Project Glasswing：AIが加速させるソフトウェア脆弱性特定とサイバー防衛の新局面

📝 概要

Anthropicが主導する「Project Glasswing」は、高度なAIモデルを活用して世界の主要なソフトウェアの脆弱性を特定し、悪用される前に修正することを目指す革新的な取り組みです。現在、Claude Mythos Previewを用いた検証では、わずか1ヶ月で1万件を超える重要度の高い脆弱性が発見されました。これにより、サイバーセキュリティのボトルネックは「脆弱性の発見」から「修正とパッチ適用の迅速化」へと移行しています。AIによる防御側の優位性を確立することは、将来的にソフトウェア全体の堅牢性を高める上で極めて重要な意味を持ちます。

📋 詳細レポート

Project Glasswingの初期成果は、AIがサイバーセキュリティのパワーバランスを劇的に変える可能性を示唆しています。これまで人間が多大な時間を要していた脆弱性の特定プロセスを、AIは圧倒的な速度と高い精度で代替し始めています。

AIモデル「Mythos Preview」による圧倒的な解析能力

検証に用いられた次世代モデル「Claude Mythos Preview」は、既存のベンチマークにおいて前例のない性能を記録しています。英国のAI安全研究所（AISI）によるサイバー攻撃シミュレーションをエンドツーエンドで解決した初のモデルとなり、Firefox 150のテストでは、従来のClaude Opus 4.6と比較して10倍以上の脆弱性を特定しました。Cloudflareでは2,000件のバグを発見し、その偽陽性率は人間のテスターを上回る精度であったと報告されています。

主要機能と技術的成果

• 大規模スキャンと高い精度: 1,000件以上のオープンソースプロジェクトをスキャンし、高重要度の脆弱性を90.6%という極めて高い適合率（True Positive Rate）で特定。
• 脆弱性修正の自動化支援: Claude Security（パブリックベータ）を通じ、コードスキャンだけでなく修正案の提示も実施。開始3週間で2,100件以上のパッチ適用に貢献。
• 不正検知への応用: 脆弱性特定に留まらず、銀行における150万ドルの不正送金未遂を検知・阻止するなど、実務的な防衛にも活用。

修正プロセスの停滞という新たな課題

AIによる脆弱性発見が加速する一方で、人間による検証、報告、およびパッチの開発・適用が追いつかないという「修正のボトルネック」が顕在化しています。オープンソースのメンテナーからは、AIが生成する大量の報告への対応に苦慮する声が上がっており、報告からパッチ適用まで平均2週間を要するのが現状です。脆弱性の発見が容易になったことで、修正が完了するまでの「攻撃可能な窓（タイムラグ）」のリスクが一時的に増大する懸念が生じています。

今後の展望と防衛側の asymmetric advantage

Anthropicは、モデルの悪用リスクを考慮し、Mythos級のモデルの一般公開を現在は控えています。しかし、他社からも同等の能力を持つモデルが登場することは避けられず、業界全体で「修正サイクル」を短縮する体制構築が急務です。将来的には、十分な安全策を講じた上でMythos級モデルを一般リリースし、開発段階でバグを排除できる環境を目指しています。Project Glasswingを通じて防衛側に「非対称な優位性」をもたらすことが、安全なデジタル社会の実現に向けた鍵となります。