何が起きたか
Anthropicの5月22日のProject Glasswing更新(5月25日にThe Registerで詳細に報道)では、約50のパートナーがClaude Mythos Previewを使用して1ヶ月以上で10,000件以上の高度/重大度の脆弱性を発見したこと、およびAnthropicが1,000以上のプロジェクトをスキャンした結果、6,202件の高度/重大候補が検出され、独立した審査サンプルの90.6%が真の陽性として確認されたことが明らかになりました。重要な点として、Anthropicは「Mythosをリリースしない」という公開的な立場から「近い将来、より強固なセーフガードを開発した後、Mythos級モデルを一般公開を通じて利用可能にすることを楽しみにしています」へとシフトし、次のステップとして米国および同盟国の政府パートナーへの拡大を示唆しました。
なぜ重要か
これは二重の側面を持つリスク信号です。CloudflareがバグFindで2,000件のバグを発見し、Mozillaが271個のFirefox欠陥をパッチできるのと同じ機能が、最終的には敵対者がアクセス可能になり、悪用までの時間をゼロに短縮します。セキュリティボトルネックは構造的に脆弱性発見からパッチのスループットへシフトしており、パッチサイクルが30~90日で実行される組織は、AI発見された欠陥が修正できるよりも速く蓄積するため、露出のウィンドウが増加しています。
適用範囲
オープンソースソフトウェア依存関係を実行しているすべての組織、重要インフラストラクチャ事業者、および金融機関は、直ちにパッチサイクルSLAを確認し、自動パッチテストパイプラインに投資する必要があります。コンサルティングチームはGlasswingが公開したCVDダッシュボードを使用して、クライアントの主要な依存関係がAnthropicが스캔した1,000以上のプロジェクトに含まれているかどうかを確認する必要があります。