Claude Media
Project Glasswing 1ヶ月レポート — 1万件超の脆弱性発見と追いつかない修正側の現実

Project Glasswing 1ヶ月レポート — 1万件超の脆弱性発見と追いつかない修正側の現実

Project Glasswing 1ヶ月報告。Mythos Previewが約50パートナーで1万件超の高・重大脆弱性を発見。OSSスキャンでも6,202件を検出し、修正側の処理がボトルネック化した現状と防御4軸を解説します。

Anthropicが2026年5月22日に公開した「Project Glasswing: An initial update」は、2026年4月に始まった重要ソフトウェアのセキュリティ補強プロジェクトについて、開始から約1ヶ月時点の中間報告をまとめた発表です。約50のパートナーがClaude Mythos Previewを使い、世界の基幹ソフトウェアから1万件を超える高深刻度・重大深刻度の脆弱性を見つけ出した一方、修正・配布側が処理しきれない新しいボトルネックが浮かび上がっています。

本記事では、発表に書かれた数値と事例、Mythos Previewの能力を裏付ける外部評価、open-sourceスキャンの内訳、そして防御側がいま取れる手当てまでを、Project Glasswingの位置付けと合わせて読み解きます。

要点

  • 約50パートナーがMythos Previewで1万件超の高・重大な深刻度の脆弱性を発見。複数パートナーでバグ発見速度が10倍以上に。
  • Anthropic自身も1,000以上のopen-sourceプロジェクトをスキャンし、6,202件の高・重大深刻度候補のうち1,752件をトリアージ済、90.6%が真の脆弱性と確認。
  • パッチ展開側の処理能力が追いつかず、530件の開示済バグのうちパッチ済は75件、公開アドバイザリは65件にとどまる。
  • Cloudflareは2,000件(うち400件が高・重大)、MozillaはFirefox 150で271件を修正(Claude Opus 4.6時代の10倍超)、OracleやMicrosoftはパッチ発行ペースを継続的に拡大
  • AnthropicはClaude SecurityをClaude Enterprise向けpublic beta化し、3週間で2,100件超の脆弱性をパッチ。Cyber Verification Programで正規セキュリティ用途には一部safeguardを外す運用を開始。
  • 全体メッセージ: 「脆弱性発見が安価になった世界では、修正・配布の遅さがそのまま攻撃機会になる」。

あなたの組織にどう関係するか

重要なopen-sourceに依存しているチーム

internetの基盤を支える1,000超のOSSが対象スキャンに入っています。wolfSSLではCVE-2026-5194として割り当てられた偽証明書発行を許す脆弱性が見つかり、銀行やメールサービスを装う中間者攻撃に使える深刻度でした。自社プロダクトの依存ツリーに含まれているOSSは、向こう数ヶ月で通常より多いセキュリティ更新が降ってきます。CIのテスト工程と緊急更新フローを点検しておく価値があります。

Mythos PreviewやClaude Security相当の道具を持たないチーム

Claude Mythos Previewそのものは現時点で一般公開されていません。一方、Claude Opus 4.7はすでに広く利用でき、Claude Securityのpublic betaがClaude Enterprise向けに開放されました。3週間で2,100件超のパッチが当てられた実績が示されており、自社コードベースに対する継続スキャンの基準点が一段上がったと読めます。Anthropicが想定する「Mythosクラスの能力を持つモデルが他社からも出てくる」未来に備え、検出側の体制づくりを前倒しする選択肢があります。

CIや管理者がエンドユーザーへ配布する側

発表では「ユーザーが古いバージョンを使い続けることへの粘り強い働きかけ」を防御側の基本動作として挙げています。社内配布(MDMやSSO配下のClaude Code/各種SaaSクライアント)や自社アプリのアップデート強制ポリシーは、Mythosクラスのモデルが他社からも出回るタイミングで再点検する余地があります。

セキュリティ研究・ペネトレーションテストを業務とするチーム

AnthropicはCyber Verification Programを開始し、脆弱性研究・ペンテスト・レッドチーミング等の正規用途では一部safeguardを外す運用を提供しています。Glasswingで使われたharness(コードベースをマップしてサブエージェントでスキャン・トリアージ・レポートまでこなす仕組み)やthreat model builder、共有skillsが対象顧客に提供されており、自走可能なAIセキュリティ調査ラインを社内に組む条件が整いつつあります。

