AI 開発企業の Anthropic は 2026 年 5 月 22 日、同年 4 月 7 日に開始したセキュリティ強化プロジェクト「Project Glasswing」の初期成果を発表しました。このプロジェクトでは、まだ一般公開されていない AI モデル「Claude Mythos Preview」を使って、世界中の主要なソフトウェアに潜むセキュリティ上の欠陥を自動的に探し出す取り組みを進めています。
初期の参加企業には Amazon Web Services、Apple、Cisco、Google、Microsoft、NVIDIA など大手 11 社が名を連ね、さらに 40 以上の組織にも対象が広がっています。開始から約 1 ヶ月という短期間で、深刻度の高い欠陥が 1 万件以上発見され、各社が欠陥を見つける速度はそれまでの 10 倍以上に達したと報告されています。
オープンソースソフトウェアの分野でも、1,000 以上のプロジェクトを調査した結果、合計 23,019 件の欠陥が検出されました。このうち深刻度が高いと評価された 1,752 件を独立したセキュリティ企業が検証したところ、90.6 % が実際に悪用可能な欠陥と認められています。
具体的な発見例として注目を集めているものは、家電・自動車・産業機器など幅広い分野で使われている暗号化ライブラリ「WolfSSL」に見つかった深刻な欠陥です。攻撃者が偽の証明書を使って正規のサービスになりすますことができる欠陥です。このほか、セキュリティに定評のある OS「OpenBSD」では 27 年前から存在していた欠陥、動画・音声処理ソフト「FFmpeg」では 500 万件を超えるテストをくぐり抜けてきた 16 年前の欠陥も見つかっています。
ただし、大きな課題も明らかになっています。今回発見された欠陥のうち修正プログラムが適用済みのものは 1 % にも満たない状況です。オープンソースソフトウェアの開発・保守を担うボランティアのメンテナーからは、発見ペースが速すぎて対応が追いつかないとして、開示のスピードを落とすよう求める声も出ています。AI が欠陥を見つける速度が、人間が修正できる速度を大幅に上回るという新たな問題が浮かび上がっています。
Anthropicは本プロジェクトに 1 億ドル(約 150 億円)相当の AI 利用枠を提供するほか、オープンソースのセキュリティ基盤を支援する団体に計 400 万ドル(約 6 億円)を寄付しています。
また、一般企業向けには現在公開されているAnthropicの最新モデル「Opus 4.7」を使用した「Claude Security」の試験提供がすでに始まっており、こちらも運用開始から 3 週間ですでに 2,100 件以上の欠陥が修正されています。
