Anthropicは新フラッグシップモデル「Claude Mythos Preview」を限定公開し、主要OS・ブラウザにまたがる数千のゼロデイ脆弱性を自律的に特定・実証したと発表しました。この取り組みは「Project Glasswing」として体系化され、AWS・Apple・Google・Microsoft・Nvidiaなど主要テック企業が参画する共同セキュリティ強化プログラムとして始動しています。
Anthropicによると、Mythos Previewが発見した脆弱性の中には、FreeBSDに17年以上にわたって存在し続けていたリモートコード実行(RCE)の脆弱性も含まれているといいます。人間のセキュリティ研究者が何年もかけて行うような脆弱性調査を、AIが数時間以内に完了させたという事実は、業界に大きな衝撃を与えています。同社はこのモデルを現時点では一般公開しないとしており、重大な発見については関係各社への責任あるディスクロージャーを優先する方針を明示しています。
Hacker Newsでは「Anthropic以外が同等のモデルを開発したら、同様の自制が保証されるのか」という懸念が多数寄せられており、防御側だけでなく攻撃側にも同等の能力が渡る未来を危惧する声が相次いでいます。X(旧Twitter)上でもセキュリティ研究者から「数十年気づかれなかった脆弱性をAIが数時間で発見するなら、攻撃側も同じ能力を持てる」という警鐘が広まっており、AI主導の脆弱性発見が持つ二面性があらためてクローズアップされています。
Redditでは、Wiredが掲載した詳細レポートが1,066アップボートを獲得し、AI主導のコードレビューがQA(品質保証)プロセスを根本から変える可能性について開発者の間で活発な議論が続いています。Project Glasswingが成功すれば、ソフトウェアリリース前の安全性評価に新たな標準が生まれる可能性がありますが、同時に悪意ある主体がAIを武器化した場合の被害規模拡大リスクも現実のものとなります。Anthropicが今回「限定公開」という慎重な判断を下した背景には、こうした緊張関係があるとみられます。