Mythos Previewの能力 — 外部評価で見える性能差

発表の中で目を引くのが、Anthropicが自社評価だけでなく第三者の独立評価を並べて紹介している点です。コミット可能な数値を抜き出すと次の通りです。

評価主体数値・所感出所
Cloudflare数値・所感重要パス全体で2,000件発見(うち400件が高・重大)、誤検知率は人間テスター以下出所Glasswingパートナーレポート
UK AI Security Institute数値・所感2つのcyber range(多段攻撃シナリオ)を初めて両方end-to-endで解いたモデル出所UK AISI評価
Mozilla数値・所感Firefox 150で271件を発見・修正(Firefox 148時のClaude Opus 4.6比で10倍超)出所Mozilla内部評価
XBOW数値・所感Web exploitベンチで「既存モデルを大きく上回る一段の進歩」「token単位で前例のない精度」出所XBOW公開ベンチ
ExploitBench / ExploitGym数値・所感2つの新ベンチでMythos Previewが最強出所学術ベンチ
Palo Alto Networks数値・所感最新リリースで通常の5倍超のパッチ数出所PAN公表
Microsoft数値・所感新パッチ数は「しばらく増え続ける」出所Microsoftコメント
Oracle数値・所感製品とcloud全体で従来比数倍速で発見・修正中出所Oracle公表
Glasswingパートナー銀行数値・所感Mythos Previewが150万ドルの不正電信送金を未然検出出所事例紹介

数値の使い方として注意したいのは、Mythos Previewの能力比較が特定モデルとの差分で語られている点です。Mozillaの「10倍超」はClaude Opus 4.6基準であって絶対値ではなく、Cloudflareの「誤検知率は人間以下」も自社チームの感触値です。それでも複数組織の同方向の証言が揃ったことで、Glasswingが単発の社内ベンチではなく現場の運用感で評価されている点は強い情報源と読めます。

open-source 1,000プロジェクトのスキャン結果

Anthropic自身が数ヶ月かけて行ったopen-source側のスキャン結果は、Glasswingの中で最も具体的な数値が並ぶ部分です。

段階件数備考
Mythos Previewが発見した総数件数23,019件備考重大度すべて含む
うち高・重大深刻度の候補件数6,202件備考Mythos Preview推定
トリアージ済件数1,752件備考6つの独立セキュリティリサーチ会社が中心
真陽性と確認件数1,587件(90.6%)備考トリアージ済のうち
高・重大と再確認件数1,094件(62.4%)備考トリアージ済のうち
推定される最終的な真陽性(高・重大)件数約3,900件備考現在の真陽性率を当てた将来推計
メンテナへ報告済(高・重大)件数530件備考Claudeまたは外部パートナーの判定ベース
まだ報告できていない確認済件数827件備考順次開示予定
メンテナ依頼で未精査のまま直接報告件数1,129件備考うち高・重大相当175件
パッチ済件数75件備考530件のうち
公開アドバイザリ済件数65件備考パッチ済のうち

平均すると、高・重大の脆弱性1件のパッチ作成に約2週間かかっています。

90.6%という真陽性率は、open-sourceスキャンを継続できる根拠として大きな数字です。一方、6,202件の候補に対して開示済は530件、パッチ済は75件しかなく、発見と修正のあいだに2桁のギャップが生じています。発表では3つの理由が挙げられました。

  1. CVD(Coordinated Vulnerability Disclosure)ポリシー上の90日窓内で、まだ多くのパッチが「これから来る」状態
  2. アドバイザリなしで静かにパッチされる例があり、AnthropicはClaudeでパッチをスキャンして拾うしかない
  3. それでも実態として、メンテナ側のキャパシティを上回る速度で脆弱性が見つかっている

3つ目は構造的な問題で、メンテナの中には開示ペースを落としてほしいと申し出る人もいたと記されています。AIによる低品質バグレポートに悩まされてきた事情も重なり、AnthropicはOpenSSF Alpha-Omega projectとの提携でメンテナ側のトリアージを支援する方針を示しました。

防御側の基本動作 — 発表が挙げた4つの手当て

発表は「Mythosクラスのモデルが各社から出てくるのは時間の問題」として、防御側がいま取れる選択肢を控えめにまとめています。新しい話ではなく基本に立ち戻る内容ですが、Glasswingの数値を見たあとに改めて並べると重みが変わります。

1. 開発者側でパッチサイクルを短縮する 公開されている汎用AIモデルもセキュリティ修正の生成支援に使えます。利用者が古いバージョンを使い続けている場合、より粘り強くアップデートを促す配布側の責任が増えます。

2. ネットワーク防御者側でテスト・展開のタイムラインを短縮する NIST(米国の標準化機関)や英国のNCSC(National Cyber Security Centre)が示すcritical controlsは、特定パッチが間に合わなくても効く汎用的な対策です。デフォルト構成の堅牢化、多要素認証、検知と対応のための包括的ログ取得が並びます。

3. 一般公開のAIモデルで自社コードベースをスキャンする道具立てを使う Claude SecurityがClaude Enterprise向けにpublic beta公開され、3週間で2,100件超の脆弱性がパッチされました。Glasswingで使われたharness・threat model builder・skills群が、Cyber Verification Programの対象顧客にリクエスト経由で提供されます。CiscoがGlasswingパートナーとしてFoundry Security Specをopen-source化した点も、防御側のエコシステム形成の一例として挙がっています。

4. open-source側のキャパシティ支援に参加する AnthropicはOpenSSF Alpha-Omega projectと提携し、Claude for Open-Sourceを通じてメンテナと貢献者を支えます。今後Anthropicが採用するOSSパッケージは自社で継続スキャンしていくと約束しています。

