Anthropic(アンソロピック)は2026年5月22日、2026年4月に立ち上げたサイバーセキュリティ協調イニシアチブ「Project Glasswing(プロジェクト・グラスウィング)」の初回経過報告書(Project Glasswing: An initial update)を公式ブログで公表しました。
Claude Mythos Previewは立ち上げからわずか1か月で、約50の企業パートナーとの連携によりインターネットの根幹をなすシステム重要ソフトウェアから10,000件超の高・重大深刻度(High/Critical)の脆弱性を発見しました。また、独自に1,000以上のオープンソースプロジェクトをスキャンした結果では計23,019件の潜在的な脆弱性を検出し、うち6,202件が高・重大深刻度と推定されています(SecurityWeek・Engadget)。
同報告書でAnthropicは「ソフトウェアセキュリティの進歩は、かつては脆弱性をどれだけ速く発見できるかによって制約されていた。今や制約となっているのは、AIが大量に発見した脆弱性をどれだけ速く検証・開示・修正できるかだ」と述べており、AIが「発見」を加速させすぎた結果、人間の「修正」が追いつかないという新たな構造的問題が浮上しています。
この記事のサマリー
Project Glasswing 1か月の成果(50パートナー):10,000件超の高・重大深刻度脆弱性を発見。各パートナーは「数百件の重大/高深刻度バグ」を自社ソフトウェアで発見。バグ発見速度が従来の10倍以上に増加。
OSSスキャン結果(1,000以上のプロジェクト):23,019件の潜在的脆弱性を検出。うち6,202件が高・重大深刻度と推定。独立した6社のセキュリティ研究機関が1,752件を審査し90.6%が有効な真陽性と確認。真陽性のうち62.4%が高・重大深刻度と確認。
主要パートナーの実績:Cloudflareが2,000件(うち400件が高・重大深刻度)、MozillaがFirefoxで271件を修正(従来比10倍)、Microsoftは「パッチリリースがしばらく大型化し続ける」とMythosによる発見を示唆。
wolfSSL CVE-2026-5194:10億台超のデバイスで使用される暗号ライブラリに証明書偽造を可能にする脆弱性を発見・開示・修正済み。
開示の現状:530件の高・重大深刻度バグをメンテナーに開示済み。修正済みは75件、公開アドバイザリ発行済みは65件。高・重大深刻度バグの修正にかかる平均期間は約2週間。
「報告をやめてほしい」という悲鳴:一部のOSSメンテナーから「リソースが追いつかないので報告を止めてほしい」という要請が上がるという前例のない事態が発生。
$1.5百万の詐欺阻止:パートナー銀行との実際の商取引でMythos PreviewがBEC(ビジネスメール詐欺)的な電信送金詐欺試みを自律的に阻止。
Mythosの一般公開への言及:AnthropicはMythosクラスのモデルを将来的に一般公開することを検討していると初めて言及。
Project Glasswingとは—「AIが攻撃に転用される前に防衛側が先に使う」
Project Glasswingは2026年4月、Anthropicが「インターネットの根幹をなす重要なソフトウェアを、高度なAIモデルが攻撃に転用される前に確保する」ことを目的として立ち上げた協調型サイバーセキュリティイニシアチブです。
中核となるのは未公開フロンティアモデル「Claude Mythos Preview」であり、脆弱性の自律的な発見・エクスプロイト(攻撃コード)の構築・攻撃チェーン全体の連鎖的構築を実行できることで知られています。同イニシアチブへの参加は現在、AWS・Apple・Cisco・Cloudflare・CrowdStrike・Google・JPMorgan Chase・Microsoft・Mozilla・NVIDIA・Palo Alto Networks等の約50のパートナー組織に限定されています。
当サイトの過去記事で詳報した通り、Claude MythosはOpenBSDの27年前の脆弱性やFFmpegの16年前の脆弱性を自律的に発見した実績を持ち、FreeBSDでは認証不要のroot権限奪取(CVE-2026-4747)も確認されています。
Project Glasswing初回報告の主要数値——「1か月で10,000件超」
Anthropicのブログ(2026年5月22日)が示す主要な数値は以下の通りです。
50パートナーとの連携による成果として、1か月で10,000件超の高・重大深刻度脆弱性を発見しています。ほぼすべてのパートナーが自社ソフトウェアで「数百件の重大/高深刻度バグ」を発見し、バグ発見速度が従来比10倍以上に増加しました。
パートナー別の顕著な成果として、Cloudflareでは2,000件を発見し、うち400件が高・重大深刻度でした。Mozilla Firefoxでは271件の脆弱性を修正し、これは以前のClaudeモデルを使った場合と比較して10倍の増加です。Microsoftはパッチリリースが「しばらく大型化し続ける」と述べており、これをMythos Previewによる発見の影響と示唆しています。
