AI脆弱性発見

2026年5月22日、AnthropicはProject Glasswingの初回進捗レポートを公開した。 これは、Claude Mythos Previewを用いた脆弱性発見の共同プロジェクトであり、わずか1ヶ月で50以上のパートナー組織が共同で1万件以上の高・重大度脆弱性を発見したことを報告している。 本稿は、当サイトで既に公開した Claude Mythos Preview徹底解説 および AIセキュリティ時代のCTF変容 に続く、Mythosセキュリティ三部作の完結編として、Project Glasswingの具体的な成果と、そこから浮かび上がる新たな課題を詳述する。 Project Glasswingとは Project Glasswingは、Anthropicが2026年4月に立ち上げた、AIを活用したソフトウェア脆弱性対策の共同プロジェクトである。Apple、Microsoft、Google、Cloudflare、Mozilla、IBM、Palo Alto Networks、Oracle、Ciscoなど、ソフトウェアエコシステムの最重要プレイヤーが参加し、Claude Mythos Preview（SWE-bench Verified 93.9%）の脆弱性発見能力を実際のセキュリティ業務に適用している。 初回アップデートが示した衝撃的なデータ 1. パートナーによる脆弱性発見：10,000件超 プロジェクト開始から1ヶ月で、50以上のパートナー組織がMythos Previewを用いて10,000件以上の高・重大度脆弱性を発見した。特筆すべきは、もはや「脆弱性を見つける」ことがボトルネックではなくなったことだ。Anthropicのレポートは明確に述べている： 「ソフトウェアセキュリティの進歩は、かつては新しい脆弱性をいかに速く見つけるかに制限されていた。今やそれは、AIが見つけた大量の脆弱性をいかに速く検証・開示・修正するかに制限されている。」 2. オープンソーススキャン：1,000リポジトリ、23,019件の脆弱性 Anthropicが独自に実施したオープンソースソフトウェアスキャンでは、1,000以上のOSSプロジェクトを対象にMythos Previewが脆弱性を検索。その結果は以下の通りだ： 指標 数値 スキャン対象リポジトリ 1,000以上 発見された脆弱性総数 23,019件 推定高・重大度（内訳） 6,202件 トリアージ済み（第三者セキュリティ企業またはAnthropic検証） 1,752件 うち真陽性（90.6%） 1,587件 確認された高・重大度 1,094件（62.4%） メンテナに開示済み 530件 修正済み 75件 うち公開アドバイザリ発行 65件 真陽性率90.6% という驚異的な精度は、従来の静的解析ツールや人手によるコードレビューを大幅に上回る。Anthropicはこのペースが続けば、約3,900件の検証済み高・重大度脆弱性に到達すると見積もっている。 3. パートナー各社の具体的な成果 CloudflareはMythos Previewを用いて2,000件のバグ（うち400件が高・重大度）を発見。偽陽性率は人間のテスターを下回った。Cloudflare自身のブログでも詳細な技術分析が公開されている。 Mozillaでは、Firefox 150のコードベースをMythos Previewがスキャンし、271件の脆弱性を発見。これは従来のClaude Opus 4.6がFirefox 148で発見した件数の10倍以上である。 Palo Alto Networksは、Mythosを活用したリリースで、通常の5倍のパッチを1回のリリースに含めた。 Microsoftは、パッチボリュームが「今後も増加傾向が続く」と報告している。 Oracleは、脆弱性の検出と対応が「複数倍高速化」したと表明。 wolfSSLでは、Mythos Previewが証明書偽造を可能にする脆弱性を発見し、実際にエクスプロイトを構築することに成功した（CVE-2026-5194、既に修正済み）。 ...