AI finds over 10,000 high-severity vulnerabilities in one month

同計画は2026年4月に始動した。Anthropicと約50の協力組織が参加し、インターネット基盤や重要システムを対象に安全性検査を進めている。発表によれば、開始から約1カ月で1万件超の高深刻度または重大な脆弱性を検出した。AIによる脆弱性探索能力が急速に向上した結果、問題発見よりも、検証や修正、公表手続きの処理能力不足が新たな制約になっているという。

Anthropicは従来型の脆弱性の公表の在り方についても言及した。一般的には発見後90日程度の猶予期間を設け、利用者側が更新を完了する時間を確保する。現時点では詳細な技術情報を伏せ、統計や事例を中心に成果を説明した。

協力企業からは大幅な効率向上が報告されている。Cloudflareは重要システム群から約2000件の不具合を確認し、そのうち400件が高深刻度または重大区分に該当したと説明した。誤検知率についても、人間のテスターを上回る水準との評価を示した。

外部機関の評価も紹介された。英国AI Security Instituteは、Mythos Previewが複数段階の攻撃シミュレーションを最後まで完遂した初のモデルと報告した。Mozillaは「Firefox 150」の検査で271件の脆弱性を修正し、旧モデル利用時を大きく上回ったと説明した。独立系セキュリティプラットフォームXBOWも、既存モデル群を超える精度を示したと評価している。

1000以上のOSSを網羅、偽サイトのリスクも未然防止

オープンソース領域でも大規模調査が進んだ。Anthropicは1000件超のオープンソースプロジェクトを解析し、合計2万3019件の脆弱性候補を検出した。このうち6202件は高深刻度または重大な分類に該当すると推定された。外部研究機関などが1752件を精査した結果、約9割が実在する脆弱性だったという。

具体例として、暗号ライブラリ「wolfSSL」の問題が挙げられた。これには、攻撃者が偽の証明書を生成し、銀行やメールサービスを装う偽サイトを正規のWebサイトのように見せかける可能性があった。脆弱性は「CVE-2026-5194」として修正済みで、技術分析は後日公開予定としている。

発見数増加で修正作業が間に合わない

しかし、修正作業の負荷増大も深刻化している。Anthropicによれば、オープンソース保守担当者はAI生成による大量の低品質報告にも直面しており、処理能力不足が顕著になっている。一部保守担当者からは、脆弱性報告の速度を落としてほしいとの要請も寄せられたという。高深刻度の問題1件当たり平均2週間程度を修正に要すると説明した。

現時点で530件の高深刻度または重大脆弱性が報告され、75件が修正済みとなった。ただしAnthropicは、修正数の少なさは猶予期間中という点や、公表されない修正の存在も影響していると説明した。

同社は、Mythos級の能力を持つAIモデルが近い将来、広範囲に普及すると予測する。脆弱性探索や悪用に必要な時間とコストが低下するが、防御側の更新や修正の配布が追いつかなければ攻撃リスクが高まると警鐘を鳴らした。開発企業には更新周期短縮や迅速な修正配布を求め、利用企業には多要素認証やログ監視など基本対策の徹底を促した。

Anthropicは、防御用途用ツール群も公開している。企業用「Claude Security」はコード解析や修正案生成を支援し、公開後3週間で2100件超の脆弱性修正に利用されたとした。加えて、脅威分析や自動スキャン支援機能も提供する。

今後についてAnthropicは、米国や同盟国政府を含む重要組織との連携を拡大する方針を示した。他方で、Mythos級モデルは悪用時の危険性が高く、十分な安全対策が整うまで一般公開は見送るとしている。AIによる防御強化で将来的に安全性向上を実現できる可能性を示しつつ、現段階は移行期に当たるとの認識を示した。