AnthropicはMar 6, 2026、Claudeの支援で見つかった脆弱性に適用するcoordinated vulnerability disclosure policyを公開した。狙いは、AIが発見した問題も既存のsecurity communityの公開ルールの中で処理することにある。Anthropicは、外部に送る全てのreportを人間のsecurity researcherが確認し、AI-powered discoveryに由来するfindingにはその旨を明記すると説明している。

標準のtimelineは、maintainerまたはvendorへの初回通知から90日だ。期限が近づいた時点で修正作業が進んでいれば、要請に応じて14-day extensionを認める可能性がある。一方で、すでに悪用されているcritical vulnerabilityについてはずっと短い。Anthropicはpatchまたはmitigationを7日以内に用意することを目標とし、maintainerが積極的にfixを進めている場合はさらに7日を追加できるとしている。

運用面の方針も比較的明確だ。可能であればcandidate fixを添付し、単一のprojectに処理しきれない量のfindingsを一度に送らず、30日応答がなければexternal vulnerability coordinatorへescalationする。複数projectにまたがるecosystem-wideな問題では、technical detailsが公開される前に影響を受けるmaintainerへ通知し、対応時間を確保するとも述べている。

patchが存在した後の公開にもbufferがある。Anthropicは通常、full technical detailsの公開を45日待ち、downstream userがfixを展開する時間を確保する方針だ。ただし、情報がすでに公知である場合や、早期公開がdefenderの支援に直結する場合は短縮できる。逆に、remediationが unusually complexな場合や影響範囲が広い場合は延長もあり得る。

この更新が重要なのは、AI-assisted vulnerability discoveryが実運用のworkflowに入り始めているからだ。AnthropicはClaudeを単なるresearch demoではなく、実際のdisclosure processに組み込もうとしている。Claude利用者だけでなく、software vendor、open-source maintainer、企業のsecurity teamにとっても、AIをどうcoordinated disclosureへ参加させるかを考える際の基準になりそうだ。

#vulnerability-disclosure

Anthropic、Claudeが見つけた脆弱性の開示ポリシーを正式化