Anthropic's Project Glasswing Discovers Thousands of Software Vulnerabilities

米Anthropicは5月22日（現地時間）、今年4月に立ち上げたセキュリティプロジェクト「Project Glasswing」の初期報告について、同社が別途進めてきたオープンソースソフトウェアの検査結果と合わせて公表した。

Project Glasswingとは、Anthropicをはじめ、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksの計12組織が創設メンバーとなり、AIモデル「Mythos Preview」を使って世界の重要なソフトウェアインフラの脆弱性を発見・修正することを目的とした共同プロジェクトだ。参加企業は約50社で、各社がMythos Previewを使い、1カ月で合計1万件以上の高・重大レベルの脆弱性を発見した。

Anthropic自身も数カ月にわたりオープンソースソフトウェア1000件超をMythos Previewで検査し、脆弱性の候補2万3019件を検出。その中から、高・重大脆弱性と判断した6202件のうち、外部の専門調査会社6社が抽出した1752件を精査。結果、うち90.6％が実際の脆弱性と確認したと報告している。22日時点で281のプロジェクトに対して計1596件の脆弱性情報を管理者に開示済みで、同社は同日、開示の進捗を公開追跡できるダッシュボードも公開した。

一方で課題も浮かび上がった。脆弱性の「発見」はAIによって加速したが、「修正」する側の人手が追い付いていないと同報告書は指摘する。Anthropicが開示済みの脆弱性1596件のうち、パッチが適用済みなのは同日時点で97件、高・重大レベルに絞ると530件の開示に対して75件にとどまるという。

対応策として、同社は法人向けプラン「Claude Enterprise」の利用者を対象に、コードの脆弱性を自動でスキャンし修正案まで生成するツール「Claude Security」をパブリックβ版として提供開始した。「Claude Opus 4.7」を使う同ツールは、提供開始から3週間で2100件超の脆弱性修正に活用されたという。

また、セキュリティ研究者や侵入テストの専門家に向けて、本来の制限を一部解除した形でモデルを使える「Cyber Verification Program」も新たに始めた。

Anthropicは、Mythos Preview相当の能力を持つAIが今後他社からも登場すると見ており、安全対策が十分に整うまでは一般公開しない方針を示している。