Anthropic、未公開モデル「Claude Mythos Preview」で1,000超のOSSプロジェクトから約23,000件の脆弱性候補を検出

フロンティアAI企業のAnthropicは、未公開の自社AIサイバーセキュリティモデル「Claude Mythos Preview」によるオープンソースソフトウェア（OSS）スキャンの結果を公表しました。同モデルは、1,000超のOSSプロジェクトをスキャンし、合計約23,019件の脆弱性候補を検出、うち6,202件が「ハイ（高）」または「クリティカル（重大）」のシビアリティとして初期推定されています。今回の発表は、Anthropicが2026年4月にローンチしたサイバーセキュリティ・イニシアチブ「Project Glasswing」の初月レポートの一環で、同モデルとイニシアチブの組み合わせによって、Glasswingパートナー全体での累計バグ発見数が10,000件超に達したことも明らかにされています。

Mythos Previewは、ソフトウェアの挙動を解析して脆弱性を識別し、複雑なシステム内では一部のケースで自律的にエクスプロイトパス（攻撃経路）まで発見する能力を持つ、Anthropic未公開のフロンティアモデルです。Anthropicは、その高度な能力と悪用リスクを踏まえ、Mythosを「厳格に制限・監視されたシステム」と位置付けており、より広範なアクセスはモデルの濫用に繋がりかねないとの理由から、現時点でMythos Previewへのアクセスは約50のパートナー組織（重要インフラに関わるソフトウェアを維持する企業を含む）にのみ、Project Glasswingを通じて提供しています。今回の検証で、Anthropicは累計1,000超のインターネット運用に不可欠なOSSプロジェクト（同社自身が依存するOSSも含む）をMythos Previewでスキャンしました。検出された23,019件のうち、独立した6社のセキュリティリサーチファームの評価では、90.6%が有効な「真陽性（true positive）」として認定され、62.4%が「ハイ」または「クリティカル」シビアリティであることが確認されています。直近時点で、6,202件の高重大度脆弱性が初期推定されており、内訳としては1,900件が外部評価を通過し、1,726件が確証済み、うち1,000件超が「ハイ」または「クリティカル」とされています。スキャンは引き続き継続予定で、現状の発見ペースだけでも約3,900件の重大度の高い脆弱性が確証される見込みであり、最終的には6,200件規模に達する可能性があるとAnthropicは見ています。すでに1,100件超のアンベリファイドな発見がベンダーへ報告され、75件の重大度の高い問題がパッチ適用済み、ベンダー側では65件のセキュリティアドバイザリが公表されています。

Project Glasswing側のパートナー報告も注目に値します。多くのパートナー組織がそれぞれ「自社ソフトウェアにおいて数百件規模の重大度の高い脆弱性」を発見しており、バグ発見レートが既存比で10倍以上に上昇しているとされています。具体的には、Cloudflareが2,000件のバグを発見し、うち400件が「ハイ」または「クリティカル」に分類、Mozillaは過去のClaudeモデル比で約10倍にあたる271件の脆弱性をFirefoxで修正、Microsoftは「パッチリリースの規模が当面拡大基調を続けるだろう」と発表し、その一因をMythos Previewによる発見だと帰属、Palo Alto Networksも数十件の脆弱性を新たに特定、Oracleも自社製品およびクラウド環境におけるセキュリティ修正サイクルが「数倍速くなった」と報告しています。Anthropicの幹部はレポートの中で、「ソフトウェアセキュリティの進捗は、これまでは『新しい脆弱性をどれだけ速く見つけられるか』によって律速されてきた」とし、「我々の経験は、(発見能力の急上昇に対する)めまいを振り払い、現実的に手を動かしていくチームにとって、希望に満ちたものだ」と述べています。一方で、エコシステム側にはひずみも生じています。一部の開発者からは、Mythos以降に発見・報告される脆弱性の総量が急増したことで対応負荷が膨らんでいるという声があり、「サイバーセキュリティのボトルネックは、脆弱性の発見ではなく、エコシステムがそれを処理し修正できるか」へシフトしつつあるとも指摘されています。Anthropicは並行して、開発者がアプリケーション内のセキュリティ問題を発見するためのコードベーススキャナー「Claude Security」もローンチしており、フロンティアAIの能力進化と、それを安全に運用するためのインフラ整備の両軸でアジェンダを進めています。なお、レポートに含まれない事例として、あるセキュリティリサーチファームが、強固なセキュリティで知られるmacOSをMythosのバグ発見支援を借りて侵害する手法を発見したと主張しており、Mythosの能力が攻撃側のスケーリングにも影響しうることを示唆しています。

Anthropicについて
Anthropicは、Dario Amodei（CEO）とDaniela Amodei（社長）を中心に、OpenAIなどでフロンティアAI開発の最前線にいた研究者・エンジニアによって2021年に設立された、米国・カリフォルニア州サンフランシスコを本社とするAI研究・開発企業で、安全性、解釈可能性、整合性（アラインメント）を軸に据えた「フロンティアAI」開発をミッションに掲げています。同社の主力プロダクトはAIアシスタント「Claude」シリーズで、Claude Opus、Claude Sonnet、Claude Haikuといった用途別のモデルラインを提供しており、APIに加え、CLIベースのコーディングエージェントClaude Code、ブラウザ／スプレッドシート／デスクトップ向けエージェントといったエンタープライズ製品も展開しています。研究面では、メカニスティック・インタプリタビリティ（モデル内部回路の解釈）研究、レッドチーミング、責任あるスケーリングポリシー、サイバーセキュリティモデルMythosのProject Glasswingといった「フロンティアモデルの能力上昇と安全性の両立」を狙う取り組みを並行で進めており、AnthropicのフロンティアAIモデルは2026年時点でAmazon、Google、世界中の主要エンタープライズによって採用されています。資金調達面でもグローバルAIラボの最有力ティアに位置し、近年は数十億ドル規模の累計調達と数千億ドル規模の評価額が報じられ、研究投資、コンピュートインフラ調達、安全性・解釈可能性チームの拡張に資金を振り向ける構造を確立しています。