何が起きたか
2026年5月22日、Anthropicは Project Glasswing の初期更新を公開し、公開Coordinated Vulnerability Disclosure (CVD)ダッシュボードを立ち上げました。これにより、Claude Mythos Preview が広く使用されているソフトウェア全体で 10,000 以上の高度またはクリティカルレベルの脆弱性を自律的に発見し、Trail of Bits、ADA Logics、Calif.io を含む外部セキュリティリサーチ企業によって確認された 90.8% の真陽性率で 281 のオープンソースプロジェクト全体にわたるメンテナーに 1,596 件が開示されたことが示されています。開示された知見のうち、97 件はパッチが適用され、88 件は CVE または GHSA 識別子が割り当てられています。注目すべき CVE には、17年前の FreeBSD RCE (CVE-2026-4747) と Mozilla との協力で発見された Firefox の脆弱性が含まれます。このモデルは、Anthropic が壊滅的な兵器化リスクを理由に公開リリースを恒久的に保留しているため、管理されたアクセスの下で約 50 のパートナー組織 (AWS、Apple、Google、Microsoft、Cisco、NVIDIA、CrowdStrike、JPMorgan Chase) に限定されています。
なぜ重要か
これは外部企業により検証された真陽性率を備えた AI 駆動の自律的脆弱性発見を規模で文書化した最初のベンダー出版物です。これは攻撃的および防御的脆弱性研究の経済学を根本的に変えます。ボトルネックは脆弱性の発見から人間速度のパッチトリアージと調整へシフトしています — Cloudflare の Mythos 分析では、それが複数バグの悪用チェーンを自律的に構築することが注目され、メンテナーは Anthropic にパッチ適用容量が新しい制約であるため開示を遅くするよう要請しています。セキュリティチームは、90日間の開示ウィンドウが閉じ始めるため、基礎的な OSS (ブラウザー、TLS ライブラリ、カーネル) からのバースト率パッチドロップに計画を立てる必要があります。
適用範囲
AI インフラストラクチャまたは一般的な使用のためにオープンソースソフトウェアに依存するすべての組織は、Firefox、wolfSSL、nginx、FreeBSD、libyang、mastodon、および freerdp のパッチ頻度監視を増加させる必要があります。脆弱性発見のためにフロンティア AI を評価しているセキュリティチームは、Glasswing の 90.8% TPR を同様の社内プログラムの参考ベンチマークとして扱うべきです。CISO は、CVE 開示から実際の悪用への時間短縮がもはや週単位ではなく時間単位で測定されていることをボードに報告する必要があります。