Anthropic、Claude発見脆弱性向けdisclosure方針を公開
Original: Coordinated vulnerability disclosure for Claude-discovered vulnerabilities View original →
Anthropicが示した運用方針
Anthropicは2026年3月6日、Claudeを含む自社AI systemが見つけた脆弱性に対するcoordinated vulnerability disclosureの考え方を公開した。対象はopen-source projectと、検証が正式に認められたclosed-source softwareだ。
この文書が重要なのは、AI-assisted codingやanalysis systemが現実のsoftware flawを見つける能力を急速に高めているからだ。Anthropicはその能力がさらに広がる前に、先に運用ルールを置こうとしている。すべての報告は公開前にhuman reviewと確認を経ること、そして脆弱性発見やcandidate patchにAIが関与した場合は明確に表示することを打ち出した。
公開期限とescalation
Anthropicの標準disclosure期間は90 daysだ。maintainerが積極的に対応していて追加時間を求める場合は、14-day extensionを認める可能性がある。すでに悪用されているcritical vulnerabilityについては、7 daysでの公開を目標とし、fixが進んでいれば追加の7-day extensionもあり得るとしている。
maintainerが30 days以内に応答しない場合、Anthropicは外部coordinatorへescalationし、元の公開タイムラインを維持する方針だという。さらにpatchが用意された後も、downstream userが修正を展開する時間を確保するため、full technical detailsの公開を通常45 days待つとしている。
- Human review: すべての報告を提出前に検証する。
- Provenance labeling: AI発見の脆弱性か、AI生成のpatch提案かを表示する。
- Submission pacing: 合意なしに単一projectへ大量の報告を送らない。
より大きな意味は、frontier AI labの責任範囲が広がっていることにある。coding agentが大規模に脆弱性を見つけられるようになると、速度だけでなく、証拠、patch coordination、downstream risk管理まで必要になる。Anthropicは、modelを出すだけでecosystemへの影響をmaintainer任せにしないという規範を示した。
Related Articles
Anthropicは2026年3月6日、Claudeが発見した脆弱性向けのcoordinated vulnerability disclosure原則を公表した。基本の90日開示、実被害が進行するcritical bug向けの7日対応、patch後45日の技術詳細猶予など、AI時代を意識した運用ルールが盛り込まれている。
Anthropicが2026年2月12日にSeries Gで300億ドルを調達し、post-money valuationが3,800億ドルに達したと発表した。資金はfrontier research、product development、infrastructure expansionに充てる方針だという。
AnthropicはDeepSeek、Moonshot、MiniMaxがClaudeの出力を大規模に抽出しようとするindustrial-scale campaignを検知したと発表した。同社は約24,000件のfraudulent accountを通じて16 million回超のやり取りがあったとし、検知と対応のtoolingに投資していると説明している。
Comments (0)
No comments yet. Be the first to comment!