を解析して、チェックで警告が返された場合にビルドを失敗させることができます。
- プロジェクト・グラスウィングとは何ですか?
- Project Glasswing は、Claude Mythos を防御セキュリティに使用するという Anthropic の取り組みです。 パートナーには、AWS、Apple、Google、Microsoft、Nvidia、CrowdStrike、Cisco、Broadcom、JPMorganChase、Palo Alto Networks、Linux Foundation が含まれます。 Anthropic は、API クレジットとして最大 1 億ドル、オープンソース セキュリティ組織に最大 400 万ドルをコミットしました。
botoiで開発を始めよう
150以上のAPIエンドポイント。検索、テキスト処理、画像生成、開発者ユーティリティに対応。無料プラン、クレジットカード不要。