Anthropic’s Claude Mythos Preview Uncovers 10,000+ 0-Days in Project Glasswing
2026/05/23 CyberSecurityNews — 深刻な脆弱性が悪用される前に、高度な AI を用いて重要インフラを保護するための、サイバーセキュリティ・イニシアチブ Project Glasswing の初期成果が、Anthropic から公開された。世界で最も重要なソフトウェア・システム全体に対して、未公開モデル Claude Mythos Preview を活用することで、深刻度 High および Critical のゼロデイ脆弱性 10,000 件以上が、プロジェクト開始から 1 ヶ月間で発見された。
Anthropic が連携する Microsoft/Apple/Google/Cloudflare などの 50 社以上の主要テクノロジー企業に対して、Claude Mythos Preview が展開された。それらのベンダーのコードベースを標的とする、高度な自律性のスキャンが展開された結果として、このモデルが実証したのは、脆弱性の特定だけではなく、機能するエクスプロイトを自律的に構築する能力である。
Cloudflare は、2,000 件のバグを発見し、そのうち 400 件が深刻度 High または Critical であったと報告している。同社は、このモデルの誤検知率の低さについて、人間のセキュリティ・テスターを上回る性能を実証したと指摘している。
Claude Mythos Preview が 10,000件以上のゼロデイを発見
これらの能力は、複数環境で確認されており、Mythos Preview が多段階サイバー攻撃シミュレーションを完全に解決した初のモデルであると、英国の AI Security Institute は報告している。
その一方で Mozilla は、このモデルを用いて Firefox 150 における 271 件の脆弱性を発見/修正し、Claude Opus 4.6 を用いた従来テストと比較して 10 倍以上の成果を達成した。
これらの自律的なエクスプロイト生成能力には、深刻なデュアルユースのリスクが伴う。そのため、Anthropic は Mythos の一般公開を見送り、防御を目的とするコンソーシアムへの参加組織のみに利用を制限している。
Anthropic は Claude Mythos Preview を、プロプライエタリなエンタープライズ・システムに加えて、広く利用される 1,000 件以上のオープンソース・プロジェクトにも適用した。その結果として発見されたものには、wolfSSL 暗号ライブラリにおけるクリティカルな脆弱性 CVE-2026-5194 がある。
Mythos Preview は、この脆弱性に対するエクスプロイトを構築し、セキュリティ証明書の偽造を可能にした。それにより開かれる経路は、攻撃者が銀行やメール・ドメインを不可視に偽装する攻撃ベクターとなり得る。
発見された脆弱性の膨大な量は、ソフトウェア業界における、構造的な弱点を露呈している。具体的に言うと、人間による脆弱性のトリアージ/報告/修正能力が、AI 駆動の発見速度に追いついていない現実である。
初期スキャンでは 23,019 件の候補が検出された。そのうちの 1,900 件を外部セキュリティ企業がレビューした結果、1,726 件 (90.8%) が真に有効な脆弱性であると確認された。
Anthropic は、検証済みの脆弱性 1,596 件をメンテナーへ報告したが、現時点でアップストリームで修正されたのは 97 件に留まり、公開されたセキュリティ・アドバイザリは 88 件のみとなっている。この大幅な減少が浮き彫りにするのは、高品質な AI 脆弱性報告に圧倒されている、オープンソース・エコシステムの深刻なリソース不足と処理能力の限界である。
現在のセキュリティ業界は、90 日間にわたる協調的脆弱性開示 (CVD:Coordinated Vulnerability Disclosure) モデルを採用しているが、この期間が新たなリスクを生み始めている。つまり、Mythos クラスのモデルにより、ゼロデイ発見に必要なコストと時間がほぼゼロとなった結果、発見からパッチ適用までの遅延が、攻撃者にとって極めて魅力的なエクスプロイトの機会となる。
それぞれの組織に求められるのは、パッチ適用だけに依存せずに、厳格なデフォルト設定の適用/多要素認証の義務化/高度な振る舞い分析の活用を通じて、ネットワーク防御を適応させることだ。また、侵害後の検知時間 (MTTD:Mean Time to Detect) の短縮も必要になる。
前述のとおり Mythos の利用は限定されているが、Anthropic は広範なエコシステムを支援するために、Claude Security のパブリック・ベータ版をエンタープライズ向けに公開している。このツールは、Opus 4.7 モデルを活用するものであり、すでに 2,100 件以上の脆弱性の修正に貢献している。
さらに Anthropic は、Cyber Verification Program のパートナーに対して、専用スキル/コードベース・マッピング・ハーネス/自動脅威モデリング・ツールを提供し、トリアージ・プロセスの効率化を支援している。
今回の初期結果レポートによると、Anthropic は将来的に Mythos クラス・モデルの公開を検討している。その一方で、Cisco などの連携パートナーは、Foundry Security Spec のようなリソースをオープンソース化し、今後到来する大量の脆弱性データに対応しようとしている。それにより、世界中の防御を担う組織に対して、AI 支援評価システムの構築を支援するとしている。
AI の驚異的な進歩により、多くのゼロデイ脆弱性が発見されるようになりましたが、現在のオープンソースにおける問題は、それらを検証して修正するメンテナーの深刻なリソース不足にあります。たとえば、wolfSSL の CVE-2026-5194 のような深刻な脆弱性が発見されても、対応する側の処理能力が追いついていません。AI の圧倒的なスピードに対して、従来のトリアージやパッチ適用の仕組みが、構造的な限界を迎えています。この人間側のリソース不足と修正の遅れこそが、現在生じている新たなリスクの大きな要因となっています。防御側も AI の支援を得るなど、これからの時代に合わせた新しい運用の形が求められています。よろしければ、Anthropic での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.