何が起きたか
2026 年 5 月 22 日、Anthropic は Project Glasswing の初回更新を公開し、公開 Coordinated Vulnerability Disclosure (CVD) ダッシュボードを立ち上げました。このダッシュボードは、Claude Mythos Preview が広く使用されているソフトウェア全体で 10,000 件以上の高深刻度または重大度の脆弱性を自律的に発見し、Trail of Bits、ADA Logics、Calif.io を含む外部セキュリティ研究企業によって確認された 90.8% の真陽性率で 281 個のオープンソースプロジェクト全体のメンテナーに 1,596 件が開示されたことを示しています。開示された調査結果のうち、97 件がパッチ適用され、88 件が CVE または GHSA 識別子が割り当てられています。注目すべき CVE には、17 年前の FreeBSD RCE (CVE-2026-4747) と Mozilla との協力で発見された Firefox の脆弱性が含まれます。このモデルは、Anthropic が壊滅的な悪用化リスクを理由に公開リリースを恒久的に保留しているため、AWS、Apple、Google、Microsoft、Cisco、NVIDIA、CrowdStrike、JPMorgan Chase などの約 50 のパートナー組織に対して管理されたアクセスの下で制限されています。
なぜ重要か
これは、外部企業によって検証された真陽性率を備えた AI による自律的脆弱性発見を大規模で文書化する最初のベンダー出版物であり、攻撃的および防御的脆弱性研究の経済学を根本的に変えます。ボトルネックは脆弱性の発見から人間速度のパッチトリアージとコーディネーションへシフトしました。Cloudflare の Mythos 分析では、多重バグエクスプロイトチェーンを自律的に構築することが指摘されており、メンテナーは Anthropic にディスクロージャーを遅くするよう求めています。パッチ適用容量が新しい制約となっているためです。セキュリティチームは、90 日間のディスクロージャーウィンドウが閉じ始める際、基礎的な OSS (ブラウザ、TLS ライブラリ、カーネル) からのバーストレートパッチドロップに対して計画を立てる必要があります。
適用範囲
AI インフラストラクチャまたは一般的な用途のためにオープンソースソフトウェアに依存しているすべての組織は、Firefox、wolfSSL、nginx、FreeBSD、libyang、mastodon、および freerdp のパッチ頻度監視を増やす必要があります。脆弱性発見のためにフロンティア AI を評価しているセキュリティチームは、Glasswing の 90.8% TPR を同様の社内プログラムの参照ベンチマークとして扱う必要があります。CISO は、CVE ディスクロージャーから実行可能なエクスプロイトまでのパッチウィンドウの圧縮が、現在は週ではなく時間で測定されることを取締役会に説明する必要があります。