AIが「直せない量」の脆弱性を見つけてしまった|Glasswing初期レポート2026
「このペースで開示が続くと、うちのチームは対応しきれない。少し落としてほしいとAnthropicにお願いしている」。あるオープンソースメンテナーがそう打ち明けたのは、脆弱性を見つけてもらった感謝ではなく、量への悲鳴だった。
2026年5月22日、Anthropicは「Project Glasswing初期アップデート」を公開した。Claudeシリーズの最上位モデル「Claude Mythos Preview」を約50のパートナー組織に限定提供してきた同プロジェクトが、1ヶ月間の成果として示した数字は衝撃的だった。高危険度以上の脆弱性が1万件超、総検出数は23,019件。的中率は独立検証で90.6%。「見つける壁」を破ったのは事実だ。だが同時に、修正できたのはその14%に過ぎないという、もうひとつの事実も浮かび上がった(Anthropic公式アップデート, 2026-05-22)。
- セキュリティエンジニアやAppSec担当者でAIによる脆弱性スキャンの現状を知りたい人
- オープンソースのメンテナーやコントリビューターで修正負荷の増大に関心がある人
- Claude MythosやProject Glasswingの最新データを追っているAI・セキュリティ研究者
1ヶ月で1万超の脆弱性:数字が意味するもの
Project Glasswingが公開した初期アップデートの核心は、三つの数字にある。
まず23,019件。Mythos Previewが1,000以上のオープンソースプロジェクトをスキャンして検出した候補件数の総数だ。このうち高危険度(High)または重大(Critical)と分類されたのが6,202件。さらに50のパートナー組織が自社ソフトウェアを対象にした独自スキャンでは、高危険度以上の脆弱性が1万件超に達した。
次に90.6%。1,752件のサンプルを6つの独立したセキュリティ研究会社が手動検証した際の的中率だ。残り約9%が誤検知ということになるが、Cloudflareのエンジニアはこう評価した。「Mythos Previewの誤検知率は、人間の検査官より低かった」(Cloudflare Blog, 2026-05)。
最後に271件。MozillaがFirefox 150の開発過程でMythos Previewを使ったところ発見されたゼロデイの数だ。従来のAIツールを使っていたFirefox 148の開発時と比較すると、10倍以上の件数になる(SecurityWeek, 2026-05)。
Anthropicはこれらのパートナーに1億ドル分のモデル利用クレジットを無償提供し、Linux Foundationなどオープンソース基盤のセキュリティ組織には計400万ドルの寄付も行った。スキャン対象にはAmazon Web Services、Apple、Cisco、Google、JPMorgan Chase、Microsoft、NVIDIAが含まれる。
Mythosはどう脆弱性を「見る」のか
Project GlasswingにおけるMythosの能力について、Dario AmodeiはXへの投稿でこう述べた。「サイバーセキュリティを得意にするために特別に訓練したわけではない。コードを得意にするために訓練した。そしてコードに強い副産物として、サイバーにも強くなった」(Dario Amodei on X, 2026-05)。
Mythosの脆弱性ハンティングは以下のパイプラインで動く。
- コードベース全体の読解 — 人間なら数ヶ月かかるような大規模コードベースを一括で解釈
- 仮説の生成 — コードパターンや過去の脆弱性クラスに基づき「どこに欠陥があるか」の仮説を立てる
- 自律的なエクスプロイト構築 — 仮説を検証するため、動作する概念実証(PoC)エクスプロイトを自律生成
- チェーン化 — 個別には軽微な欠陥2〜4件を組み合わせ、サンドボックス脱出や権限昇格につながる多段攻撃パスを構築
- トリアージ — 副エージェントが技術的には有効でも実害の低い発見を除外し、深刻なものだけを人間のレビューに送る
