概要

Anthropicは2026年5月22日、サイバーセキュリティイニシアチブ「Project Glasswing」の初期報告を公開した。同プロジェクトは4月に開始され、未公開のAIモデル「Claude Mythos Preview」を活用して約50の組織と連携し、悪意ある攻撃者より先にソフトウェアの脆弱性を発見することを目的としている。開始からわずか1ヶ月で、パートナー企業全体で1万件以上の高・重大度脆弱性の発見を支援しており、各社のバグ発見率は従来比で「10倍以上」向上したと報告されている。

Anthropicが自ら実施した1,000以上のOSSプロジェクトへのスキャンでは、合計23,019件の問題が検出され、そのうち6,202件が高・重大度の脆弱性として分類された。Anthropicと6つの独立したセキュリティ企業が1,752件を精査した結果、90.6%が真陽性と確認され、62.4%が実際に高・重大度の脆弱性であることが判明した。この検証率から推計すると、約3,900件の重大脆弱性が実際に存在すると見られる。

主な発見事例

注目すべき発見のひとつは、暗号化ライブラリ「wolfSSL」で特定された脆弱性(CVE-2026-5194)だ。この脆弱性を悪用すると、攻撃者が偽の証明書を偽造して偽サイトを構築することが可能となるものであり、Mythos Previewが実際の悪用手法まで実証した。Anthropicはこのパッチ済み脆弱性に関する完全な技術分析を「数週間以内に」公開する予定だとしている。

英国のAIセキュリティ機関(UK AI Security Institute)は、Mythos Previewがサイバーレンジシミュレーションを端から端まで自律的に解決できたことを独自に検証した。セキュリティプラットフォームのXBOWも「これまでにない精度を持つ大幅な進歩」と評価しており、外部機関からの高い評価が相次いでいる。

パートナー企業の実績

主要テクノロジー企業への早期アクセス提供により、具体的な成果が各社から報告されている。Cloudflareはバグ2,000件を発見し、そのうち400件が高・重大度と分類された。Mozillaは最新版Firefoxにおいて271件の脆弱性を特定したが、これは旧モデルの別Claudeを用いたテストと比較して「10倍の発見数」に相当する。Microsoftでは直近の大規模パッチリリースがMythosの発見に起因していることが明らかにされた。AWS・Apple・Broadcom・Cisco・Google・NVIDIAも早期アクセスパートナーとして参加している。

課題と今後の展開

Anthropicは現時点でMythos Previewを一般公開しておらず、その理由として「悪用を防ぐための十分な安全策がまだ整っていない」としている。同社は「脆弱性の発見速度ではなく、検証・開示・修正の速度がボトルネックになっている」と指摘しており、パッチ適用の遅さが新たな課題として浮き彫りになっている。

今後はAnthropicが「Mythosクラスのモデル」を適切な安全策を整備した上で段階的に公開する計画を示しており、政府機関や大手テクノロジー企業との連携を通じてProject Glasswingの適用範囲を拡大していく方針だ。開発者に対してはパッチサイクルの短縮を、防御側には多要素認証やネットワーク強化といったベースラインのセキュリティ対策の強化を推奨している。