技術的な説明
Anthropicが2026年5月22日~23日に発表したProject Glasswingによると、Claude Mythos Previewが自律的にCVE-2026-5194を発見しました。これはWolfSSL暗号化ライブラリの重大な脆弱性(CVSS 9.1)であり、組み込みシステム、IoT、TLSスタックで広く使用されており、攻撃者がX.509証明書を偽造し、銀行やメールドメインを含む正規のサービスに目立たずになりすますことが可能です。Mythos Previewは脆弱性を特定しただけでなく、証明書偽造を実証する機能する悪用コードを構築しました。より広く言えば、Anthropicが1,000以上の広く使用されているオープンソースプロジェクトをスキャンしたところ、外部セキュリティ企業の審査によって90.8%の確認済み真陽性率を持つ6,202件の高またはクリティカル重大度の脆弱性が見つかりました。開示の時点で、最初に報告された脆弱性のうち97件のみが上流でパッチされており、深刻なボトルネック、つまりボランティアのオープンソースメンテナが高品質のAI生成脆弱性開示に圧倒されていることが露呈しています。Glasswing発見のCVEの完全なカタログは、パッチが利用可能になるにつれて90日間の調整された開示スケジュール下で開示されます。
攻撃経路
特にCVE-2026-5194の場合:WolfSSL証明書を偽造する機能を持つ攻撃者は、TLS検証のためにWolfSSLに依存しているシステムに対してHTTPS偽装攻撃を実行でき、証明書警告をトリガーすることなくマンイン・ザ・ミドル傍受を可能にします。より広いGlasswingカタログの場合:Mythos Previewは複数の低重大度のバグを単一の高重大度の悪用に自律的にチェーンする悪用チェーン構築を実証しました。これは、これら6,200以上の脆弱性からのリスク表面が、個々のCVSSスコアが単独で提案するよりも大幅に高いことを意味しています。
影響を受けるシステム
WolfSSL暗号化ライブラリ(パッチ済みリリース前のすべてのバージョン — パッチステータスはWolfSSLアドバイザリに対して確認される予定); Glasswingスキャンプログラム全体で1,000以上のオープンソースプロジェクト。これらは、インターネットインフラストラクチャ、クラウドサービス、およびエンタープライズソフトウェアスタックの重要な部分を支えています。
緩和策
CVE-2026-5194の場合:WolfSSLアドバイザリ(https://www.wolfssl.com/docs/security-vulnerabilities/)で調整されたパッチリリースを監視し、利用可能になったら直ちに適用してください。より広いGlasswingカタログの場合:Anthropicのglasswing CVE開示フィードに購読し、Glasswing属性の新しいCVEを優先度の高いトリアージとして扱ってください。生のCVSSのみに依存するのではなく、悪用可能性コンテキスト(EPSSスコア、KEVステータス、到達可能性)を使用するように脆弱性トリアージプロセスを拡張してください。2026年に予想される確認済みの高/クリティカル開示の量は、重大度スコアのみに依存するチームを圧倒するでしょう。重要なパス内でWolfSSLを使用するシステムに対して、代償的制御(厳密な証明書ピニング、mTLS、ネットワークセグメンテーション)を実装してください。