技術的な説明
Anthropicの「Project Glasswing」は2026年5月22~23日に、Claude Mythos Previewが自律的にCVE-2026-5194を発見したことを公開しました。これは組み込みシステム、IoT、TLSスタックで広く使用されているWolfSSL暗号化ライブラリの重大な欠陥(CVSS 9.1)であり、攻撃者がX.509証明書を偽造し、銀行やメールドメインを含む正規のサービスになりすまし、検出されないようにすることができます。Mythos Previewは欠陥を特定しただけでなく、証明書偽造を実証する実用的なエクスプロイトを構築しました。より広範には、Anthropicが1,000以上の広く使用されているオープンソースプロジェクトをスキャンし、6,202件の高度または重大度の脆弱性を発見し、外部セキュリティ企業の審査から90.8%の確認済みの真陽性率を得ました。公開の時点で、当初報告された脆弱性のうち97件のみがアップストリームでパッチされており、深刻なボトルネックを露出させています。ボランティアのオープンソース保守者が高品質のAI生成脆弱性開示に圧倒されています。Glasswing発見CVEの完全なカタログは、パッチが利用可能になるにつれ、90日間の協調開示スケジュールで開示されます。
攻撃経路
CVE-2026-5194の場合:WolfSSL証明書を偽造する能力を持つ攻撃者は、TLS検証にWolfSSLに依存するシステムに対してHTTPSなりすまし攻撃を実行でき、証明書警告をトリガーすることなく中間者傍受を有効にします。より広いGlasswingカタログの場合:Mythos Previewはエクスプロイトチェーン構築を実証しました。複数の低度の脆弱性を単一の高度のエクスプロイトに自律的にチェーンし、これらの6,200件以上の欠陥からのリスク表面が、個々のCVSSスコアが単独で示唆するより大幅に高いことを意味します。
影響を受けるシステム
WolfSSL暗号化ライブラリ(パッチされたリリース前のすべてのバージョン — パッチステータスはWolfSSLアドバイザリに対して確認予定);Glasswingスキャンプログラムにおける1,000以上のオープンソースプロジェクト、インターネットインフラストラクチャ、クラウドサービス、エンタープライズソフトウェアスタックの重要な部分を総合的に支えています。
緩和策
CVE-2026-5194の場合:WolfSSLアドバイザリ(https://www.wolfssl.com/docs/security-vulnerabilities/)を監視して協調パッチリリースを確認し、利用可能になったら直ちに適用してください。より広いGlasswingカタログの場合:AnthropicのGlasswing CVE開示フィードをサブスクライブし、Glasswing属性の新しいCVEを高優先度のトリアージとして扱ってください。生のCVSSのみに依存するチームが圧倒されるため、脆弱性トリアージプロセスを拡張して、エクスプロイト可能性コンテキスト(EPSSスコア、KEVステータス、到達可能性)を使用してください — 2026年全体で予想される確認済みの高度/重大度開示の量。WolfSSLを重要なパスで使用するシステムの場合、補償制御(厳密な証明書ピン留め、mTLS、ネットワークセグメンテーション)を実装してください。