セキュリティ業界では長らく「発見が追いつかない」という嘆きが続いてきた。製品のリリースサイクルは速く、コードベースは膨らみ続け、人手による監査では年に数百件の脆弱性を見つけるのが精一杯だった。ところがAnthropicが2026年4月にProject Glasswingを立ち上げ、限定パートナーに未公開モデルClaude Mythos Previewを提供してからの1ヶ月で、その嘆きの中身が変わった。Anthropicが5月22日に公開した初期アップデートによれば、約50社のパートナーが世界の重要ソフトウェア群から10,000件超のhigh/critical脆弱性を見つけ出した。スピードは桁違いに上がった。しかし、その先で新たな壁が立ちふさがっている。
1ヶ月で10,000件:数字が示す発見能力の桁違いの跳躍
Anthropicの発表で最も目を引くのは、約50のパートナー組織がMythos Previewを運用した1ヶ月で、各社のバグ発見率が10倍以上に向上したという報告だ。CVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)番号の発行件数で語られてきた業界の進歩感覚が、桁を一つずらすことを迫られている。
数値の裏付けも具体的だ。Anthropic自身も数ヶ月かけて1,000を超えるオープンソースプロジェクトをスキャンし、推定23,019件のうち6,202件をhigh/critical severityと分類した。これらhigh/critical候補6,202件のうち、すでに1,752件について6つの独立セキュリティ研究会社(または一部はAnthropic自身)による精査が完了している。精査結果は、90.6%(1,587件)が真陽性、62.4%(1,094件)がhigh/critical severityの確定判定だった。AIによる脆弱性スキャンに付きものだった「ノイズが多すぎて使えない」という批判は、少なくともMythos Previewのレベルでは過去のものになりつつある。
学術ベンチマークでも結果が並んだ。英国AI Security Instituteは、Mythos Previewを「両方のサイバーレンジ(多段サイバー攻撃シミュレーション)をend-to-endで初めて解いた最初のモデル」と評価した。独立セキュリティプラットフォームのXBOWは「既存のすべてのモデルを大きく上回るsignificant step up」「token単位で前例のない精度」と書いている。学術側の指標と現場の発見件数が同じ方向を指し示している点に、業界は警戒と興奮の両方を向けている。
Cloudflare、Mozilla、Microsoft:各社の現場で何が起きたか
数字を企業ごとに見ると、現場の質感が立ち上がってくる。Cloudflareはcritical-pathシステム全体をMythos Previewにかけ、合計2,000件のバグを発見した。そのうち400件がhigh/criticalに分類されている。Cloudflareチームは自社ブログで、Mythos Previewの偽陽性率について「人間テスターのそれより良い」と評価した。SaaSインフラの中枢を担う企業が、AIレビュアーを人間の同僚と同等以上として扱い始めたという表明である。
MozillaはブラウザFirefox 150のテストにMythos Previewを投入し、271件の脆弱性を発見・修正した。Firefox 148を旧モデルClaude Opus 4.6でテストしたときの10倍以上にあたる件数だ。同じ製品ライン・同じテスト手順で世代差を測れる珍しいケースであり、Mythosクラスの能力が単なる体感ではなく数えられる差として現れたことを意味する。
エンタープライズ側の動きも具体的だ。MicrosoftのPatch Tuesdayリリースに含まれるパッチ件数は通常水準を超えて増え、Oracleは脆弱性検知・修正速度が「複数倍」高速化したと公式に表明している。Palo Alto Networksの最新リリースに含まれるパッチ数は通常の5倍以上に達した。Project GlasswingのパートナーにはAWS、Apple、CrowdStrike、Google、JPMorganChase、NVIDIA、Palo Alto Networks、Cisco、Cloudflare、Mozilla等が名を連ねており、彼らのリリースノートが一気に膨らんでいる。
Anthropic自身も具体例を一つ公表した。Glasswingパートナーの銀行で、Mythos Previewが脅威アクターによる顧客メールアカウント侵害とスプーフ通話を起点とする150万ドルの不正電信送金を検知・阻止したという。銀行名は非公開で独立検証はできないが、Anthropicは公式アップデートにこの事例を載せている。発見対象がコードだけでなく、進行中のソーシャルエンジニアリング攻撃にまで広がりつつあることを示すケースだ。
wolfSSLの証明書偽造攻撃:1件のCVEが抱える「数十億デバイス」の重み
数のインパクトとは別に、1件の脆弱性そのものの重さを示す事例も上がってきた。暗号ライブラリwolfSSLは世界の数十億デバイスで使われている。組み込み機器、IoT、ネットワーク機器、自動車の制御ユニット、さらにはクラウド側のTLSスタックまで広範に分布しており、ここで見つかった欠陥は影響範囲が他のOSSとは桁が違う。
そのwolfSSLに対し、Mythos Previewが証明書偽造攻撃の動くexploitを構築した。これがCVE-2026-5194として公開され、すでに修正済みである。攻撃の仕組みを単純化すると次のようになる。TLS(Transport Layer Security、Web通信暗号化規格)で行われる証明書検証は、サーバが提示する証明書チェーンを認証局のルート証明書まで辿り、署名が正しく連鎖していることを確認する作業だ。この検証ロジックのどこか一段でも条件分岐の取り扱いを間違えると、攻撃者は自分が作った偽の証明書を「正規」と認識させることができる。
