Anthropic said its restricted Claude Mythos プレビュー版モデルが、1か月で1万件を超える高深刻度またはクリティカルなソフトウェア脆弱性を発見した。パッチ適用チームの対応ペースは、これに追いつけていない。
Project Glasswing が1万件の欠陥を明らかに
この数字は、サイバーセキュリティ施策である Project Glasswing の初期進捗レポートから明らかになったものだ。これは、フロンティアAIが悪用される前に重要ソフトウェアを強化することを目的に、Anthropic が4月に立ち上げた取り組みである。同社は、この未公開モデルをおよそ50の信頼できるパートナーにdeployed した。
多くのパートナーは、自社コードから数百件の重大なバグが見つかったとreported しており、検出率が10倍以上に跳ね上がった企業も複数あった。
Cloudflare は自社の重要システムをスキャンし、およそ2,000件の欠陥を検出。そのうち400件が高深刻度またはクリティカルと評価された。Mozilla は Firefox 150 において271件の脆弱性をfixed したが、これは同じチームが、従来の Claude モデルを使って前バージョンで修正していた件数の10倍以上にあたる。
モデルをより広い分野でテストするため、Anthropic は1,000を超えるオープンソースリポジトリに対して解析を行い、合計23,019件の問題を検出。そのうち6,202件が高深刻度またはクリティカルと推定された。
Also Read: XRP Eyes $1.50 Breakout As Exchange Supply Tightens
Mythos の発見が研究者を不安にさせる理由
6社の独立したセキュリティ企業が、これら高深刻度またはクリティカルとされたレポート1,752件をレビューし、その90.6%が正当な指摘であるとvalidated した。大量の誤検知を懸念していた懐疑派に対して、こうした結果は反論材料となっている。
なかでも特に注目を集めたのが、その影響範囲の広さである。Mythos は、wolfSSL 暗号ライブラリにおける証明書偽造の欠陥(CVE-2026-5194 として記録)を特定し、ブラウザがwarn を出さないまま偽の銀行サイトを生成できる実働エクスプロイトまで構築してみせた。
いまやボトルネックは別の場所に移った。発見そのものは、もはや最も難しい部分ではない。難しいのはパッチ適用だ。
深刻なバグ1件を修正するのには、平均しておよそ2週間を要する。一部のオープンソースメンテナーは、Anthropic に対し、公開ペースを落としてほしいと要望している。彼らが追いつけなくなっているためだ。Anthropic 自身も、Mythos クラスのモデルの悪用を確実に防げるだけの安全策を構築できている企業は、同社を含め現時点では存在しないと警告している。
Project Glasswing began in April で、Anthropic はモデル利用クレジットとして最大1億ドル、オープンソースのセキュリティ強化には約400万ドルを拠出することを約束している。今のうちにコードを強化しておけば、同様の能力が十分な制御なしに広まる前に、防御側に優位性をもたらせる――という賭けだ。
Read Next: Bitcoin Rally Hits A Ceiling As Sellers Guard $77,050 Resistance