シスコはAnthropicが危険すぎると判断し未公開とした「Claude Mythos Preview」と、OpenAIの「GPT 5.5」を用い、約18億行のコードを8週間でスキャン。人間のセキュリティチームなら約8年を要する作業だったが、発見された脆弱性の総数は非公開のまま。 このスキャンは、サイバー攻撃能力が高すぎるとして一般公開が見送られたAIを、厳格な管理下で防衛目的に限定使用する「Project Glasswing」(Anthropic)と「Daybreak」(OpenAI)という2つのプロジェクトの一環。

Create a landscape editorial hero image for this Studio Global article: At Cisco Live 2026, Cisco revealed it used frontier AI models to scan 1.8 billion lines of its own code across more than 25 programming lang. Article summary: Here is a complete breakdown of what Cisco announced at Cisco Live 2026 and the related context.. Topic tags: general, general web, government, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "At Cisco Live in Las Vegas 2026, LTM showcases how enterprises can Outcreate the AI-First Enterprise through a unified approach to security, observability, and intelligent infrastr" source context "Cisco live 2026" Reference image 2: visual subject "At Cisco Live in Las Vegas 2026, LTM showcases how enterprises can Outcreate the AI-First Enterprise through a unified approach to security, observability, and intell
シスコは2026年の年次イベント「Cisco Live」において、驚くべき成果を発表した。通常なら8年かかる手動のセキュリティ調査を、わずか8週間で完了させたのだ。同社はAnthropicの「Claude Mythos Preview」とOpenAIの「GPT-5.5」という、独立評価機関から「攻撃的サイバー作戦能力が危険なほど高い」と評されたフロンティアAIモデルを投入し、25以上のプログラミング言語にわたる自社コード約18億行をスキャンした 。この速度と規模を称賛する一方、シスコは最も重要な数字、すなわち「そのAIが実際にいくつの脆弱性を発見したのか」の公表を一貫して拒んでいる。
シスコが使用したのは、いわば「業界で最も厳重に管理された最前線のAI」だ。シスコ上級副社長のアンソニー・グリエコ氏は、同社がAnthropicの「Claude Mythos Preview」と、OpenAIの「GPT-5.5」を利用したと確認した 。特にGPT-5.5は、OpenAIの「Daybreak」イニシアチブを通じて提供された。これは、GPT-5.5に「Codex Security」というAIエージェントを組み合わせ、脆弱性の自動検出、トリアージ(優先順位付け)、修復を可能にするフレームワークである
。
発表時点で、これらのモデルは一般に公開されていなかった。AnthropicはClaude Mythos Previewについて、特に攻撃的なサイバー能力を理由に「無制限の公開は危険すぎる」と判断。厳格な監視下のもと、厳選された業界パートナー企業のみに提供する道を選んだ 。OpenAIのDaybreakも同様に、最も強力な機能はシスコやクラウドストライク、政府機関など審査を通過した組織にのみ提供される「GPT-5.5-Cyber」というレッドチーム専用の階層に限定された
。
