本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
Anthropicは2026年5月22日公表の更新で、AIモデル「Claude Mythos Preview」を使って1,000件超のオープンソースプロジェクトを走査し、2万3,019件の脆弱性候補を記録したと明らかにした。発見の速さが目立つ一方、実務上のボトルネックはAIによる探索ではなく、人間が候補を検証し、メンテナーへ通知し、修正パッチを作って適用する工程に移っている。公開ダッシュボードでは、全深刻度を含む候補のうち1,900件が外部セキュリティ企業のレビューを受け、直接報告分を含む1,596件がメンテナーに報告され、97件が上流で修正済みとなっている。
発見速度に追いつく開示・修正体制の負荷
候補2万3,019件のうち、モデル推定では6,202件が高深刻度または重大深刻度に当たる。これは全件が確認済みという意味ではないが、放置すれば影響が大きい可能性のある所見が大量に積み上がっていることを示す数字だ。全深刻度を含むダッシュボード上では、人手レビュー後に有効と確認された候補が1,726件、メンテナー側の受領確認まで進んだものが1,451件となっている。
Anthropicは6社の外部セキュリティ企業と連携し、候補の実在性や優先度を見極めるトリアージを進めている。トリアージとは、見つかった問題が本当に脆弱性か、どれほど危険か、どの順に伝えるべきかを振り分ける作業である。AIが大量に候補を出しても、この工程を飛ばせば誤報や未修正情報の拡散につながる。
一部のメンテナーからは開示ペースを落としてほしいとの要請も出ている。高深刻度または重大深刻度のバグ1件の修正には平均2週間を要し、報告を受ける側にも、原因の特定、パッチ設計、テスト、リリースという負荷が集中する。問題は作業が止まっていることではなく、発見量に対して確認と修正の処理能力が不足し始めている点にある。
候補から修正までを可視化したProject Glasswing
Anthropicは2月にClaude Mythos Previewの初期スナップショットをオープンソース脆弱性探索に投入し、4月7日の技術説明で「Project Glasswing」を立ち上げた背景を示していた。Mythos Previewは主要OSや主要Webブラウザでゼロデイ脆弱性の発見と悪用に強い能力を示したため、未修正の詳細をむやみに公開せず、責任ある開示を前提に進めている。
今回の公表数字は、AIが「2万3,019件の確認済み脆弱性」を見つけたという意味ではない。候補、外部レビュー、有効確認、メンテナー報告、受領確認、上流修正、CVEまたはGHSA付与という段階を分けて示したパイプラインの数字である。CVEやGHSAは、脆弱性を追跡・共有するための共通番号や助言情報で、5月22日時点では88件に付与されている。
今後の焦点は、未レビュー候補のうちどれだけが実際の脆弱性として確定するか、メンテナー側がどの速度で修正を進められるかに移る。AIによる探索能力の向上は、ソフトウェア防御の前線を広げる一方、検証と修正を担う人間側の体制整備を急務にしている。
