Anthropicは2026年5月22日、サイバーセキュリティ防衛プロジェクト「Project Glasswing」の初期進捗を公開しました。
Project Glasswingは、AIモデルが攻撃に悪用される前に、社会的に重要なソフトウェアの脆弱性を見つけ、修正につなげることを目的とした協働プロジェクトです。今回の発表では、AIによる脆弱性発見の速度が大きく上がる一方で、その後の検証、開示、パッチ適用が新たな課題になっていることが強調されています。
Project Glasswingとは何か
Project Glasswingは、より高性能なAIモデルがサイバー攻撃に使われるリスクを見据え、先に防御側の準備を進める取り組みです。
Anthropicは、インターネットや重要インフラを支えるソフトウェアを保護するため、約50のパートナーと連携してClaude Mythos Previewを活用していると説明しています。Mythos Previewは、脆弱性の発見や検証に強い能力を持つモデルとして紹介されていますが、現時点では一般公開されていません。
今回の初期報告で示された大きなポイントは、AIによって脆弱性を見つけやすくなったことだけではありません。むしろ、発見された多数の問題を人間が確認し、適切な相手へ開示し、実際に修正して配布する体制が追いつくかどうかが、より重要な論点になっています。
1万件以上の高・重大度脆弱性を発見
Anthropicによると、Project Glasswingの開始から約1か月で、同社と約50のパートナーはClaude Mythos Previewを使い、世界的に重要なソフトウェア群から1万件以上の高・重大度脆弱性を発見したとしています。
パートナーの多くは、それぞれ数百件規模の高・重大度脆弱性を見つけており、一部では脆弱性発見の速度が10倍以上になったという報告もあるとされています。
ただし、この数字はそのまま「すべてが直ちに公開される」という意味ではありません。脆弱性情報は、利用者が更新する前に悪用されるリスクがあるため、通常は調整された開示プロセスを経ます。Anthropicも、パッチが広く行き渡るまでは詳細を限定し、集計値や一部の事例を中心に説明しています。
オープンソースでも大規模なスキャンを実施
Anthropicは、過去数か月にわたり、1,000以上のオープンソースプロジェクトもMythos Previewでスキャンしてきたと説明しています。
その結果、Mythos Previewは高・重大度と推定される脆弱性を6,202件、全体では2万3,019件の脆弱性候補を見つけたとされています。このうち一部は外部のセキュリティ調査会社などによって評価され、真陽性率や深刻度の確認が進められています。
具体例として、オープンソースの暗号ライブラリwolfSSLで見つかった脆弱性も挙げられています。この脆弱性はすでに修正済みで、Anthropicは今後、より詳細な技術分析を公開する予定だとしています。
発見よりも修正がボトルネックになる
今回の発表で特に重要なのは、AIによって脆弱性発見が速くなるほど、修正プロセス側の負荷が目立つようになるという点です。
脆弱性を安全に扱うには、まず再現性を確認し、深刻度を評価し、既存の修正有無を調べ、保守担当者に分かりやすい報告を送る必要があります。そこからさらに、修正方針の設計、パッチ作成、テスト、配布、利用者側の更新までが続きます。
Anthropicは、オープンソースの保守担当者が低品質なAI生成バグ報告の増加にも直面していると説明しています。つまり、防御側にとっての課題は「AIに脆弱性を探させること」だけではなく、「大量の発見を信頼できる修正へ変換する運用」をどう作るかに移りつつあります。
Mythos-classモデルを慎重に扱う理由
Anthropicは、Mythos Previewと同等のサイバー能力を持つモデルはいずれより広く利用可能になると見ています。一方で、現時点ではこうしたモデルの悪用を十分に防ぐ安全策がまだ整っていないため、Mythos-classモデルを一般公開していないと説明しています。
これは、サイバー防衛の観点では難しいバランスです。高性能なAIは、脆弱性の発見と修正を早める可能性があります。一方で、同じ能力は攻撃者にとっても利用価値があります。
Project Glasswingは、その一般公開前の段階で、重要なソフトウェアやインフラを守る側に先行的な優位性を持たせるための取り組みと位置づけられます。
開発者と組織に求められる対応
Anthropicは、開発者や組織に対して、パッチサイクルを短くし、利用者が更新しやすい仕組みを整える重要性を指摘しています。
AIによって脆弱性の発見コストが下がるほど、発見から修正、修正から利用者への展開までの遅れがリスクになります。ソフトウェア開発者は、セキュリティ修正を素早く出せる体制を整え、ユーザーが古いバージョンを使い続けにくい更新導線を設計する必要があります。
組織側でも、パッチの検証と展開にかかる時間を短縮することが重要になります。加えて、多要素認証、初期設定の堅牢化、ログの取得と監視といった基本的なセキュリティ対策の価値も、これまで以上に高まります。
AI時代のセキュリティは発見後の体制が問われる
Project Glasswingの初期報告は、AIがサイバーセキュリティの現場で大きな力を持ち始めていることを示す一方で、その力を防御に生かすには人間側の運用体制が欠かせないことも示しています。
脆弱性をより多く、より速く見つけられるようになれば、ソフトウェアはより安全にできる可能性があります。ただし、そのためには発見を検証し、関係者に正しく伝え、実際の修正と更新へつなげるプロセスが必要です。
開発者、企業、オープンソースの保守担当者にとって、AIによるセキュリティ支援は単なる新機能ではなく、既存のパッチ運用や更新設計を見直すきっかけになりそうです。
参照元URL: https://www.anthropic.com/research/glasswing-initial-update
