本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
Anthropicは6月2日、ソフトウェアの脆弱性発見に高い能力を持つ「Claude Mythos Preview」の限定公開を拡大すると発表した。防御側の組織が利用する協業枠組み「Project Glasswing」を、初期の約50組織から約200組織規模へ広げる見通しだ。新たに参加する組織は、アクセス前に同社のセキュリティ要件を満たす必要がある。
重要インフラへ広がる約150組織の追加
今回の拡大では、約150の新規組織が追加対象となる。新規組織は15カ国超にまたがり、電力、水道、医療、通信、ハードウエアなど、初期参加では手薄だった重要インフラ分野を含む。Project Glasswingは、AI時代に重要ソフトを先回りして守るための取り組みで、攻撃に使われ得る能力を防御側の検証と修正に振り向ける狙いがある。
Anthropicは5月22日の初期更新で、同社と約50のパートナーが世界的に重要なソフトウェアを調べ、深刻度が「高」または「重大」に当たる脆弱性を1万件超見つけたとしている。公式説明では、Claude Mythos Previewが主要OSや主要Webブラウザーを含む重要ソフト群で、数千件のゼロデイ脆弱性を発見したとされる。ゼロデイとは、修正パッチが出る前に存在する弱点のことで、悪用されれば被害が広がりやすい。
具体例として、OpenBSDで27年にわたって残っていた脆弱性、FFmpegで16年越しに見つかった脆弱性、Linuxカーネルで権限昇格につながる複数の脆弱性の連鎖が挙げられている。これらは既に報告・修正済みだ。
6月3日には、韓国科学技術情報通信部が、韓国インターネット振興院(KISA)のProject Glasswing参加を確認した。ロイターは、Samsung Electronics、SK Hynix、SK Telecomも拡大対象に含まれると報じている。ただし、Samsung Electronicsはコメントを控え、SK側からの回答は得られていないとしており、個別参加組織の扱いは確認済み情報と報道情報を分ける必要がある。
一般公開ではなく管理付きの防御利用
今回の発表は、Mythos Previewを一般利用へ開くものではない。高いサイバー能力を持つ限定公開モデルを、セキュリティ要件を満たす防御側の組織へ段階的に広げる動きと位置付けられる。Anthropicは、既存パートナー、セキュリティ業界、オープンソース保守者、米政府との協議を踏まえて拡大を進めるとしている。
AIによる脆弱性探索が加速すれば、発見後の確認、開示、修正をどのように処理するかが防御側の負荷になる。見つかった弱点を安全に検証し、関係者へ知らせ、実際の修正につなげなければ、防御の成果にはならない。Anthropicの脆弱性開示ダッシュボードの5月22日更新では、1,596件の脆弱性を281のオープンソースプロジェクトで開示し、そのうち97件が修正済み、88件にCVEまたはGHSAが付与されたとしている。これは、1万件超という初期成果の総量とは異なる層の数字である。
同社は公開プロダクトとして「Claude Security」も案内している。これはClaude.aiとClaude Code上でコードベースを読み、脆弱性の発見と修正提案を人間のレビュー前提で行う製品で、今回拡大されるMythos Previewの限定公開とは別の防御向け製品線に位置付けられる。Reutersは、ソフトウェア脆弱性探索能力をめぐり各国政府や金融機関の関心が高まる中で、今回の拡大が打ち出されたと伝えている。
