AIによるサイバー防御の論点が、モデル性能そのものから「誰に、どの順序で渡すか」へ移り始めた。Anthropicは2026年6月2日、重要ソフトウェアを保護する共同プログラム「Project Glasswing」を拡大し、Claude Mythos Previewへのアクセスを約150の新規組織へ広げると発表した。4月の初期参加者はおよそ50組織だったため、条件を満たした場合、利用組織は約200に増える。
この発表は、単なるAIモデルの早期アクセス拡大ではない。Mythos PreviewはAnthropicが「最も能力の高い」コーディング・エージェント系モデルとして扱う一方、脆弱性の発見と悪用の両方に使える二面性を持つ。Anthropicは一般公開を急がず、まず重要インフラや基盤ソフトウェアの守り手に限定して渡す道を選んでいる。今回の発表が動かした前提は、AIが脆弱性を見つけられるかどうかではなく、発見された大量の欠陥を社会がどれだけ速く検証し、開示し、修正できるかである。
拡大先は「AI企業の顧客」ではなく、攻撃されると社会に波及するコード基盤だ
Anthropicによると、新たな参加組織は15カ国超に拠点を持ち、電力、水道、医療、通信、ハードウェアなど、初期コホートで十分に代表されていなかった分野を含む。多くは自社だけで完結する利用者ではなく、政府や他社が依存するコードベースを保守する企業や非営利組織だ。同社は、ほとんどの参加者について、そのコードベースへの大規模攻撃が1億人超に影響し得ると見積もっている。
Project Glasswingの初期発表では、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどがローンチパートナーとして並んだ。さらに40超の重要ソフトウェア関連組織にもアクセスが拡張されていた。今回の拡大は、その枠を技術大手中心の防御実験から、社会インフラを支えるより広い運用層へ押し出すものだ。
ただし、アクセスは無条件ではない。新規参加組織はセキュリティ要件を満たしてからMythos Previewにアクセスできるとされている。Reutersは、Goldman SachsがMythosを試験している銀行の一つだと報じた一方、Anthropicは新規参加組織名を明かしていない。TechCrunchはFinancial Timesの報道として、日本、韓国、インド、欧州各国などが含まれ、Okta、Samsung、SK Hynix、SK Telecom、NATO、EUのサイバーセキュリティ機関ENISAなどの名前が挙がっていると伝えたが、これらはAnthropicが公式に列挙したリストではない。
モデルの配布範囲は、すでに地政学的な意味を持ち始めている。高度な脆弱性発見能力が少数の米国企業や一部政府だけに閉じるなら、同じソフトウェアに依存する海外の銀行、通信、医療、公共インフラは守りの情報に遅れて触れることになる。一方で、広げすぎれば攻撃側への漏えい、悪用、第三者経由のアクセス管理が難しくなる。Glasswingは、AIモデルの「販売」よりも、攻撃面が広がる前に防御側へ時間差の優位を配る仕組みに近い。
Mythosの強さはサイバー特化ではなく、コード理解と自律作業の副産物だ
AnthropicはMythos Previewを、サイバーセキュリティ専用モデルではなく、コーディングとエージェント的タスクに強い汎用フロンティアモデルとして説明している。強いコード理解、複雑なソフトウェアの読み替え、実行環境での試行、修正案の作成ができるモデルは、そのまま脆弱性の発見と悪用経路の検証にも使える。防御にも攻撃にも効くからこそ、公開判断が難しい。
Project Glasswing参加者向けには、Claude API、Amazon Bedrock、Google Cloud Vertex AI、Microsoft Foundryを通じて利用でき、価格は100万入力トークンあたり25ドル、100万出力トークンあたり125ドルとされている。Anthropicはプログラム全体を支えるため、1億ドルのモデル利用クレジットをコミットし、オープンソースセキュリティ組織へ400万ドルを寄付するとも説明していた。招待制ベータという体裁ではなく、クラウド経由の利用経路、費用補助、OSS支援を組み合わせた防御インフラの立ち上げである。
同社のRed Teamによる技術説明では、Mythos Previewは主要OSや主要ブラウザでゼロデイ脆弱性を見つけ、実証コードを構築する能力を示したとされる。Anthropicが細部の多くを公開していないのは、未修正の脆弱性情報が利用者を危険にさらすからだ。同社が「99%以上の脆弱性はまだ修正されていないため詳細を出せない」と書いていること自体が、この能力の扱いにくさを端的に示している。
この構造は、AIモデルの通常の製品発表とは異なる。ベンチマークで高得点を出し、広くAPI販売するほど市場価値が高まるという単純な話ではない。Mythos Previewの場合、能力を証明するほど一般公開の危険性も増す。Anthropicが強調しているのは、より多くの組織に同等の防御能力を渡す必要性と、誤用防止策がまだ十分ではないという制約の、両方である。
1万件超の発見が示したのは、探索ではなくパッチ処理の詰まり
Project Glasswingの初期数週間で最も重い数字は、発見数そのものではない。Anthropicは、約50の初期パートナーとともに、システム上重要なソフトウェアから1万件超の高・重大深刻度の脆弱性を見つけたと説明している。さらに、オープンソースソフトウェアのスキャンでは、Mythos Previewが2万3,019件の脆弱性を推定し、そのうち6,202件を高・重大深刻度と見積もった。
