何が起きたか
Anthropic の5月22日 Project Glasswing アップデート(The Register による5月25日の詳細な報道)では、約50のパートナーが Claude Mythos Preview を使用して1ヶ月以上で 10,000 以上の高/重大度の脆弱性を発見し、Anthropic 独自のオープンソーススキャンが 1,000+ プロジェクトで 6,202 の高/重大度の候補を生成し、独立して審査されたサンプルの 90.6% が真の陽性であることが確認されたことが開示されました。重要なことに、Anthropic は「Mythos をリリースしない」から「近い将来、さらに強力なセーフガードを開発した後、Mythos クラスのモデルを一般リリースを通じて利用可能にすることを楽しみにしている」という公開姿勢にシフトし、次のステップとして米国および同盟国の政府パートナーへの拡大を示唆しています。
なぜ重要か
これは二面的なリスク信号です:Cloudflare が 2,000 個のバグを発見し、Mozilla が 271 個の Firefox の欠陥をパッチできるのと同じ能力が、やがて敵対者がアクセスでき、悪用までの時間をゼロに圧縮します。セキュリティのボトルネックは構造的に脆弱性発見からパッチスループットにシフトしました — パッチサイクルが 30~90 日実行される組織は、AI が発見した欠陥が修正できるより速く蓄積するため、露出ウィンドウが拡大しています。
適用範囲
オープンソースソフトウェア依存関係を実行しているすべての組織、重要インフラストラクチャオペレータ、および金融機関は、パッチサイクル SLA を直ちに見直し、自動パッチテストパイプラインに投資すべきです。コンサルティングチームは、Glasswing の公開 CVD ダッシュボードを使用して、クライアントの主要な依存関係が Anthropic の 1,000+ スキャンプロジェクトに含まれているかどうかを特定する必要があります。