AIが重大脆弱性1万件を発見、次の制約はパッチ適用速度
Original: Project Glasswing: An initial update View original →
脆弱性を見つける速度が、修正する速度を追い越し始めている。Anthropicは5月22日のProject Glasswing更新で、Claude Mythos Previewと約50のパートナーが、重要ソフトウェアからhighまたはcriticalの脆弱性を1万件超見つけたと説明した。
これは単なるAIセキュリティ実験ではない。Anthropicは過去数カ月、1,000件超のオープンソースプロジェクトもスキャンしている。そこでMythos Previewは合計23,019件の候補を出し、そのうち6,202件をhighまたはcritical相当と推定した。
検証結果も重い。Anthropicによると、high・critical候補のうち1,752件は6つの独立セキュリティ研究会社、または一部Anthropic自身によって精査された。その結果、90.6%にあたる1,587件が真陽性と確認され、62.4%にあたる1,094件はhighまたはcriticalの深刻度として再確認された。
この比率が続くなら、Mythos Previewがこれ以上何も見つけなくても、オープンソースコードだけで約3,900件のhigh・critical脆弱性が表面化する計算になる。パートナー側の発見はそこに含まれない。つまり競争軸は、モデルがどれだけ見つけるかから、組織がどれだけ直せるかへ移る。
Anthropicは責任ある脆弱性開示の慣行に沿って、発見から約90日、またはパッチ提供後約45日を目安に詳細を扱うとしている。多くの技術詳細をまだ出していないのは、利用者に修正時間を残すためだ。
同社は、Mythos級モデルを一般提供しない理由として、悪用を防ぐ安全策がまだ十分ではない点も挙げた。一方でGlasswingは米国や同盟国政府を含む重要パートナーへ拡大する。次に見るべき数字は発見数そのものではなく、確認済みの報告がどれだけ早くパッチ、CVE、GitHub Security Advisoryへ進むかだ。
Related Articles
Anthropicは、Claude内部にglobal workspaceに近いJ-spaceが見えると説明した。閲覧数915万超の投稿は、隠れた目標やstaged scenarioの認識を監査する可能性を示している。
Anthropicが2月20日に発表したClaude Code Securityは、AIがコードベースを人間の研究者のように読み解き脆弱性を検出するツールだ。オープンソースコードで500件超の長期未発見バグを発見し、発表当日にサイバーセキュリティ株が急落した。
AnthropicはClaude系AI systemが見つけた脆弱性に関するcoordinated vulnerability disclosure方針を公開した。human review、公開期限、maintainer不応答時のescalationまで定め、coding agent時代のsecurity運用を制度化しようとしている。