特に注目すべきは4番目の「チェーン化」だ。あるWebブラウザの調査では、4つの独立したバグを組み合わせてJITヒープスプレー(JIT: ブラウザが実行時にコードをコンパイルする機構。その領域に悪意あるデータを充填して実行制御を奪う手法)を実行し、ブラウザのレンダラーサンドボックス(外部アクセスを遮断した隔離実行環境)とOSサンドボックスの両方を脱出するエクスプロイトを完成させた。次節の具体事例でこのチェーン化の威力を確認できる。専門の人間チームなら数週間かかる作業だ。
27年間放置されていたセキュリティの穴:具体的な脆弱性事例
具体的な発見事例を見ると、Mythosが単なる既知バグの自動検出ではないことがわかる。
wolfSSL(CVE-2026-5194) — 「世界で最も広く展開されたTLSライブラリ」と自称する同社の資料によれば数十億台のデバイスに搭載されているオープンソースの暗号ライブラリだ(wolfSSL公式)。Mythosは攻撃者が任意ドメインの偽X.509証明書を偽造できるエクスプロイトを自律生成した。被害を受けたユーザーのブラウザは偽の銀行サイトや決済サービスを本物と判断する。すでにパッチ適用済み。
FreeBSD NFS(CVE-2026-4747) — ネットワークファイルシステムの実装に17年間潜んでいたリモートコード実行(RCE)の脆弱性。Mythosが生成したのは複数パケットにまたがる20ガジェットのROPチェーン(ROP: Return-Oriented Programming。メモリ上に既存するコード断片を連鎖させ任意処理を実行する攻撃手法)で、認証なしの攻撃者がサーバーを完全制御できる。修正済み。
OpenBSD — セキュリティを設計思想の核に置くOSが27年前から抱えていたリモートクラッシュの脆弱性。それまでのあらゆる人間によるコードレビューと自動テストをくぐり抜けていた。
Linuxカーネル — 権限昇格チェーン。レース条件という自動解析が特に難しいバグクラスを含む2〜4件の欠陥を連鎖させ、一般ユーザーからroot権限へのエスカレーションを可能にした。
CrowdStrikeのCTO、Elia Zaitsevはこう述べた。「脆弱性の発見から悪用までの時間が、かつての数ヶ月からAI時代の数分に縮まった。MythosはこれをDefender側でも実証した。Adversaryが同じ能力を使う日も来る」(IBM Newsroom, 2026-05-19)。
修正が追いつかない:「直す壁」という新たな問題
今回のアップデートで最も重く受け止められた事実は、発見数の大きさではない。修正率の低さだ。
Anthropicはオープンソースプロジェクトの高危険度以上の脆弱性530件超を開示した。そのうち修正済みはわずか75件(約14%)。残り86%は開示されているのに未修正のまま残っている(Anthropic初期アップデート, 2026-05-22)。
Dario Amodeiはこの構造変化をこう定義した。「かつてソフトウェアセキュリティの制約は、どれだけ速く脆弱性を見つけられるかだった。今は、どれだけ速く検証し、開示し、修正できるかだ」(Dario Amodei on X)。
問題の核心はオープンソースのメンテナー側にある。cURLの開発者、Daniel Stenbergは冷静な言葉で警鐘を鳴らした。「AIは見つけるのは得意だが、直すのはそうじゃない。大企業とそのユーザー軍団が、はるかに人数の少ないオープンソースプロジェクトの受信ボックスを埋め尽くしていく」。また「AIが書いたコードが増えるほど、バグも増える。メンテナーへの負荷は今後さらに上がる」とも述べた(Simon Willison’s Weblog, 2026-04-03)。
rsyncのメンテナーはより直接的だ。「CVEの仕組みは重厚で遅い。それはそれなりの理由があって設計されているが、今来ようとしているセキュリティレポートの量には対応できない」(The Register, 2026-04-10)。
Picus SecurityのCTO、Volkan Erturkは「カレンダー速度対マシン速度」という表現でこの構造を要約した。「ディフェンダーはカレンダー速度で動くが、攻撃はマシン速度で起きる」。
脆弱性開示をめぐる賛否:大企業とオープンソースコミュニティの温度差
