Claude Mythosが1万件超の脆弱性を発見 その裏で開発者コミュニティーに走る緊張:脆弱性発見は10倍速に
AnthropicはClaude Mythosを使ったサイバー防衛計画「Project Glasswing」の初期成果を公表した。報告によると、Claude Mythosは1万件超の深刻度「高」または「重大」な脆弱性を発見したという。大きな成果だがこれには弊害もありそうだ。
Anthropicは2026年5月22日(米国時間)、AIモデル「Claude Mythos Preview」(以下、Mythos)を使ったサイバー防衛計画「Project Glasswing」の初期成果を公表した。約50の協力企業と連携し、インターネットや重要インフラを支えるソフトウェアから1万件超の深刻度「高」または「重大」な脆弱(ぜいじゃく)性を発見したという。
同社は2026年4月、AIによる高度な攻撃リスクに備え、基幹ソフトウェアの安全性向上を目的としてProject Glasswingを開始した。これまでソフトウェアセキュリティ分野において、新たな脆弱性の発見速度が制約となっていたが、AI導入後は検証や報告、修正対応の処理能力がむしろ制約に変化したとしている。
脆弱性発見は10倍速になるも…… 現場を襲った“別の危機”
Anthropicは脆弱性情報の公開については、攻撃への悪用を防ぐため、一般的な90日ルールに従う姿勢を示している。修正プログラム公開前に詳細を開示するとユーザーに危険が及ぶ可能性があるため、現段階では統計情報や一部事例のみ公開した。
協力企業には、インターネット運営や重要インフラに関わるソフトウェア開発企業が含まれる。各社は数百件規模の重大な脆弱性を確認しており、一部企業では脆弱性の発見速度が従来比10倍超に増加したという。Cloudflareは重要システムから2000件の不具合を発見し、そのうち400件が深刻度「高」または「重大」の判定だったと説明した。誤検知率も人間の検査担当者より低い水準だったとしている。
外部評価機関も性能向上を報告した。英国のAI Security Instituteは、同モデルが多段階サイバー攻撃演習を初めて最後まで攻略したモデルだったと報告。Mozillaは「Mozilla Firefox 150」の検査で旧モデル利用時の10倍超である271件の脆弱性を修正した。独立系セキュリティ企業XBOWも、既存モデルを上回る精度を示したと評価した。
企業側の修正対応も進んでいる。Palo Alto Networksは通常の5倍超の修正を含む更新を実施し、Microsoftは修正件数増加が続くとの見通しを示した。Oracleもクラウド製品群で脆弱性修正速度が向上したという。
Anthropicはオープンソースソフトウェア(OSS)にも適用を拡大している。1000件超のプロジェクトを調査し、合計2万3019件の脆弱性を検出した。このうち6202件を深刻度「高」または「重大」と推定した。独立調査会社などが1752件を確認した結果、90.6%が有効な脆弱性で、62.4%が深刻度「高」または「重大」に分類された。
検出事例としては、暗号ライブラリー「wolfSSL」の脆弱性が挙がっている。攻撃者が偽の証明書を生成し、銀行やメールサービスを装う偽のWebサイトを構築可能になる内容だった。修正済みで、識別番号「CVE-2026-5194」が付与されている。
一方、脆弱性修正には人手不足が生じている。OSSのメンテナーには低品質なAI生成報告が大量に届いており、対応能力不足が深刻化している。例えば深刻度「高」の脆弱性の修正には平均2週間を要す。これを受けて一部保守担当者は、報告速度を落とすようAnthropic側に要請した。
Anthropicは現在までに530件の深刻度「高」または「重大」な脆弱性をOSSのメンテナーに報告し、75件が修正済みになったと説明した。ただし、多くは90日公開期限前であり、今後修正件数の増加が見込まれるという。
同社は、こうしたメンテナーの負担軽減に向け、Open Source Security Foundationの「Alpha-Omega」計画とも連携し、OSSのメンテナーの支援をする構えだ。今後は米国や同盟国政府を含む新たな協力先にProject Glasswingを拡大する方針を示した。
今後、Mythos級のモデルは他社からも登場する
Anthropicは現時点で、Mythos級のモデルを安全対策不足のまま一般公開する段階にはないとしており、防御能力強化後には一般提供を視野に入れている。
関連して一般利用が可能なモデルの支援策も拡充する計画だ。企業用「Claude Security」β版で提供された、コード解析や修正案の生成機能は、公開後3週間で2100件超の脆弱性修正に利用された。この他、正当なセキュリティ研究目的に限り、一部安全制限を緩和する「Cyber Verification Program」も開始した。
同社は、Mythos級のモデルが近いうちに他社からも登場すると予測し、脆弱性発見と悪用に必要な時間や費用が縮小するため、修正配布の遅れが大きな危険要因になると警告した。開発者には修正周期の短縮や更新適用の促進を求め、利用企業には多要素認証やログ監視強化など基本対策の徹底を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
5週間で340超の企業が被害に Microsoft 365のアクセスを奪う新型フィッシングに注意
MFAを突破されていないのに、なぜ電子メールやクラウドが“乗っ取られる”のか。5週間で340超の企業が被害に遭ったMicrosoft 365を狙う新型フィッシングは、パスワードではなく「OAuth同意」を悪用していたという。
GitHubを“VS Codeの人気拡張機能”が侵害 約3800件の内部リポジトリ流出
GitHubは不正なVS Codeの拡張機能を従業員がインストールしたことで、GitHub社内のリポジトリデータ約3800件が流出したと発表した。相次ぐ開発環境狙いのソフトウェアサプライチェーン攻撃への打ち手を考える。
macOSのキッティングは“なめるなキケン” 情シスが知るべきPC管理の本質
キッティングは今なお「単純作業」と誤解されがちですが、実際には“届いた瞬間から安全に使えるPC”を実現する裏側で、情シスはIT統制やセキュリティ、業務継続を支える高度な設計と運用を担っています。なぜその価値は見えず、評価されないのか。キッティングの本質を掘り下げます。
Claude Mythosのヤバすぎる実力を検証 脆弱性を連結して攻撃経路を生成
Cloudflareは、Anthropicの新型LLM「Claude Mythos Preview」を自社インフラで動かして検証した。同社が「単純な性能向上ではなく、脆弱性探索ツールとして別種の能力を備えた」と評価するこのAIモデルの実力を細かくみていこう。
ITコストが爆増する“低品質キッティング”の特徴 あるべき姿を考える
「PCを配るだけの仕事」と思われがちなキッティングですが、その品質次第でインシデントや運用負荷も、ITコストも大きく変わります。それでも情シスの仕事は“何も起きない”ほど評価されません。情シスが経営層に伝えるべき“本当の価値”を掘り下げます。