Anthropicの「Mythos Preview」、1カ月で1万件超の脆弱性を発見──「Project Glasswing」初期報告

公開 2026年05月24日 07時57分

更新 2026年05月24日 08時33分

[ITmedia]

印刷する

　米Anthropicは5月22日（現地時間）、4月に立ち上げた未公開AIモデル「Claude Mythos Preview」を活用するサイバーセキュリティプロジェクト「Project Glasswing」の初期状況報告を公開した。プロジェクト開始から約1カ月で得られた成果や、AI時代におけるサイバー防衛の課題に関する新たな知見が解説されている。

キャプション書式文字列

1カ月で1万件以上の重大な脆弱性を発見

　同社と約50のパートナー企業がMythos Previewを活用した結果、世界の重要なソフトウェアインフラからすでに1万件以上の高リスクまたは重大な脆弱性が発見された。パートナーの多くがそれぞれ数百件の重大な脆弱性を発見しており、バグ発見率が10倍以上向上したと報告する企業も複数あるという。

　Anthropic自身も数カ月にわたり1000以上のオープンソースプロジェクトをスキャンし、合計2万3019件の脆弱性のうち、推計6202件を高リスクまたは重大と評価している。

　報告に併せ、発見、開示された脆弱性を追跡するための「協調的脆弱性開示ダッシュボード」も新たに公開した。5月22日時点で、281のプロジェクトにわたる1596件の脆弱性が開発者に向けて開示されており、そのうち88件には既にCVEやGitHub Security Advisoryなどが割り当てられている。

オープンソース脆弱性の開示プロセスと進捗状況（画像：Anthropic）

他モデルを上回るエクスプロイト開発能力

　Anthropicはまた、Mythos Previewが持つ「エクスプロイト（脆弱性を突く攻撃コード）を自律的に開発する能力」のベンチマーク結果も公開した。V8エンジンやLinuxカーネルなどを対象とした「ExploitBench」や「ExploitGym」などの高難度の学術ベンチマークで、Mythos Previewは他のすべてのフロンティアモデルを上回る成績を収めた。

　軽微なバグを組み合わせて実際のエクスプロイトチェーンを構築する能力は、これまでのAIには見られなかった水準に達しており、Firefoxブラウザを対象とした評価でも、複数のバグを悪用してコード実行を達成するエクスプロイトの構築で従来のモデルを大幅に上回る成功率を記録した。Mozillaは今回のテストで「Firefox 150」における271件の脆弱性を発見、修正しており、これは「Claude Opus 4.6」を用いた「Firefox 148」のテスト結果の10倍超に相当する。

防衛側の支援と今後の課題

　AIによる脆弱性発見能力が飛躍的に向上したことで、脆弱性の発見から悪用までの時間は数カ月から数分へと短縮されている。その一方で、大量に発見されるバグに対して人間の開発者がトリアージを行い、修正パッチを作成するスピードが追いつかず、セキュリティ対応の深刻なボトルネックになっている実態も浮き彫りになった。

　この課題に対処するため、Anthropicはオープンソースのセキュリティ向上を目的とする非営利団体OpenSSFの取り組みの1つである「Alpha-Omega」プロジェクトとの提携を発表した。Alpha-Omegaは、重要なオープンソースプロジェクトのメンテナーがバグレポートのトリアージや処理を行えるよう支援する活動を行っている。

　さらに、エンタープライズ顧客向けに自社コードベースの脆弱性スキャンや修正案の生成を行えるツール「Claude Security」のパブリックβ版提供を開始し、サイバー防衛側が攻撃者に先んじてAIを活用できる環境の整備を急いでいる。