Anthropic：Project Glasswingが初月に1万件超の高リスク脆弱性を発見

Anthropicは2026年5月22日、重要なソフトウェアをスキャンして攻撃者が悪用する前に脆弱性を発見するProject Glasswingの初月次報告を発表しました。Project GlasswingはMozilla、英国AI安全研究所、XBOWのセキュリティチームなど約50の外部パートナーを結集し、構造化された研究プレビュープログラムを通じてMythosモデルを使用しています。初月、パートナーは自社の本番コードベースで1万件以上の高リスク・クリティカルな脆弱性を報告しました。

Anthropicは同時に、Glasswingを通じてGitHubなどのプラットフォーム上の1,000以上のJavaScript、Python、Rustプロジェクトを自動スキャンするオープンソースプログラムも開始しました。このプログラムでは、Mythosが6,202件の高リスク・クリティカルな脆弱性を90.6%の真陽性率で発見しました。この数値はプロジェクト保守者との協調トリアージプロセスで測定されました。

Project Glasswingの技術的な仕組み

Project GlasswingはClaude Mythos Previewモデルとパイプラインを組み合わせています。このパイプラインはソースコードを受け取り、関数とメタデータのセマンティックモデルを構築し、特定のクラスの脆弱性——メモリ安全性の問題、デシリアライゼーションガジェット、競合状態、ハードコードされた認証情報、認可制御の論理エラー——を発見するようモデルに指示します。Mythosは仮説を生成し、サンドボックス環境での再現を試み、検証された発見のみを人間のレビューチームに転送します。

Anthropicは、Mythosがセマンティック理解と標的を絞った実験を組み合わせているため、従来の静的解析器やファザーが見逃す欠陥を発見できると主張しています。Mozillaは協調発表の中で、GlasswingプログラムによりMythosがFirefoxコードベースで発見した確認済み脆弱性が、以前の内部および外部ペネトレーションテストの比10倍多いと述べました。

パートナーの使用状況と結果

報告された数字の中で、Anthropicはいくつかの具体的なパートナーを強調しました。Mozillaは、MythosがFirefoxコードベースでセキュリティ上の欠陥を既存の監査チームの10倍の速さで発見していると発表しました。英国AI安全研究所はGlasswingを独立した発見の検証とモデルの攻撃能力評価に使用しています。自律型ペネトレーションテスターを専門とするXBOWは、Mythosを自律型ペネトレーションエージェントに統合しています。

これはサイバーセキュリティをどう変えるのか

Anthropicは、主なボトルネックが脆弱性の発見から検証とパッチ適用へと移ったと明示しています。数千件の確認済みクリティカルな欠陥が協調的な開示と修正を待っており、オープンソースプロジェクトの保守者と製品のセキュリティチームに圧力をかけています。これはサイバーセキュリティの構造的な変化です——何十年もの間、「報告された脆弱性の数についていけない」という主張がパッチ適用の遅れの言い訳だったのが、今や不十分な組織化の言い訳になっています。

なぜMythosモデルは非公開のままなのか

Anthropicは同じ文書で、Mythosモデルは現時点では一般公開なしのPreviewアクセスのままであると説明しました。理由はデュアルユースリスクです：パートナーが脆弱性を発見・修正するのに役立つ同じ能力が、攻撃者が本番システムの欠陥を自動的にスキャンすることも可能にしてしまいます。Anthropicは現在のセーフガード——レート制限、パートナープログラムによるアクセス制御、クエリ監視——が無制限の一般配布には不十分と評価しています。

英国AI安全研究所がMythosモデルの攻撃能力を評価することでこの評価を独立して確認しました。Anthropicは今後数か月でパートナープログラムを拡大し、2027年中に広範なアクセスを可能にする可能性のある、より強力なセーフガードの開発を発表しました。