最も注目すべき数値としてAnthropicは「今やソフトウェアセキュリティの制約は脆弱性の発見速度ではなく、AIが発見した大量の脆弱性を検証・開示・修正する速度だ」と明確に述べています。
OSSスキャン結果の詳細——23,019件のうち6,202件が高・重大深刻度
Anthropicは独自にMythos Previewを使って1,000以上のオープンソースプロジェクトをスキャンし、以下の結果を得ました(SecurityWeek・Investing.com)。
全検出件数:23,019件として、Mythos Previewが候補として挙げた全脆弱性の件数です。高・重大深刻度(推定):6,202件として、そのうちMythosが高・重大深刻度と推定した件数です。独立した6社のセキュリティ研究機関が1,752件を精査した結果、90.6%(約1,587件)が有効な真陽性と確認されました。さらにそのうち62.4%が高・重大深刻度と確認されています。現在の真陽性率を適用した推計では、約3,900件の高・重大深刻度脆弱性が実在するとAnthropicは試算しています。
開示の現状として、530件の高・重大深刻度バグをメンテナーに開示済みであり、そのうち修正済みが75件、公開アドバイザリ発行済みが65件です。高・重大深刻度バグの修正に要する平均時間は約2週間です。
wolfSSL CVE-2026-5194——10億台超のデバイスに影響した証明書偽造脆弱性
今回の開示の中で特筆すべき事例がwolfSSL(CVE-2026-5194)への脆弱性発見です(Investing.com)。
wolfSSLは組み込みシステム・IoT機器・モバイルデバイスを中心に10億台超のデバイスで使用されている軽量の暗号ライブラリです。Mythos Previewが発見した脆弱性は、攻撃者が証明書を偽造し、銀行やメールプロバイダー等を装った偽のウェブサイトをHTTPS経由でホストできるというもので、大規模なフィッシング・中間者攻撃(MITM)への悪用が懸念されます。Anthropicはこの脆弱性をwolfSSLに開示し、CVE-2026-5194として登録・修正済みです。
Anthropicは完全な技術的分析を近く公開するとしています。
修正が追いつかないという前例のない事態
今回の報告書が示した最も重要な問題は、AIによる脆弱性発見の速度が人間によるパッチ適用の速度を大幅に超えてしまったという点です。
Anthropicのブログは「問題は何を見つけるかではなく、見つかったものをどう処理するかになった」と明確に述べています。TechTimesは一部のOSSメンテナーが「報告をやめてほしい——対応しきれない」と訴えるほどの状況になっていると報じており(TechTimes)、これはソフトウェアエコシステムにとって前例のない事態です。
この「検知の氾濫(Alert Flood)」は企業の防御側にとっても同様の問題を提起します。これまでのCVEベースのトリアージは、現在のAIによる脆弱性発見の規模には対応できておらず、企業セキュリティチームはパッチ適用の優先順位付け・検証・適用のプロセスを抜本的に見直す必要があります。
Mythosの一般公開への言及——「将来的なリリースを検討」
Anthropicのブログは「Mythosクラスのモデルを将来的に一般公開することを検討している」と初めて言及しました(Dataconomy・Quasa)。現在は約50のパートナー組織への厳格な限定アクセスに留まっていますが、今後は米国政府との連携も予定されているとAnthropicは述べています。
一般公開の時期・条件・アクセスモデルについての詳細は未発表ですが、Anthropicの方針転換(情報開示ルールの緩和、Gottheimer議員等への対応)と合わせ、段階的な開放に向けた地ならしが進んでいるとみられます。
日本のセキュリティ担当者が取るべき対応
今回の報告書が示す含意として、日本の企業・組織には以下の対応が求められます。
wolfSSL使用製品のパッチ確認として、10億台超に影響したCVE-2026-5194について、自社製品・利用しているサードパーティ製品・IoT機器でwolfSSLを採用しているものがあれば最新版に更新されているかを確認してください。
「CVEが増える」という前提でのパッチ管理プロセスの見直しとして、Microsoftのパッチリリースが「しばらく大型化し続ける」と示唆されており、CloudflareやMozillaでも同様の大量のバグ開示が続く見込みです。従来のパッチ管理プロセスがこの量に対応できるかを今すぐ評価してください。
OSS依存ライブラリの継続的な脆弱性監視として、23,000件超のOSSプロジェクトの候補脆弱性のうち、自社の本番環境で使用しているライブラリが含まれていないかをSBOM(ソフトウェア部品表)等を活用して確認することを推奨します。
参考情報(1次ソース)
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)