Anthropicは26日（現地時間）、AIモデル「Mythos Preview」を活用した脆弱性検出プロジェクト「Glasswing」で、企業や機関など50組織を対象に1か月間で高リスクまたは致命的な脆弱性を1万件超検出したと発表した。あわせて公開した報告書では、AIによって脆弱性の発見件数が急増する一方、検証や開示、パッチ配布の体制整備が追いつかなければリスクが拡大すると指摘した。

同社は、Glasswingの成果と課題をまとめた報告書を公表した。報告書では、これまでのソフトウェアセキュリティは「いかに早く新たな脆弱性を見つけるか」が中心だったが、今後は「AIが大量に見つけた脆弱性を、いかに迅速に検証し、開示し、修正するか」が重要になると強調している。

報告書には、Glasswing参加企業の事例も盛り込まれた。Cloudflareは2000件のバグを検出し、このうち400件が高リスクまたは致命的だったという。誤検知率は人手によるテストより低かったとしている。MozillaはMythosを使って「Firefox 150」の脆弱性271件を見つけ、修正した。Anthropicによれば、Claude Opus 4.6で「Firefox 148」を検査した際に比べ、件数は10倍だった。

Microsoftは、最先端AIモデルの活用によって新たに作成されるパッチ数の増加が続くとの見方を示した。Oracleは、製品やクラウド環境のセキュリティ欠陥を従来より数倍の速度で発見・修正していると説明。Palo Alto Networksでは、最新リリースに通常の5倍超のパッチが含まれたという。

Palo Alto Networksの最高製品責任者兼技術責任者であるリ・クラリッチ氏は、「モデルの能力を過大評価しているのではないかとの懸念もあったが、テストを重ねるほど、当初の想定以上に脆弱性検出能力が高いとの確信が強まった」とコメントした。

Anthropicはまた、Mythosを使ってインターネット基盤を支える重要なオープンソースプロジェクト1000件超をスキャンしたと明らかにした。検出された脆弱性は2万3019件で、このうち6202件は高リスクまたは致命的と推定された。さらに、独立系のセキュリティ研究機関6社による評価では、検出結果の90.6%が実際の脆弱性と確認され、そのうち62.4%が高リスクまたは致命的だったとしている。

同社は、Mythos級のモデルが大規模に発見する脆弱性を適切に管理するため、セキュリティ業界全体で新たな運用プロセスを整備する必要があると訴えた。

現在、業界では脆弱性の発見から90日以内に情報を公開する慣行がある。Anthropicは、脆弱性の発見からパッチ生成、配布までに時間差があるため、その間に攻撃者が悪用できる余地が広がると指摘した。Mythos級のモデルは脆弱性の発見やエクスプロイト作成にかかるコストと時間を大幅に引き下げるため、この時間差に伴うリスクは今後さらに大きくなると警告している。

Anthropicは5月初旬、Claude Enterpriseユーザー向けに、コードベースの脆弱性をスキャンし修正案を提示する「Claude Security」のパブリックベータ版を公開した。同社は、より強力な安全対策を整えた上で、将来的にはMythos級モデルの一般提供が可能になるとの見通しも示した。