何が起きたか
Anthropic は 2026 年 5 月 22 日に Project Glasswing の最初のアップデートを公開し、Microsoft、Apple、Google、Cloudflare を含む約 50 のパートナーと共に展開された制限付き Claude Mythos Preview モデルが、初月の運用で重大なソフトウェア全体で 10,000 を超える高度および緊急レベルの脆弱性を発見したことを明らかにした。パートナーは従来の方法と比較してバグ検出率が 10 倍以上増加したと報告し、Cloudflare だけで 2,000 個のバグ(高度/緊急が 400 個)を検出し、人間のテスターより優れた誤検知率を達成した。Mythos Preview は複数段階のエクスプロイトチェーンを自律的に構築でき — 低度のプリミティブを高度の攻撃に結合でき — 自己修正ループで動作するポルトフォリオを生成できる。UK AI Security Institute は Mythos Preview が複数段階のサイバー攻撃シミュレーション範囲の両方を端から端まで完全に解決する最初のモデルであることを確認した。Anthropic は制限付き Glasswing コンソーシアムに参加していないエンタープライズ向けに Claude Security (Opus 4.7) をパブリックベータで開始し、既に 2,100 社の脆弱性パッチに役立っている。
なぜ重要か
これは AI 支援脆弱性発見が質的閾値を超えたことを示す最も明確な実験的証拠である。ボトルネックはもはやバグを見つけることではなく、敵がその同じ機能を武器化できるより速くそれらを検証、調整、パッチすることである。四半期スキャンまたは月次メンテナンスウィンドウパッチレジームの下で運営されている組織は構造的に準備不足である。開示で引用された Mandiant の M-Trends 2026 データは、攻撃者が現在平均 7 日前にパッチがリリースされる前に脆弱性を悪用していることを示しており、Mythos は一般公開から保留されているため、Glasswing コンソーシアムで運営する防御者は敵が同等のオープンまたは中国市場モデルにアクセスする際に無限に続かない非対称的な利点を有しており。
適用範囲
すべてのエンタープライズは、7 日前パッチ悪用ベースラインに対するパッチ管理 SLA を即座に確認し、次の 90 日間の調整された開示ウィンドウの間に公開されて追跡される Glasswing CVE 開示を NVD 経由で優先し、支援救済のために Anthropic の Claude Security パブリックベータを評価する必要があります。金融サービス、ヘルスケア、および重要インフラ企業は、高度の脆弱性の開示率が 2026 年の残りの間、物質的に増加し続けることを取締役会に報告する必要があります。