シスコはこれらのモデルを動かす独自の内部基盤として「Cisco Foundry Security Spec」を構築し、6つのフロンティアAIモデルでテストすることで、特定のモデルに依存しない汎用的なフレームワークを実現した。同社の言葉を借りれば、「モデルは促進剤であり、このハーネス(基盤)こそがエンジンなのです」 。
シスコが創設メンバーとして参画する、AIをサイバー防衛の武器とする2つの主要な業界プロジェクトが存在する。
Anthropicの「Project Glasswing」: 2026年4月に開始。選ばれたパートナー企業にのみ、厳しい条件下でClaude Mythos Previewへのアクセスを許可する。攻撃者に悪用される前に、重要なソフトウェアの脆弱性を発見し、修正することが目的だ。創設メンバーにはAWS、Apple、Google、Microsoft、Nvidia、CrowdStrike、Linux Foundation、そしてシスコが名を連ねる 。発見された脆弱性は、責任ある開示の枠組みを通じてソフトウェアのメンテナンス担当者へ報告される
。
OpenAIの「Daybreak」: 2026年5月11日に発表された、Project Glasswingへの直接的な対抗策だ。GPT-5.5とCodex Securityを基盤とし、セキュリティに特化したAIエージェントがコードレビューとパッチ検証を大規模に自動化する3段階のアクセスモデルを提供する。シスコは、Cloudflare、CrowdStrike、Palo Alto Networksと共にエコシステムパートナーとして参画している 。
この2つのプロジェクトは、AI業界の根本的な哲学の違いを象徴している。Anthropicは「最も危険なモデルへのアクセスを制限することこそが、サイバーセキュリティを高める最善の策だ」と主張する。一方、OpenAIは「地方政府を含むあらゆるレベルの政府機関にまでアクセスを広げ、AIを装備した防御側を多数投入すべきだ」と、より広範なアクセス提供を推進している 。
シスコが掲げる動機は明確だ。AIを駆使した攻撃はもはや仮説の話ではなく、防御側は人間の速度で対応するわけにはいかない。AnthropicがClaude Mythos Previewの公開を保留すると発表した際、同モデルがすでに「インターネットや経済を支える重要なソフトウェア基盤の弱点を特定していた」ことも同時に明らかにされた 。これは、「防御側が先に使わなければ、いずれ敵対者が同等の能力を手にする」という明確なメッセージであった。
シスコは18億行のコードスキャンを、その不可避な未来との戦いとして位置づけた。同社は、フロンティアAIモデルが「かつてない規模で脆弱性を発見しており、それは一度きりのことではない。これらのモデルは継続的に新たな脆弱性を発見し続けるだろう」と指摘している 。自社製品の全ポートフォリオをスキャンすることで、同じ弱点を悪意ある目的で探す攻撃者に先んじることを目指したのだ。
速度と規模への称賛とは裏腹に、シスコは最も重要な質問への回答を組織的に避けた。「AIモデルは実際にいくつの脆弱性を発見したのか?」 複数の報道によれば、シスコは発見された「脆弱性の総数」の公表を拒否し、その集計値や重要度の内訳、悪用可能な重大な脆弱性の件数について一切の情報を提供していない 。
この沈黙は、信頼性に関する明白な問題を引き起こす。もし深刻なバグが数千件も見つかったのなら、その数字を公表することはプロジェクト全体の価値を証明するだろう。しかし、それは顧客や規制当局を警戒させる可能性もある。もし発見数が比較的少なかったのなら、「8年分が8週間に」という構図は崩れる。いずれにせよ、シスコはAIスキャンの「変革的な力」を称賛しながら、具体的な数字を非公開にするという道を選んだのだ 。
Cisco Live 2026で、具体的かつ実践的な変化が一つだけ発表された。それは、シスコが2026年7月より、これまでの場当たり的な脆弱性開示モデルを廃止し、予測可能なスケジュール方式に移行するというものだ。
同社は今後、毎月第1・第3水曜日にセキュリティアドバイザリを公開し、その7日前には、どの技術やプラットフォームが対象となるかを事前通知する 。この変更は、AIスキャンプログラムに直接起因している。シスコの製品セキュリティインシデント対応チーム(PSIRT)は、AIによる脆弱性発見の加速により、発見件数が劇的に増加すると予測。月2回の定期的な開示は、緊急のアドバイザリに慌てて対応するのではなく、企業顧客がパッチ適用の計画を立てるための予測可能性を提供するために設計されている
。
