Anthropicは火曜日、Project Glasswingプログラムへのアクセスをさらに拡大すると発表しました。15カ国の約150の組織が新たに参加します。4月初旬のプログラム開始以来、限定公開の Claude Mythos Previewモデルはすでに1万件を超える高深刻度または緊急深刻度のソフトウェア脆弱性を発見しています。
今回の拡大は、Anthropicが同イニシアティブを初めて発表した際に公表した約50のパートナーからなる最初のグループに続くものです。当初のメンバーには、Amazon Web Services、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどのテクノロジー企業が含まれていました。
発表によると、新たなグループは、第1陣で参加が少なかったエネルギー、水道、医療、通信、ハードウェアといったセクターをカバーしています。新規パートナーの多くは、重要インフラシステムを支えるコードベースを持つベンダーです。
同社は、新たなコーホートに参加している具体的な企業や組織については詳細を明らかにしていません。
Mythos Previewがすでに発見した脆弱性の規模は、セキュリティ業界全体の注目を集めています。Cloudflareは重要なシステム全体で2,000件のバグを特定し、そのうち400件は高深刻度または緊急深刻度と評価されました。誤検知率は人間のテスターよりも低いと同社は説明しています。Mozillaはこのモデルを用いたテストで、Firefox 150において271件の脆弱性を発見・修正しており、これは以前のAnthropicモデルを使った旧バージョンのFirefoxで発見された件数の10倍以上にあたります。他にも複数のパートナーが、モデルの導入後にバグ発見率が10倍以上に増加したと報告しています。
Anthropicはさらに、Mythosを使って1,000以上のオープンソースプロジェクトをスキャンし、23,019件の潜在的な脆弱性を検出しました。そのうち6,202件が高深刻度または緊急深刻度と推定されています。独立してレビューされた高深刻度・緊急深刻度の発見1,752件のうち、90%以上が有効であることが確認されました。
こうした発見は、Anthropicがサイバーセキュリティの核心的な課題と捉える問題を浮き彫りにしています。脆弱性の発見能力が飛躍的に向上した一方で、攻撃者に悪用される前にそれらを検証・開示・修正するうえでの難しさも明らかになってきました。
「このようなバグを修正する際のボトルネックは、人間がトリアージし、報告し、パッチを設計・適用する能力にある」と、同社はブログ投稿の中で述べています。
このボトルネックはより広範な影響をもたらします。Cloud Security Alliance、SANS Institute、OWASPがまとめた共同レポートは、脅威アクターがAIを活用して防御側がパッチを当てるよりも速く脆弱性を発見・悪用するようになることで、組織は「近い将来、対応しきれなくなる可能性が高い」と結論づけています。
Anthropicは、深刻な悪用を防ぐための十分なセーフガードが整っていないとして、Mythosクラスのモデルを一般公開しない方針を示しています。それに代わる取り組みとして、一般公開済みのClaude Opus 4.8モデルを使用した製品Claude Securityをリリースしており、3週間で2,100件以上の脆弱性にパッチを適用しています。
今回の拡大発表は、トランプ政権のAIセキュリティへの取り組みが依然として不透明な状況の中で行われました。AIサイバーセキュリティおよびフロンティアモデルの監督に関する注目の大統領令は、5月の署名直前に撤回されました。この草案は、AIデベロッパーに対して公開の最大90日前に先進モデルを政府審査に提出することを求める自主的な枠組みを提案しており、「対象フロンティアモデル」の認定について国家安全保障局(NSA)が最終決定権を持つ内容でした。
ホワイトハウスが署名を再スケジュールする時期については、現時点では不明です。
翻訳元: https://cyberscoop.com/anthropic-project-glasswing-expansion-critical-infrastructure-claude-mythos/