Mythos Previewが指摘したのは、その分岐の取り扱いに穴がある経路だった。報告だけならスタティック解析でも理屈上は可能だが、Mythos Previewは実際に動作するexploitを組み立ててwolfSSLチームに渡している。動く攻撃コードと机上の指摘では、メンテナが優先順位を判断するスピードがまったく違う。数十億デバイスが裏で抱えていた静かなリスクが、AIがexploitを書き上げた数時間以内に「即パッチ案件」に格上げされた、というのが今回の変化だ。
オープンソース側の全体像も同じ構図で動いている。Anthropicは数ヶ月かけて1,000超のOSSプロジェクトをスキャンし、メンテナの要請により未検証で直接開示したバグが1,129件にのぼる。Mythos Previewはそのうち175件をhigh/criticalと推定している。OSSの暗部、つまり「脆弱性は確かにあるが、誰も体系的に見ていなかった領域」が、はじめて広範囲に光を当てられた格好だ。
「発見」が「修正」を超える時:ボトルネックの位置が変わった
ここから先が、業界が本気で議論を始めた論点だ。Anthropic自身が公式ブログで書いた一節が事態を端的に表している。「ソフトウェアセキュリティの進歩はこれまで、新しい脆弱性をどれだけ早く発見できるかで制約されていた。今や、AIが発見した大量の脆弱性をどれだけ早く検証・開示・パッチ適用できるかで制約されている」。ボトルネックが「発見」から「処理」へ移った、という宣言である。
数字でも裏付けが取れる。AnthropicがOSSメンテナに報告したhigh/critical bugは530件、そのうちすでにパッチ適用済みは75件、公開アドバイザリが発行されたのは65件にとどまる。さらに827件が確認済みで開示準備中という状態だ。high/critical severityのバグについて、Anthropicによれば発見から修正まで平均約2週間を要するという。標本の詳細は明示されていないが、報告された件数とパッチ済み件数の比率が、メンテナ側のtriage能力が明らかに飽和していることを示している。
OSSメンテナからは、Anthropic経由で「開示ペースを落としてほしい」「パッチ設計に時間が必要だ」という要請が複数寄せられているという。CVD(Coordinated Vulnerability Disclosure、協調的脆弱性開示)の運用は元来、発見者と修正者の歩調を合わせる前提で組み立てられてきた。発見者側がほぼ自動化・24時間稼働のAIに置き換わったとき、人間が運用するメンテナチームとの非対称が成立する。攻撃者が同等のAIを持つ可能性を加味すれば、「発見→パッチ→展開」の時間差を狙う既存の攻撃モデルに、これまでとは別種の優位が積み増される構造だ。
業界文脈に置き直すと意味がより鮮明になる。2025年Verizon DBIR(Data Breach Investigations Report)によれば、脆弱性悪用は侵害の初期アクセス手段として前年比34%増、全侵害の20%を占めてcredential abuse(22%)に次ぐ第2位の侵入経路となった。発見技術がAI側に偏在し、修正側がスケールしないままだと、この比率はさらに歪む。Harvard Law SchoolのCorpGovブログに寄稿したBob ZukisとJess H. Webbは、「AIによる脆弱性発見が、企業や取締役会が想定している以上のhidden cyber riskを露呈させる。それはdisruptiveだがvaluableな可視化である」と書いており、取締役会レベルでの対応を促し始めている。可視化された借金の総額を、誰が、どの順番で返済するかという問いだ。
一般公開はいつか:Claude Codeに現れた「mythos-1-preview」トグル
最後に残るのは、Mythosそのものの将来位置取りである。Anthropicは公式アップデートでMythos-classモデルを「near future(近い将来)」にgeneral releaseする意向を明示した。条件として「必要となるずっと強力なsafeguards(安全対策)を整備した上で」と但し書きを付けており、確定スケジュールではない。次フェーズでGlasswingを米国および同盟国政府を含むcritical partnersに拡大することも示されている。
兆候のひとつは、観測者の目に短時間だけ触れた。BleepingComputerが5月26日に報じたところによれば、Claude CodeおよびClaude Securityの公開バージョン上で「claude-mythos-1-preview」というモデル選択トグルが一時的に出現した。TestingCatalogが5月23日にスクリーンショット付きでXに投稿しており、その後トグルはオフラインに戻された。Anthropic公式のコメントは出ていないが、UIに痕跡が出るというのは、社内で一般提供向けのフラグ管理が進んでいる兆候として読み取りやすい。
Anthropicは同じ公式ブログで、「現時点で、Anthropicも含めて、こうしたモデルが悪用され深刻な被害を引き起こすのを防ぐのに十分なsafeguardsを開発した企業は存在しない」とも書いている。Mythosクラスは攻撃側に渡れば極めて危険な道具になり得るため、API(Application Programming Interface)レベルの濫用検知、悪意あるユーザの早期遮断、責任あるユーザへの限定開示といったレイヤを積み上げた上でないと一般公開には踏み切れない、というのがAnthropicの立場だ。事業面ではAnthropicが2026年Q2に売上109億ドル・営業利益5.59億ドルで初の四半期営業黒字となる見通しが報じられており、その後の四半期はコンピュート投資拡大で黒字維持しないとされる。財務的な余力と、安全側の構築投資が、これからの公開タイミングを実質的に決める。
国家規模の反応も動き出している。Mythosの存在そのものが日本政府による大規模セキュリティレビューの指示と、インド当局による金融機関へのパッチ実施要求を引き起こしたことも伝えられている。AIの脆弱性発見能力が外交・規制レイヤの議題として扱われ始めている、という流れは確かだ。Mythosが公開ロードマップの先に何を引きずってくるか、その輪郭は次の数ヶ月で見えてくる。