Project Glasswingが示すAIセキュリティの転換点

時点出来事Glasswingとの関係
2026年4月出来事Project Glasswing開始、Mythos Previewを約50パートナーに限定提供Glasswingとの関係プロジェクトの起点
同月出来事Anthropic Frontier Red TeamがMythos Previewを「加速期到来のwake-up call」と位置付けGlasswingとの関係「2028: 2 scenarios」論文の文脈設定で参照
2026年5月22日出来事本update公開、1万件超の高・重大脆弱性発見を報告Glasswingとの関係本記事の主題
同時期出来事Claude SecurityがClaude Enterprise向けpublic betaGlasswingとの関係一般組織向けの第一歩
同時期出来事Cyber Verification Program開始Glasswingとの関係正規セキュリティ用途向けのsafeguard運用
今後出来事米国・同盟国政府も含む追加パートナー拡大Glasswingとの関係Glasswing対象の拡張
今後出来事safeguard強化後、Mythosクラスモデルの一般公開Glasswingとの関係攻防両面に効く転換点

過去1ヶ月のClaude周辺の発表をまとめて見ると、Project Glasswingは「frontier capabilityの公開を遅らせる選択」と「防御側のキャパシティ拡張に投資する選択」のセットで動いていることが分かります。同様の構造は2028年AIリーダーシップシナリオ論文でも示されており、Mythos Previewが「ウェイクアップコール」として政策議論の起点に置かれていました。Glasswingは、そのウェイクアップコールに自社として実行で答えるプロジェクトと読めます。

Anthropic Frontier Red Teamが過去に行ってきたelection safeguards強化Petriのopen-source化、研究側でのTeaching Claude Why、そしてClaude Opus 4.7のリリースで示された推論モデル強化と並べると、AIエージェントの能力向上を防御側のインフラ整備とセットで進める姿勢が、シリーズとして読み取れます。

編集視点 — 「発見の安さ」と「修正の遅さ」の非対称が攻防を変える

本updateで最も大きな含意は、AIによる脆弱性発見が従来のコスト構造を破壊したことです。これまで「脆弱性は探すのが大変だから攻撃も大変」というラフな仮定でセキュリティ運用が成り立ってきました。Mythos Previewはこの前提を壊し、攻撃者側が同等のモデルを手にした瞬間に、防御側の90日CVD窓が実質的に短すぎる設計になってしまいます。

Anthropicが現時点でMythosクラスを一般公開していないのは、この非対称性を一気に世界中の攻撃者に開放しないための判断と読めます。同時に、Claude SecurityやCyber Verification Programで「汎用モデルでもできる範囲を最大化する」道具立てを急いで配っているのは、いずれ他社から同等モデルが出るまでの時間稼ぎとして動いている構図と考えられます。

Trustworthy Agentsで示されたagent安全性研究やNatural Language Autoencodersのような解釈可能性研究と組み合わせると、Anthropicが「危険なモデルを作って慎重に出す」よりも「危険な能力を先に防御に振り向ける」軸足を取り始めている可能性を示唆します。Glasswingはその実装フェーズと位置付けると、今後Mythos-classの一般公開が始まる際に、すでに「主要OSSとパートナー企業のソフトウェアが一段補強された世界」が下敷きになることが期待されます。

ただし、開示済バグの14%しかまだパッチが当たっていない現状は、エコシステム全体のキャパシティの限界を表しています。今後数ヶ月、open-sourceメンテナや企業セキュリティチームをどこまで支えられるかが、Glasswingが「警鐘で終わる」か「実効性のある防御強化として定着する」かを分ける分岐点になりそうです。実際、この中間報告のあとAnthropicはProject Glasswingを約150組織・15か国以上へ広げた第二フェーズの拡大を発表し、電力・水道・医療といった重要インフラやベンダー型コードベースの維持運営者を新たに取り込みました。

まとめ

  • Project Glasswingは2026年4月開始の重要ソフトウェア補強プロジェクトで、Mythos Previewを約50パートナーに限定提供する形で動いている取り組みです。
  • 1ヶ月時点で1万件超の高・重大脆弱性が見つかり、OSSスキャンでも6,202件の候補と1,587件の確認済真陽性が出ています。
  • 一方でパッチ済は75件、公開アドバイザリは65件にとどまり、修正・配布側の処理能力がボトルネックになりつつあります。
  • 防御側の手当てとして、開発者・ネットワーク防御・汎用AIモデルでの自社スキャン・OSS支援の4軸が示され、Claude SecurityのEnterprise向けpublic betaとCyber Verification Programが具体的な道具立てとして公開されました。
  • 重要OSSを使う組織や社内配布を行うチームにとっては、今後数ヶ月、通常より多いセキュリティ更新が降ってくる前提で更新運用を見直す価値があります。
  • Mythosクラスのモデルが他社から出る前に、Glasswingが示した「発見と修正の非対称」を念頭に、防御側の道具立てとプロセスを整える時間枠と読めます。
この記事を共有:XはてブLinkedIn