Anthropic は2026年5月26日(現地時間)、プロジェクト・グラスウィング (Project Glasswing) の進捗に関する更新を発表しました。同社の大規模言語モデル (LLM) であるクロード・ミトス・プレビュー (Claude Mythos Preview) が、主要なソフトウェアシステムにおいて10,000件以上の高または重大な深刻度の脆弱性を特定したと明らかにしました。このモデルは自律的にゼロデイ脆弱性を発見し、エクスプロイトを作成する能力を有します。
アンソロピックは2026年4月にクロード・ミトス・プレビューを発表し、同時にプロジェクト・グラスウィングを開始しました。このプロジェクトでは、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、The Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなど、オープンソースコミュニティのパートナーにLLMへのアクセスが提供されました。これは、AIシステムがソフトウェアを標的とする前に、重要なソフトウェアを保護することを目的としています。
クロード・ミトス・プレビューの支援により、CloudflareやMozillaを含む複数の企業が自社コードベースで数百件の脆弱性を発見しました。アンソロピックはまた、1,000以上のオープンソースプロジェクトを同モデルでスキャンし、合計23,019件の問題を特定しました。そのうち6,202件が高または重大な深刻度の脆弱性でした。同社と6つの独立系セキュリティ研究企業がこれら高または重大な深刻度の脆弱性1,752件を評価した結果、90%以上が真正な陽性 (true positives) であると検証されました。
一例として、クロード・ミトス・プレビューは数十億のデバイスで使用されるオープンソース暗号ライブラリのウルフSSL (wolfSSL) において、攻撃者が銀行やメールプロバイダの偽のウェブサイトをホストできる証明書を偽造するエクスプロイトを作成する脆弱性を特定しました。この脆弱性は既にパッチが適用されていますが、技術詳細は非公開です。アンソロピックは、脆弱性発見のプロセスにおいて、その発見の容易さに対して修正の難しさがサイバーセキュリティの大きな課題となっていると指摘しています。
オープンソースメンテナーのバグレポート処理を支援するため、アンソロピックはオープンソース・セキュリティ・ファンデーション (Open Source Security Foundation) のアルファ・オメガ (Alpha-Omega) プロジェクトと提携しました。また、脆弱性の発見とパッチ適用を容易にするため、クロード・セキュリティ (Claude Security) をクロード・エンタープライズ (Claude Enterprise) 顧客向けにパブリックベータ版としてリリースしました。同社のサイバー・ベリフィケーション・プログラム (Cyber Verification Program) は、承認されたセキュリティプロフェッショナルがモデルを正当なサイバーセキュリティ作業に少ない制限で使用することを許可しており、クロード・ミトス・プレビューで使用されるカスタムスキル、自動スキャンおよびレポートフレームワーク、脅威モデリングツールなども対象となるセキュリティチームに提供されています。
アンソロピックは米国政府および同盟政府を含むパートナーと協力してプロジェクト・グラスウィングを拡大する計画であり、クロード・ミトス・プレビュークラスのモデルを一般公開する意向を示しています。ただし、これはより強力なセーフガードを開発した後になると強調しており、現時点ではアンソロピックを含むどの企業も、これらのモデルの誤用や深刻な危害を防ぐのに十分なセーフガードを開発していないと述べています。
参考: helpnetsecurity.com (アーカイブ) — 2026年5月26日 23:30 (JST)