Anthropic、Claude発見脆弱性向けdisclosure方針を公開
Original: Coordinated vulnerability disclosure for Claude-discovered vulnerabilities View original →
Anthropicが示した運用方針
Anthropicは2026年3月6日、Claudeを含む自社AI systemが見つけた脆弱性に対するcoordinated vulnerability disclosureの考え方を公開した。対象はopen-source projectと、検証が正式に認められたclosed-source softwareだ。
この文書が重要なのは、AI-assisted codingやanalysis systemが現実のsoftware flawを見つける能力を急速に高めているからだ。Anthropicはその能力がさらに広がる前に、先に運用ルールを置こうとしている。すべての報告は公開前にhuman reviewと確認を経ること、そして脆弱性発見やcandidate patchにAIが関与した場合は明確に表示することを打ち出した。
公開期限とescalation
Anthropicの標準disclosure期間は90 daysだ。maintainerが積極的に対応していて追加時間を求める場合は、14-day extensionを認める可能性がある。すでに悪用されているcritical vulnerabilityについては、7 daysでの公開を目標とし、fixが進んでいれば追加の7-day extensionもあり得るとしている。
maintainerが30 days以内に応答しない場合、Anthropicは外部coordinatorへescalationし、元の公開タイムラインを維持する方針だという。さらにpatchが用意された後も、downstream userが修正を展開する時間を確保するため、full technical detailsの公開を通常45 days待つとしている。
- Human review: すべての報告を提出前に検証する。
- Provenance labeling: AI発見の脆弱性か、AI生成のpatch提案かを表示する。
- Submission pacing: 合意なしに単一projectへ大量の報告を送らない。
より大きな意味は、frontier AI labの責任範囲が広がっていることにある。coding agentが大規模に脆弱性を見つけられるようになると、速度だけでなく、証拠、patch coordination、downstream risk管理まで必要になる。Anthropicは、modelを出すだけでecosystemへの影響をmaintainer任せにしないという規範を示した。
Related Articles
Anthropic says Project Glasswing used Claude Mythos Preview to surface more than 10,000 high- or critical-severity vulnerabilities. The sharper signal is operational: verification, disclosure, and patching may now lag behind AI-assisted discovery.
AI-enabled attacks are shifting from setup work into post-compromise operations. Anthropic mapped 832 malicious accounts to MITRE ATT&CK and found medium-or-higher risk actors rising from 33% to 56%.
AI self-improvement is moving from speculation into measurable lab workflow data. Anthropic says Mythos Preview reached about 52x speedups on an optimization task and beat human next-step choices 64% of the time.