この数字だけなら「AIが人間より速くバグを見つけた」という話に見える。だが、公開判断に効くのは次の段階だ。Anthropicによると、高・重大深刻度と推定された1,752件を独立セキュリティ企業などが評価した結果、90.6%にあたる1,587件が有効な真陽性であり、62.4%にあたる1,094件が実際に高・重大深刻度と確認された。AIの発見は完全ではないが、無視できるノイズでもない。
一方で、修正の進み方は発見速度に追いついていない。Anthropicは高・重大深刻度の脆弱性530件を保守者へ開示済みと推定し、そのうち修正済みは75件、公開アドバイザリが出たものは65件だと報告した。まだ90日の協調的脆弱性開示期間の途中であり、公開アドバイザリなしに修正されたものを過小計上している可能性もある。それでも、AIで発見できる量と、人間の保守者が検証し、設計し、パッチを出し、利用者へ配備させる能力の差は明確だ。
Anthropicは、複数の保守者から開示ペースを落としてほしいと言われたとも明かしている。AI生成の低品質なバグ報告が既に保守者を圧迫している中で、Mythos Previewのようなモデルが高い精度で大量の報告を生むと、今度は「本物の重要な脆弱性」を処理する側が詰まる。サイバー防御の制約は、発見ツールの不足から、検証・優先順位付け・修正配布の運用能力へ移った。
この点で、Glasswingの拡大はアクセス拡大であると同時に、負荷分散でもある。重要インフラの運用者や基盤ソフトウェアの保守者が自分のコードベースを早く調べられるようになれば、Anthropicや少数のセキュリティ企業だけが発見と開示を抱える構図を避けられる。ただし、参加者が増えるほど、報告形式、重複排除、重大度評価、公開タイミングの標準化が必要になる。AIが速くなるほど、遅い制度部分が露出する。
一般公開を急げない理由は、攻撃者にも同じ能力が渡る危険性をはらむから
Anthropicは、Mythos級のモデルを将来的に一般提供したいとしながら、誤用を防ぐ十分な安全策を自社も他社もまだ持っていないと明言している。同社は、6から12カ月以内に他のAI企業からもMythos級のサイバー能力を持つモデルが出てくると見ており、強い安全策なしに公開されれば、欠陥ソフトウェアの悪用が劇的に安く、簡単になると警告している。
ここでの緊張は一点に集約される。防御のためには広いアクセスが必要だが、広いアクセスは攻撃のリスクも高める。脆弱性発見モデルは、守る側が自分のコードを直すために使えば価値がある。だが、同じ能力を攻撃者が未修正の公開ソフトウェアに向ければ、短時間で悪用候補を増やせる。従来のセキュリティツールも同じ二面性を持っていたが、AIモデルは探索、検証、報告、場合によっては悪用コードの構築まで一つの流れで進められる。
Anthropicが今回選んだ道は、全顧客への即時展開でも、少数組織への恒久的な閉じ込めでもない。重要インフラ、オープンソース保守者、政府、セキュリティチームへ段階的に広げ、同時にClaude SecurityやCyber Verification Programのような周辺ツールを出す。一般提供に向けた橋を架けながら、最初に守るべきコードベースを優先する設計だ。
この設計が成功するかは、Mythosの能力値だけでは測れない。問われるのは、参加組織が発見結果をどれだけ正しく検証し、重複や誤検知を減らし、保守者に処理可能な形で渡し、利用者の環境へパッチを届けられるかである。発見数の多さは、初期には能力の証明になる。だが次の数カ月で見るべき指標は、確認済みの重大脆弱性、修正済み件数、公開アドバイザリ、パッチ配備率、そして未修正期間の短縮だ。
「守る側の先行配備」は、AI安全策が完成するまでの暫定制度になる
Project Glasswingは、AIモデルの安全策が完成してから公開するという理想形ではない。むしろ、安全策が未完成なまま能力だけが先に来たとき、社会がどう時間を稼ぐかの実験である。Anthropicは、数十万の組織、研究者、保守者が最先端のサイバー防御能力にアクセスする必要があると述べている。だが、その全員に同じ能力を同時に開くには、悪用防止の制御が足りない。
今回の拡大は「Mythosが危険ではなくなった」という意味ではない。逆に、危険だからこそ、攻撃者が同等能力を手にする前に、重要なコードベースを先に調べ、直し、運用手順を更新する必要があるという判断だ。Anthropicが新規参加者にセキュリティ要件を課すのも、モデルそのものより、利用環境と情報管理がリスクの一部になるからである。
サイバーセキュリティでは、脆弱性を見つける技術だけが進んでも、社会全体の安全性は上がらない。見つかった欠陥が検証され、正しく開示され、保守者が修正し、利用者が更新して初めて効果が出る。AIはその最初の工程を急激に速くした。Project Glasswingの拡大で試されるのは、残りの工程を同じ速度へ近づけられるかである。
次に注目すべきは、Mythosが何件の新しい脆弱性を見つけたかだけではない。約200組織規模になったGlasswingが、修正済み件数、公開アドバイザリ、パッチ配備、国際的なアクセス配分をどれだけ透明に示せるかだ。AIによる脆弱性発見が一般化するなら、優位に立つのは最も強いモデルを持つ組織ではなく、見つかった欠陥を最も速く直せるエコシステムである。



