Anthropicは5月22日(現地時間)、「Project Glasswing: An initial update Anthropic」において、世界的なソフトウェアの脆弱性発見および修正を目的とした「Project Glasswing」のこれまでの成果を発表した。

プロジェクト開始からわずか1カ月余りで、パートナー企業は1万件を超える重大脆弱性を発見した。一方で、AIによる大量検出に対し修正作業が追いつかないという新たな問題も浮上している。さらに、サイバーセキュリティにおける新たな課題についても予測を伝えている。

  • AIによる脆弱性発見は急増している一方、修正完了まで進んだ件数は限られている(出典: Anthropic)

    AIによる脆弱性発見は急増している一方、修正完了まで進んだ件数は限られている(出典: Anthropic)

パートナー企業で1万件超の重大な脆弱性を発見

プロジェクトの中心的存在は同社の最新AIモデル「Claude Mythos(ミュトス) Preview」だ。サイバーセキュリティ分野において他を圧倒する性能を誇り、主要OSやブラウザの脆弱性を自律的に発見できるという。

今回はこのモデルを活用した成果が示された。約50のパートナー企業および組織が自社ソフトウェアに対して脆弱性のスキャンを行い、この1カ月間に合計1万件を超える重大度の高い脆弱性を発見したという。Cloudflareでは約2000件、MozillaではFirefoxバージョン150において271件の脆弱性が修正され、複数の企業では、脆弱性発見ペースが従来比で10倍以上に加速したという。

Palo Alto Networksが最近リリースしたパッチは通常より5倍多い修正を含み、Microsoftは「しばらくの間、パッチ数の増加傾向が続く」と説明しており、AIによる脆弱性発見の急加速が一時的な現象ではない可能性も示された。いずれもMythos Previewの高い脆弱性検出能力を示す結果となった。

OSSからも大量検出 wolfSSLでは致命的脆弱性も

オープンソースソフトウェア(OSS)への影響も大きい。Anthropicは1000以上のOSSプロジェクトを分析し、Mythos Previewによって2万件を超える脆弱性候補を検出した。

このうち緊急度が高いと判断された約1700件について、Anthropicおよびセキュリティ企業が人手で検証を実施。その結果、9割以上が実際の脆弱性であることが確認され、約6割は緊急レベルに相当すると判断されたという。

とくに組み込みシステム向け軽量TLSライブラリー「wolfSSL」では、偽の証明書を生成できる致命的な脆弱性「CVE-2026-5194」が発見された。この脆弱性を悪用されると、攻撃者は正規サイトになりすました通信を成立させられる可能性がある。

AIは脆弱性を見つけ続ける、修正作業は追いつかず

AIによる脆弱性発見の速度が、人間による修正能力を上回り始めている点も大きな課題だ。

  • AIが発見した脆弱性候補のうち、外部検証やメンテナー報告、修正まで進んだ件数の流れ(出典: Anthropic)

    AIが発見した脆弱性候補のうち、外部検証やメンテナー報告、修正まで進んだ件数の流れ(出典: Anthropic)

一方で、発見された脆弱性のうち、実際に修正まで完了した件数はまだ限られており、修正体制のボトルネックも浮き彫りになっている。

Anthropicによると、重大バグの修正には平均2週間を要する一方、AIは短期間で大量の脆弱性を検出可能になっている。とくにOSSコミュニティではメンテナーの負荷が急増し、脆弱性報告を遅らせてほしいと依頼されるケースも発生しているという。

開発者側の対応負荷が増大する中、AnthropicはClaude Enterprise向けにコードスキャンおよび修正提案を行う「Claude Security(β版)」の提供を開始。すでに3週間で2100件以上の修正を支援したとしている。

さらに同社は、正当な研究者向けに利用制限を緩和する「Cyber Verification Program」を開始するほか、パートナー企業がGlasswingで利用した内部ツールや手順の一部も公開する方針を示した。

Anthropicは、AIによる大規模な脆弱性発見はすでに現実になっていると強調する。企業は攻撃者よりも早くAIを導入し、修正体制を構築しなければ、今後の攻撃に対応できなくなる可能性があるとしている。