シスコが自社コードをスキャンしている間、英国のAIセキュリティ研究所(AISI)は、同社が使用した2つのモデルを独自に評価していた。そして、その結果は厳しいものだった。2026年4月から6月にかけて発表された一連の評価で、AISIは以下の点を明らかにした 。
Claude Mythos Previewは、「AISIが過去に評価したどのモデルよりも、サイバー攻撃能力が著しく高い」。英国政府はこの調査結果を引用し、リズ・ケンドール科学・イノベーション・技術大臣とダン・ジャービス安全保障相が2026年4月、全企業経営者に対し、AIによるサイバーリスクを最優先の経営課題として扱うよう求める公開書簡を送付した 。また、Mythos Previewは専門家レベルのCTF(Capture the Flag)課題において73%の成功率を達成した。これは、同研究所が評価したいかなるモデルにとっても初の快挙である
。
GPT-5.5は、AISIの32ステップに及ぶ「企業ネットワーク攻撃シミュレーション」を完全自律で最後まで実行した。これは、人間の専門家が約20時間かけると推定される作業だ。また、AISIの95種の狭義のCTF課題の多くを完全攻略し、既存のベンチマークではフロンティアAIのリスクを十分に測定できなくなっていることが判明した 。専門家レベルの高度なタスクでは、GPT-5.5の平均合格率は約71.4%で、Mythos Previewの68.6%、前世代のGPT-5.4の52.4%を上回った
。
全体のトレンドは加速している。AISIの調査によると、フロンティアAIモデルがサイバー攻撃タスクを自律的に完了する能力は、4.7カ月ごとに倍増している。これは、2025年11月に同研究所が記録した「8カ月ごとに倍増」という間隔から大幅に短縮されたものだ。Claude Mythos PreviewとGPT-5.5は、この急勾配のトレンドラインをも大幅に上回っている 。
4.7カ月という倍増率の意味するところは深刻だ。この傾向が続けば、約1年半後には、現在は人間の専門家チームが数週間から数カ月かけて行うサイバー攻撃を、AIが自律的に完遂できるようになる可能性がある。AISIは、これらの新モデルの性能が既存の95タスクの評価スイートを飽和させたため、能力の全容を測定できず、「時間軸の予測が極めて不確実」な状態だと指摘している 。
シスコの発表とAISIの評価を合わせると、業界がAI主導の防衛軍拡競争に突入し、それを積極的に推進している実態が浮かび上がる。18億行のコードをスキャンして脆弱性を探し出せるのと同じフロンティアモデルは、理論上、攻撃者がそれらの脆弱性を人間のレッドチームより速く発見し、悪用するためにも使えるのだ。
Project GlasswingとDaybreakの根底にあるロジックは、「最も有能なモデルを、最も責任ある組織に、厳格な管理下で最初に提供し、攻撃能力が拡散する前に重要インフラにパッチを当てる」というものだ。シスコの18億行に及ぶスキャンは、このテーゼを実世界で検証した最大の事例である。しかし、実際のバグの数を明かさないという同社の決断は、業界に対して、興味をそそるが不完全な概念実証と、AIがもたらす新たな開示サイクル(その発見件数が恒久的な運用変更を必要とするほど膨大であることを示唆している)だけを残す結果となった。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
シスコはAnthropicが危険すぎると判断し未公開とした「Claude Mythos Preview」と、OpenAIの「GPT 5.5」を用い、約18億行のコードを8週間でスキャン。人間のセキュリティチームなら約8年を要する作業だったが、発見された脆弱性の総数は非公開のまま。
シスコはAnthropicが危険すぎると判断し未公開とした「Claude Mythos Preview」と、OpenAIの「GPT 5.5」を用い、約18億行のコードを8週間でスキャン。人間のセキュリティチームなら約8年を要する作業だったが、発見された脆弱性の総数は非公開のまま。 このスキャンは、サイバー攻撃能力が高すぎるとして一般公開が見送られたAIを、厳格な管理下で防衛目的に限定使用する「Project Glasswing」(Anthropic)と「Daybreak」(OpenAI)という2つのプロジェクトの一環。
シスコは2026年7月より、AIによる脆弱性発見の急増に対応するため、セキュリティ情報の公開を「毎月第1・第3水曜日」の月2回に定め、7日前に予告する新方式へ移行する。