よへラボ よへラボ
この記事は下書きです。noindex設定で、検索には出さない状態にしています。
10,000件超の高危険度バグを見つけたAI——Project Glasswingが示した“次のサイバー防衛”
2026-05-23 AIニュース サイバー防衛 Project Glasswing

10,000件超の高危険度バグを見つけたAI——Project Glasswingが示した“次のサイバー防衛”

Claude Mythos Previewの話題で、いちばん目を引く数字があります。

「10,000件超」。

ただし、この数字は少し丁寧に扱う必要があります。SNSでは「1ヶ月で1万件のゼロデイを発見」といった言い方を見かけるかもしれませんが、正確には、Project Glasswingの開始後、Anthropicと約50のパートナーが、世界的に重要なソフトウェアから「高・重大度」と見られる脆弱性を1万件超見つけた、という内容です。

すべてがゼロデイとして確定したわけではありません。すべてがすぐ攻撃可能だと確認されたわけでもありません。けれど、それでも十分に大きなニュースです。

なぜなら、問題は「見つけた数」そのものではなく、AIによって脆弱性発見の速度が一気に上がったことにあるからです。

何が起きたのか

Project Glasswingは、AnthropicがClaude Mythos Previewを防御目的で使うために始めた取り組みです。開始から約1ヶ月の初期報告では、複数のパートナーが自社ソフトウェアから数百件規模の高・重大度脆弱性を見つけたとされています。

Cloudflareは、重要なシステム群から約2,000件のバグを見つけ、そのうち約400件が高・重大度に分類されたと報告されています。しかも、Cloudflare側は誤検知率について、人間のテスターよりも良い水準だと評価しています。

Mozillaの例も印象的です。Firefox 150では、Claude Mythos Previewを使った初期評価で見つかった271件の脆弱性が修正されました。これは、以前にClaude Opus 4.6を使ってFirefox 148で見つかった件数と比べ、10倍以上の規模だと説明されています。

このあたりを見ると、Mythosの衝撃は単に「AIがバグを見つけた」という話ではありません。これまで人間の専門家が時間をかけて探していたものを、AIが大量に、しかもかなり実用的な形で拾い上げ始めたということです。

AIが脆弱性を見つけ、人間が確認して修正へ進める流れの図
AIによる発見から、人間の確認、優先順位づけ、修正へ進む流れを図解しています。

オープンソースにも波が来ている

Anthropicは、1,000以上のオープンソースプロジェクトもスキャンしています。その結果、Mythosは合計23,019件の脆弱性を見つけたと推定し、そのうち6,202件を高・重大度と見積もりました。

もちろん、AIの見積もりをそのまま信じるわけにはいきません。そこで、一部の高・重大度候補について、外部のセキュリティ企業などが確認を行っています。確認済みの1,752件のうち、90.6%が真陽性、つまり実際に有効な指摘だったとされています。さらに、そのうち62.4%は高・重大度として確認されました。

この数字はかなり重いです。

AIのバグ報告には、雑な指摘や誤検知が混ざることも多く、オープンソースの保守担当者にとっては負担になりがちです。しかし、Mythosのようなモデルが高い精度で危険な脆弱性を見つけるなら、ソフトウェア開発の現場は対応の仕組みそのものを変える必要があります。

発見よりも、修正がボトルネックになる

これまでのサイバー防衛では、「脆弱性を見つけること」が大きな壁でした。ところが、AIによって発見速度が上がると、次の壁が見えてきます。

それは、見つかった脆弱性を人間が確認し、優先順位をつけ、関係者に連絡し、修正し、パッチを配るまでの流れです。

Anthropicの初期報告でも、問題は発見そのものから、検証・開示・修正の速度へ移っていると説明されています。実際、オープンソース側では、報告された脆弱性を処理する人手が足りず、対応に時間がかかるケースも出ています。

ここが一番怖いところです。

AIがバグを大量に見つけても、それを直す体制がなければ、守る側は情報の洪水に飲み込まれます。さらに、同じような能力が攻撃者側にも広がれば、未修正の穴を突かれる速度も上がります。

大量の脆弱性報告を確認し、修正へ整理していく開発現場の図
大量の報告を、検証と修正へつなげる体制が次の課題になります。

日本企業が見るべきポイント

日本企業にとって、このニュースは遠い海外のAI実験ではありません。

多くの企業システムは、クラウド、Webアプリ、外部ライブラリ、オープンソースに支えられています。つまり、世界中のソフトウェアで見つかった脆弱性は、日本の金融、医療、行政、EC、製造業にもつながっています。

これから重要になるのは、「AIでスキャンするかどうか」だけではありません。見つかった脆弱性をどう扱うかです。

どのシステムを優先的に直すのか。誰が確認するのか。パッチを何日以内に当てるのか。外部から報告を受けたときの窓口はあるのか。使っているオープンソースを把握できているのか。

ここまで含めて整えておかないと、AI時代のサイバー防衛には追いつけません。

関連記事

このテーマと一緒に読むと流れがつながる記事です。

よへラボ 関連記事 「一般公開しないClaude」が現れた——Claude MythosがAI業界をざわつかせる本当の理由 Claude Mythos Previewがなぜ注目されているのか。一般公開されていない理由、防御目的の枠組み、日本企業への影響を整理します。 /blog/claude-mythos-preview/ よへラボ 関連記事 Codex制限リセットの裏で起きた本命:ChatGPTアカウントが「外部エージェントの鍵」になる OpenAI Codexの使用制限バグ修正と全ユーザー使用量リセット、そしてPi Harness / OpenCodeへの外部ツール連携拡大を、実務目線で整理します。 /blog/codex-limit-reset-external-agents/ よへラボ 関連記事 AI検索向けにFAQと出典を置く理由 AI検索や通常検索で読み取りやすい記事にするために、FAQ、見出し、出典を置く理由を短く整理します。 /blog/faq-source-ai-search/

結論:AIは“発見役”になり、人間は“判断と修正”を問われる

Claude Mythos PreviewとProject Glasswingが示したのは、AIがセキュリティ担当者を置き換えるという単純な話ではありません。

むしろ、人間の仕事が変わるという話です。

AIが大量に見つける。人間が真偽を確認する。危険度を判断する。関係者と調整する。修正を出す。利用者に届ける。

この流れを作れる組織は、AI時代の防御で一歩前に出ます。逆に、発見された脆弱性を処理できない組織は、むしろリスクが増える可能性があります。

「AIが1万件の脆弱性を見つけた」という数字は派手です。けれど、本当に見るべきなのはその先です。

AIが見つける時代に、人間はどれだけ速く直せるのか。

Project Glasswingの衝撃は、そこにあります。

ブログ一覧に戻る