AnthropicおよびProject Glasswingパートナーは、重要なソフトウェアシステムで10,000以上の高度または重大な深刻度の脆弱性を特定したことを、同社がプロジェクトの進行状況の更新で発表しました。
Mythosが数千の高度な脆弱性を特定
2026年4月、AnthropicはClaude Mythos Previewを発表しました。これはゼロデイ脆弱性を自律的に発見し、それらのエクスプロイトを作成できる新しい大規模言語モデルです。
同社はProject Glasswingを開始し、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks、およびその他のオープンソースコミュニティパートナーに、AIシステムが標的にできる前に重要なソフトウェアを保護するのに役立つようにLLMへのアクセスを提供しました。
それ以来、Mythosの助けにより、CloudflareやMozillaを含む複数の企業が、自社のコードベースで数百の脆弱性を発見しています。
Anthropicはまた、Mythosで1,000以上のオープンソースプロジェクトをスキャンし、23,019の問題を特定しており、その内6,202は高度または重大な深刻度の脆弱性です。
同社と6つの独立したセキュリティ研究機関は、それらの高度または重大な深刻度の発見1,752件を評価し、90%以上が真の陽性として検証されたと、同社は述べました。
Anthropicのオープンソース脆弱性ダッシュボード、すべての深刻度の脆弱性を表示
パッチが律速段階となる
Mythosの助けで発掘された脆弱性の詳細開示はまだこれからですが、プロジェクトはわずか数ヶ月前に開始され、調整済みの脆弱性開示プロセスは通常時間がかかります。(新しく発見されたフローは通常、公開される前に90日間、またはパッチが利用可能になるまで非公開に保たれます。)
例えば、Mythosは数十億のデバイスで使用されるオープンソース暗号化ライブラリであるwolfSSLの脆弱性を特定し、攻撃者が銀行またはメールプロバイダーの偽のウェブサイトをホストすることを可能にする証明書を偽造できるようにするエクスプロイトを構築しました。この脆弱性はパッチされていますが、技術的な詳細はまだ秘密のままです。
Anthropicは、オープンソースメンテナンターに詳細な脆弱性レポートを提供することを確認したにもかかわらず、後者がAI駆動の脆弱性発見プロセスの主な律速段階になっていると述べています。
「脆弱性の修正の困難さと比較すると、脆弱性を見つけることの相対的な容易さはサイバーセキュリティの大きな課題である」と、同社は述べました。
今後の計画
オープンソースメンテナンターがバグレポートを処理・トリアージするのに役立つため、Anthropicはオープンソースセキュリティ財団のAlpha-Omegaプロジェクトとパートナーシップを結びました。
脆弱性の発見とパッチをより簡単にするため、Anthropicはクロード・エンタープライズ顧客向けに公開ベータでClaude Securityをリリースしました。
同社のサイバー検証プログラムは、承認されたセキュリティ専門家が正当なサイバーセキュリティ業務でモデルを使用することをより少ない制限で可能にすると、Anthropicは述べており、Mythos Previewで使用されるツールをセキュリティチームの適格者に利用可能にしていることも述べました。これらには、カスタムスキル、自動化されたスキャンとレポートフレームワーク、および攻撃対象を識別・優先順位付けするための脅威モデリングツールが含まれます。
Anthropicは米国政府および同盟国政府を含むパートナーと協力してProject Glasswingを拡大する計画を立てており、Mythosクラスのモデルを一般的に利用可能にする意思がありますが、より強力なセーフガードを開発した後のみです。
「現在、Anthropicを含むいかなる企業も、そのようなモデルが悪用され、潜在的に深刻な害を引き起こすのを防ぐのに十分強力なセーフガードを開発していない」と、同社は結論づけました。
翻訳元: https://www.helpnetsecurity.com/2026/05/26/anthropic-project-glasswing-update/