専門家の反応は、所属する組織の規模によってはっきり分かれる。
大企業側は概ね肯定的だ。 Linux Foundation代表のJim Zemlinはこう述べた。「これまでセキュリティの専門性は大きなチームを持てる組織の特権だった。Glasswingはその方程式を変える可能性がある」(Linux Foundation Blog)。IBMのRob Thomas上席副社長も「我々の製品のセキュリティ強化とオープンソースへの修正還元の両方に使っている。コラボレーションがエコシステム全体を強くする」と評価した。
一方、個人メンテナーや独立研究者の見方は厳しい。 暗号研究者のBruce Schneierは「我々は数十年、脆弱性を見つけるのは難しいという前提でセキュリティを構築してきた。Mythosはその前提を破壊した。深層防御モデル全体の再考が必要だ」と述べつつも「AnthropicのPRとしての側面もある」と付け加えた(Schneier on Security, 2026-04)。
セキュリティアナリストのChris Hughesは透明性の問題を指摘する。「開示された脆弱性と公的に確認できるCVEとの間に乖離がある。Anthropicとパートナーがこれらの数字を公開的に突き合わせるまで、健全な懐疑心は保ちたい」(Resilient Cyber, 2026-05)。
HNのあるコメントは率直だった。「全てのモデルが全てを変えるという触れ込みで登場する。狼が来ると言われ続けると慣れてしまう。でも狼は本当に来る」。
Glasswingの「次」と6〜12ヶ月の猶予
Dario Amodeiは5月5日の発言でこう述べた。組織には発見された脆弱性を修正するための「6〜12ヶ月の猶予期間」がある、と(The Register, 2026-05-25)。この発言が意味するのは、Anthropicは今後もスキャンを続け、より多くの脆弱性を開示していく意思があるということだ。
今後の計画として、Anthropicは以下を示している。
- Mythosクラスのモデルを一般公開する計画はあるが、より強固なセーフガードが整った後に限る
- Project Glasswingを米国政府および同盟国政府に展開予定
- 協調的な脆弱性開示(CVD)ダッシュボードを公開し、進捗の透明化を進める
Chainguardのダン・ロレンツはこう総括した。「いずれ他社も同様の能力を持つモデルを出す。全員がこの規模のセキュリティレポートへの準備を迫られる。現実から目を背けていられる時間は短い」(The Register, 2026-04-10)。
ソフトウェアの脆弱性を見つける速度が、修正する速度を大幅に上回ってしまった。この構造的なギャップをどう埋めるか。Glasswingが示したのは答えではなく、問いの深さだ。
- スキャン済みOSSプロジェクト: 1,000件超
- 発見候補の脆弱性総数: 23,019件
- 高危険度・重大クラス(推定): 6,202件
- 独立検証での的中率: 90.6%(サンプル1,752件)
- パートナー開示済み高危険度脆弱性: 530件超
- うち修正済み: 約75件(14%)
- Anthropicのモデル利用クレジット提供: 1億ドル相当
- OSS組織への寄付: 計400万ドル
Claude SecurityのパブリックベータとGlasswingの詳細
Claude SecurityがEnterpriseユーザー向けにパブリックベータ公開中。脆弱性スキャンの仕組みとProject Glasswingの全体像は別記事で詳しく解説している。
関連記事
- Claude SecurityパブリックベータAI脆弱性スキャンの光と影を完全解説
- Claude Mythos Preview|危険すぎて公開できないAIの全貌とGlasswing計画
- AnthropicがClaude Complianceを28セキュリティツールと統合した理由
- VS Code拡張機能の脆弱性、開発ツールのセキュリティリスクとは
本記事の情報は2026年5月27日時点のものです。Project Glasswingの開示状況や修正数は随時更新されます。投資判断・セキュリティ対策の実施にあたっては、必ず最新の公式情報を確認してください。