AIが重大脆弱性1万件を発見、次の制約はパッチ適用速度

脆弱性を見つける速度が、修正する速度を追い越し始めている。Anthropicは5月22日のProject Glasswing更新で、Claude Mythos Previewと約50のパートナーが、重要ソフトウェアからhighまたはcriticalの脆弱性を1万件超見つけたと説明した。

これは単なるAIセキュリティ実験ではない。Anthropicは過去数カ月、1,000件超のオープンソースプロジェクトもスキャンしている。そこでMythos Previewは合計23,019件の候補を出し、そのうち6,202件をhighまたはcritical相当と推定した。

検証結果も重い。Anthropicによると、high・critical候補のうち1,752件は6つの独立セキュリティ研究会社、または一部Anthropic自身によって精査された。その結果、90.6%にあたる1,587件が真陽性と確認され、62.4%にあたる1,094件はhighまたはcriticalの深刻度として再確認された。

この比率が続くなら、Mythos Previewがこれ以上何も見つけなくても、オープンソースコードだけで約3,900件のhigh・critical脆弱性が表面化する計算になる。パートナー側の発見はそこに含まれない。つまり競争軸は、モデルがどれだけ見つけるかから、組織がどれだけ直せるかへ移る。

Anthropicは責任ある脆弱性開示の慣行に沿って、発見から約90日、またはパッチ提供後約45日を目安に詳細を扱うとしている。多くの技術詳細をまだ出していないのは、利用者に修正時間を残すためだ。

同社は、Mythos級モデルを一般提供しない理由として、悪用を防ぐ安全策がまだ十分ではない点も挙げた。一方でGlasswingは米国や同盟国政府を含む重要パートナーへ拡大する。次に見るべき数字は発見数そのものではなく、確認済みの報告がどれだけ早くパッチ、CVE、GitHub Security Advisoryへ進むかだ。