詳細を読む
Anthropicは2026年4月、自社のAIモデルClaude Mythos Previewが主要OSやウェブブラウザを含むソフトウェアから数千件の高深刻度・重大脆弱性を発見したと発表しました。この成果を受けて、AIを活用したサイバー攻撃に対抗する新プロジェクト「Project Glasswing」を立ち上げました。AWS、Apple、Google、Microsoft、Nvidiaがローンチパートナーとして参画し、Mythos Previewによるソフトウェアスキャンを開始します。
Mythos Previewが検出した脆弱性には、OpenBSDに27年間潜伏していたリモートクラッシュバグ、異なるドメイン間でデータを読み取れるブラウザ脆弱性、暗号化通信の傍受や証明書偽造を可能にする暗号ライブラリの欠陥が含まれます。セキュリティ専門家は、AIがコードの意味論を理解し、データフローを抽象化レイヤーにまたがって追跡できる点が、従来のパターンマッチング型静的解析ツールと本質的に異なると評価しています。
一方で、LLMには偽陽性の問題が残ります。実際にはセキュリティ上の脅威ではないバグを脆弱性として報告したり、深刻度を過大評価したりするケースが増加しており、オープンソースのメンテナーにトリアージの負担がかかっています。また、Mythos Preview自体が複数の脆弱性を連鎖させてLinuxカーネルのroot権限を奪取する手順を構築できることも示されており、攻撃への悪用リスクも存在します。
こうしたリスクに対し、Claude Code SecurityやGoogleのCodeMenderは「敵対的自己レビュー」を実装し、AIが自らの結果を批判的に検証してから提示する仕組みを導入しています。さらに別のモデルに検証させるクロスバリデーションも偽陽性の抑制に有効です。
セキュリティ専門家は、AIの出力は確率的であり最終判断にはならないと強調しています。動的脅威モデリングやレッドチームによる安全性評価に加え、開発プロセスの初期段階にセキュリティを組み込む「シフトレフト」が不可欠です。今後の課題は、脆弱性の検出から修正までのギャップを大規模に埋めることであり、AI支援による自動修復が次の重点領域として期待されています。