AIによる脆弱性診断のパラダイムシフト:Anthropic「Claude Mythos」とプロジェクト「Glasswing」の真価

米Anthropic社が展開する高性能AIモデル「ミュトス(Mythos)」、および同モデルを用いた脆弱性発見プロジェクト「Glasswing」の初期アップデートが公開され、技術界隈に大きな衝撃を与えています。

一部の報道や一般的な紹介では、「AIが1万件以上の重大な脆弱性を見つけ出した」「サイバー攻撃の危険性があるため非公開になった」といったセンセーショナルな側面ばかりが強調されがちです。しかし、このニュースの本質は煽り文句に隠された「セキュリティ対策(防御側)の大幅な自動化と高速化」というパラダイムシフトにあります。

技術的な背景知識を交えながら、この動向が意味する真の価値を紐解いていきましょう。


1. ニュースの概要:プロジェクト「Glasswing」の成果

日経電子版や海外メディアの報道によると、Anthropicは特定のテック企業など約50社のパートナーと共同で、AIを用いた脆弱性スキャンプロジェクト「Glasswing」を進めています。


2. Geminiによる技術的補足:なぜ「1万件発見」と「正検出率90.6%」が驚異的なのか?

非専門家の解説では「AIが頑張ってたくさんバグを見つけた」という抽象的な表現で片付けられがちですが、エンジニアやセキュリティ担当者の視点に立つと、この数字は従来の常識を覆すものです。

① 従来の静的・動的解析(SAST/DAST)との圧倒的な違い

従来の自動化された脆弱性診断ツール(静的解析のSASTや、動的解析のDASTなど)は、あらかじめ定義されたルールやシグネチャ(既知のパターン)に基づいてコードをチェックしていました。そのため、以下のような致命的な課題を抱えていました。

これに対し、Claude Mythosのような大規模言語モデル(LLM)は、コードの「文脈」や「意図」をディープに理解します。単なるパターンの合致ではなく、「この処理の後にこの入力が来ると、メモリのバッファオーバーフローや権限昇格が成立してしまう」という論理的な因果関係をシミュレーションできるため、UK AI Security Instituteの検証通り「90.6%」という極めて高い精度(ノイズの少なさ)で本物の脆弱性を言い当てることができるのです。

② 一般非公開とされる「サイバー攻撃性能」の正体

Mythosは2026年4月に「サイバー攻撃性能の高さ」を理由に一般公開が見送られ、クローズドな提供に留まっています。
これは、AIに「コードの脆弱性を見つける能力(=防御・修正のための能力)」があるということは、裏を返せば「その脆弱性を突くための攻撃コード(エクスプロイト)を自動生成する能力」も同等に持ち合わせていることを意味するからです。

もしこのレベルのAIがオープンに誰でも使える状態になれば、悪意あるハッカー(ブラックハット)が未修正のソフトウェアに対して24時間体制で超高速なゼロデイ攻撃を仕掛ける「攻撃の自動化」が完成してしまいます。Anthropicが約50社への優先提供に絞っているのは、「悪意ある攻撃者に使われる前に、防御側(開発ベンダー)の手で先に穴を塞ぐ」というセーフティファーストの戦略(責任ある公開)を徹底しているためです。


3. 今後の展望:企業が迫られる「ソフト修正の超高速化」

この動向を受けて、私たちはセキュリティに対する考え方をアップデートする必要があります。

これまでは「バグや脆弱性は、発見されるまでに一定の猶予(数ヶ月〜数年)がある」という暗黙の前提の元でパッチ当て(修正対応)が行われていました。しかし、Mythos級のAIによるスキャンが一般化する一歩手前の今、「脆弱性は見つかるのが当たり前であり、発見から修正・デプロイまでのサイクルをいかに数時間〜数日単位に縮められるか」というスピード勝負の時代に突入しています。

皮肉にも、AIがもたらした膨大な脆弱性レポートを処理するためには、開発者側も「AIエージェントによる自動パッチ適用・自動テスト(CI/CD連携)」を導入せざるを得なくなります。プロジェクト「Glasswing」の衝撃は、「AIによる攻撃(および自動診断)vs AIによる自動防御」という、セキュリティの完全自動化レースの幕開けを告げるものと言えるでしょう。