Anthropicは2026年4月、自律的な脆弱性探索AIモデル「Claude Mythos Preview」を公開しました。主要なOS・ブラウザ・ソフトウェアで数千件のゼロデイ脆弱性(未公開の未修正欠陥)を発見・実証しており、Firefoxだけで271件を特定。この成果を受け、AWS・Apple・Google・Microsoftなど主要企業と連携する脆弱性情報共有プログラム「Project Glasswing」を立ち上げています。
The Hacker Newsの報道によると、Claude Mythosはコードベースを自律的に分析し、人間の研究者が見落としていた脆弱性を大量に発見したとされています。特にFirefoxで271件という数字は、従来の人手によるペネトレーションテスト(侵入検査)や自動スキャナーでは到達困難なレベルです。さらに、特定の脆弱性に対しては実際に動作するエクスプロイト(攻撃コード)を自動生成し、その実現可能性を証明しています。Anthropicはこれらの発見をProject Glasswingを通じて各ベンダーに事前通知し、修正パッチの適用を優先する協調開示(Coordinated Disclosure)の枠組みで対応しています。
セキュリティ研究者のコミュニティでは「AIが脆弱性発見のパラダイムを根本から変えた」と衝撃をもって受け止められ、X上でトレンド入りしました。一方でr/netsecでは「防御側にとっては強力なツール、しかし悪用されれば壊滅的」という二面性についての議論が白熱。Hacker Newsでは著名セキュリティ専門家Bruce Schneierのブログを引用しつつ「AIが書いた4段チェーンエクスプロイトは人間の研究者を凌駕している」という議論がトップに達しました。
Project Glasswingが目指すのは、発見した脆弱性を攻撃者より先にパッチで塞ぐことです。これは従来のバグバウンティ(報奨金プログラム)を大規模かつ自動化した形とも言えます。ただし、同様の技術が攻撃者の手に渡れば、ゼロデイ脆弱性の発見・悪用サイクルが劇的に短縮されるリスクも現実的になっています。
AIによる自動脆弱性探索は、ソフトウェアセキュリティの在り方を根底から変える可能性があります。Anthropicが主導するProject Glasswingのような協調開示体制がどこまで拡大できるかが、今後の業界全体のセキュリティ水準を左右する分岐点になりそうです。