米Anthropicが2026年5月22日(現地時間)に公開したセキュリティプロジェクト「Project Glasswing」の初期報告書は、AIによる脆弱性発見の威力と、それに伴う新たな課題を浮き彫りにしました。約50社のパートナー企業がわずか1か月で高・重大レベルの脆弱性を1万件以上発見した一方で、その修正対応は到底追いついていないという現実が明らかになっています。AIセキュリティの新時代における光と影を、わたくしと一緒に紐解いてまいりましょう。
この記事のポイント
- AnthropicがセキュリティプロジェクトProject Glasswingの初期報告を公開
- 約50社のパートナー企業が1か月で1万件超の高・重大脆弱性を発見
- Claudeを活用した「Claude Mythos」が中心的役割
- オープンソースソフトウェアのスキャン結果も同時公表
- 発見ペースに対して修正対応が追いつかない新たな課題が浮上
Project Glasswingとは何か
Project Glasswingは、Anthropicが推進する大規模なセキュリティ研究イニシアチブです。Claudeの高度な推論能力と長大なコンテキストウィンドウを活用し、ソフトウェアコードに潜む脆弱性を自動的に発見することを目的としています。今回の初期報告では、約50社のパートナー企業が参加した実証実験の結果が公開されました。
参加企業は、自社のコードベースや製品にClaudeベースの脆弱性スキャンツール(通称「Claude Mythos」)を適用し、わずか1か月という短期間で1万件を超える高・重大レベルの脆弱性を発見したと報告されています。これは従来の静的解析ツールや人間のセキュリティエンジニアによるレビューでは到底達成できない規模とスピードであり、AIがセキュリティ領域で実用段階に入ったことを示す象徴的な数字といえるでしょう。
Anthropicは同時に、自社が独自に進めてきたオープンソースソフトウェア(OSS)のスキャン結果も公表しました。世界中の開発者が依存している重要なOSSプロジェクトに対しても、Claude Mythosは多数の未知の脆弱性を発見しており、その影響範囲は商用ソフトウェアを大きく超えています。
「修正が追いつかない」という新たな課題
今回の報告書で最も注目すべき点は、発見された脆弱性の数に対して、修正対応が圧倒的に追いついていないという事実です。従来、脆弱性発見は人間の専門家による地道な作業であり、発見ペースと修正ペースはある程度バランスが取れていました。しかしAIが大量の脆弱性を発見できるようになった結果、「発見ボトルネック」から「修正ボトルネック」へとセキュリティ運用の構造が変化しつつあります。
発見された脆弱性をすべて修正するには、開発者の工数、修正後の回帰テスト、デプロイの調整など、人間の判断と作業が不可欠です。仮にAIが修正パッチを自動生成できたとしても、それを本番環境に適用する判断や、ビジネスロジックへの影響評価は依然として人間が担うべき領域です。Anthropicは報告書の中で、今後はAIによる「脆弱性の優先順位付け」や「修正パッチの自動生成」といった、修正フェーズ全体のAI化が次の課題になると示唆しています。
また、未修正の脆弱性情報がパートナー間で共有・蓄積されることで、その情報自体が攻撃者にとっての標的リスト化するリスクも指摘されています。発見と公開のバランス、責任ある開示プロセスの再設計も急務となっています。
知っておくと便利なTips
- Project Glasswingは現時点では限定パートナー向けのプログラムであり、一般公開はされていません
- Claudeを使った脆弱性スキャンを自社で試したい場合は、Claude APIに自社コードを投入してセキュリティレビューを依頼する形で部分的に体験可能です
- 大量の脆弱性が発見された場合は、CVSSスコアやEPSS(実際に悪用される確率)を活用して修正の優先順位を決めることが重要です
- OSSを利用している場合は、依存パッケージのアップデートを早めに適用する運用フローの整備が今後さらに重要になります
まとめ
Anthropicが公開したProject Glasswingの初期報告は、AIがセキュリティ領域で人間の能力を遥かに超える発見能力を持つことを実証しました。1か月で1万件超という数字は、これまでのセキュリティ業界の常識を覆すものです。しかし同時に、発見された脆弱性をいかに迅速かつ確実に修正していくかという、新たな運用課題を生み出しています。今後は脆弱性発見だけでなく、修正パッチの自動生成、優先順位付け、責任ある開示プロセスといった、セキュリティライフサイクル全体のAI化が問われることになるでしょう。AIによるセキュリティ強化の恩恵を最大限享受するためには、組織側も発見されたリスクに対応できる体制を整えておく必要がありそうです。
📎 元記事: https://www.itmedia.co.jp/news/articles/2605/25/news130.html
