何が起きたか
Anthropic は 2026 年 5 月 22 日に Project Glasswing の最初の更新を公開し、Microsoft、Apple、Google、Cloudflare を含む約 50 のパートナーと共にデプロイされた制限付き Claude Mythos Preview モデルが、初月の運用で重要なソフトウェア全体にわたり 10,000 件を超える高度および重度の脆弱性を発見したことを開示しました。パートナーは従来の方法と比べて 10 倍以上のバグ発見率の増加を報告し、Cloudflare だけで 2,000 件のバグ (400 件が高度/重度) を発見し、人間のテスターより優れた誤検知率を達成しました。Mythos Preview は複数段階のエクスプロイトチェーンを自律的に構築でき、低度の脆弱性プリミティブを高度な攻撃にチェーンし、自己補正ループで動作する概念実証を生成できます。UK AI Security Institute は Mythos Preview がエンドツーエンドで複数段階のサイバー攻撃シミュレーション範囲の両方を完全に解くことができた最初のモデルであることを確認しました。Anthropic は制限付き Glasswing コンソーシアムに属さないエンタープライズ向けに Claude Security (Opus 4.7) をパブリックベータで立ち上げ、既に 2,100 件の企業脆弱性のパッチを支援しています。
なぜ重要か
これは AI 支援型脆弱性検出が質的な閾値を越えたことの最も明確な経験的証拠です。ボトルネックはもはやバグを見つけることではなく、敵対者が同じ機能を武器化するよりも速くそれらを検証、調整、およびパッチすることです。四半期スキャンまたは月次メンテナンスウィンドウパッチレジームで運用している組織は構造的に準備ができていません。開示で引用されている Mandiant の M-Trends 2026 データは、攻撃者が現在パッチがリリースされる平均 7 日*前*に脆弱性を悪用していることを示しています。Mythos は一般提供から保留されているため、Glasswing コンソーシアムで運用している防御者は敵対者が同等のオープンまたは中国市場モデルにアクセスを取得するにつれて無期限には続かない非対称の優位性を持っています。
適用範囲
すべてのエンタープライズは、7 日間事前パッチ悪用基準に対するパッチ管理 SLA を直ちにレビューし、今後 90 日間の調整された開示ウィンドウ中に公開される際に NVD を通じて追跡される Glasswing CVE 開示を優先し、支援する修復のために Anthropic の Claude Security パブリックベータを評価する必要があります。金融サービス、ヘルスケア、および重要インフラ企業は、2026 年の残りの期間を通じて高度の脆requiring の開示率が大幅に増加し続けることをボードに通知する必要があります。