Anthropic(アンスロピック)は2026年5月22日(現地時間)、世界的に重要なソフトウェアのセキュリティ強化を目指す「Project Glasswing(プロジェクト・グラスウィング)」の初期報告を公開した。同社のAIモデルClaude Mythos Preview(クロード・ミトス・プレビュー)は、約50のパートナー企業と協力し、1,000件以上のオープンソースプロジェクトをスキャン。合計23,019件の脆弱性を発見し、そのうち6,202件が高または重大な脆弱性と推定されている。独立したセキュリティ研究企業6社が評価した結果、1,752件中90.6%が真陽性と確認された。
Project Glasswingは、高性能AIモデルが悪用される前に、世界的に重要なソフトウェアを保護するための取り組みとして、前月に開始された。Anthropicおよびパートナーは、Claude Mythos Previewを使用し、これまでに1万件を超える高または重大な脆弱性を発見した。
Anthropicは、Claude Mythos Previewの性能について、エンドユーザーを危険にさらすことなく詳細を公開することはできないとしつつも、初期の結果と集計統計を提供した。Cloudflareは、Claude Mythos Previewを使用し、自社の基幹システムで2,000件のバグ(うち400件が高または重大度)を発見したと報告している。同社のチームは、その偽陽性率が人間によるテスターよりも優れていると評価している。
英国のAI Security Instituteは、Claude Mythos Previewがマルチステップサイバー攻撃のシミュレーションである2つのサイバーレンジをエンドツーエンドで解決した最初のモデルであると報告した。MozillaはFirefox 150で271件の脆弱性を発見・修正し、これはClaude Opus 4.6を使用していたFirefox 148での発見数の10倍以上であった。独立系セキュリティプラットフォームXBOWは、Claude Mythos Previewが既存の全モデルと比較して「大幅な進歩」を示し、「前例のない精度」を提供すると評価している。Palo Alto Networksは通常よりも5倍以上のパッチをリリースし、Microsoftは新規パッチのリリース数が「しばらく増加傾向を続ける」と報告。Oracleは、製品やクラウドにおける脆弱性の発見・修正速度が以前よりも数倍速くなっている。
Claude Mythos Previewは、オープンソースプロジェクトのスキャンも実施しており、推定6,202件の高または重大な脆弱性を特定した。これらの脆弱性のうち、独立系セキュリティ研究企業またはAnthropic自身によって評価された1,752件において、90.6%(1,587件)が有効な真陽性であり、62.4%(1,094件)が高または重大な脆弱性として確認された。これにより、Claude Mythos Previewはオープンソースコードにおいて約3,900件の高または重大な脆弱性を表面化する見通しだ。
検出された脆弱性の一例として、世界中で数十億のデバイスで使用されているオープンソース暗号ライブラリwolfSSLのケースが挙げられる。Claude Mythos Previewは、攻撃者が偽の証明書を偽造し、銀行やメールプロバイダの偽サイトをホストすることを可能にするエクスプロイトを構築した。この脆弱性(CVE-2026-5194)は既にパッチが適用されており、詳細な技術分析は今後数週間で公開される予定である。Anthropicは、これらのバグ修正におけるボトルネックが、脆弱性のトリアージ、報告、パッチの設計と展開に関わる人間の能力にあると指摘している。
参考: anthropic.com — 2026年5月22日 09:00 (JST)