AIが発見した「27年越しの警鐘」：Project Glasswingが変えるサイバーセキュリティの常識

新たに加わった具体的な企業名からも、このプログラムの国際的な広がりと戦略的な深みが見て取れます。特権的ID管理のリーダー企業であるBeyondTrustは、2026年6月8日に参画しました。同社のコードベースは世界中の政府機関や重要サービスに深く組み込まれており、Mythos Previewへのアクセスは、全製品ポートフォリオにおける脆弱性の発見と修復の加速に活用されます 。

その数日前の6月5日には、日立製作所が参加を発表しました。日本の産業界を代表するこの巨大企業は、エネルギーネットワーク、交通網、都市インフラシステムのデジタル基盤を支える「社会インフラ向けソフトウェア」に、Mythos Previewを適用します 。

これらの企業は、Amazon Web Services、Apple、CrowdStrike、Google、Microsoft、NVIDIA、そして米国政府機関といった既存の参加者に加わり、歴史的に見てもほとんど前例のない、産業横断型の防衛連合を形成しています 。

サイバーセキュリティの常識を破るモデル

Project Glasswingの戦略的な緊急性は、「Claude Mythos Preview」の驚くべき能力への直接的な対応です。Anthropic自身の文書が「コンピューターセキュリティのタスクにおいて驚異的に有能である」と評するこの未公開の最先端モデルは、単なるアシスタントではありません。自律的に動作する脆弱性研究者であり、エクスプロイト（悪用コード）開発者なのです 。

内部テストでAnthropicは、ユーザーが指示を出すだけで、Mythos Previewがあらゆる主要OSと主要Webブラウザにおけるゼロデイ脆弱性を特定し、自律的に動作するエクスプロイトを作成できることを確認しました 。その出力規模は従来のベンチマークを圧倒します。Firefox 147を対象とした比較テストでは、Mythos Previewが181個の実用的なJavaScriptシェルエクスプロイトを生成したのに対し、従来の最先端モデル「Claude Opus 4.6」はわずか2個でした 。

2026年5月下旬までに、Project Glasswingのパートナーはこのモデルを使用して、1万件を超える「高」または「緊急」の深刻度のセキュリティ欠陥を特定しました 。初期の Cloudflare でのスキャンでは約400件の緊急度のバグが表面化し、Mozilla は発見された問題を活用して Firefox 150 の 271 件の脆弱性にパッチを適用しました 。1,000 を超えるオープンソースプロジェクトでは、計 23,019 件の問題がフラグ付けされ、専門のセキュリティ請負業者が手動でレビューしたサンプルの 89% で深刻度評価が一致しました 。

四半世紀を超えて埋もれていたバグの発掘

このプロジェクトで最も注目を集めた成果の一つが、OpenBSDから発見された27年前の脆弱性です。業界で最も厳格なセキュリティ監査を受けているとされるOSにおいて、1998年に記述されたTCP SACK実装のコードに欠陥が潜んでいました。これは、攻撃者が特定のパケットを2つ送信するだけで、パッチが適用されていないサーバーをクラッシュさせられるというものでした 。この発見にかかった単一の探索キャンペーンのコストは約2万ドルでしたが、問題の箇所を特定したモデルの推論実行自体は50ドル未満でした 。

他にも、17年間見過ごされてきたFreeBSDのNFS実装におけるリモートコード実行の脆弱性（CVE-2026-4747）や、FFmpegの16年前の欠陥など、人間による長年の精査をすり抜けてきた「古くて新しい」脆弱性が次々と明るみに出ています 。

防御に限定したアクセスと1億ドルの誓約

この強力なモデルについて、Anthropicは一貫して一般提供しない方針を取っています。汎用的なフロンティアモデルでありながら、その潜在的な悪用可能性（デュアルユースリスク）を深刻に考慮しているためです 。アクセスはProject Glasswingの招待制プログラムを通じてのみ許可され、参加者は攻撃目的での使用を禁じる厳格な条件に同意する必要があります。

この防衛的な取り組みを支えるため、Anthropicは参加組織に対して、自社コードベースの脆弱性スキャンにかかる計算コストを賄うための最大1億ドル相当のモデル利用クレジットを提供することを約束しています 。さらに、機械による大規模な脆弱性発見を前提とした、新しい情報開示ポリシーもプログラムと並行して導入しています 。

この一連の決断は、Anthropic自身による異例の警告に端を発しています。それは、このモデルがセキュリティ上の欠陥を発見し悪用する能力は、もし広く公開されれば重大なリスクをもたらすというものです 。今、このAIは「檻」の中に置かれたまま、世界中の社会基盤を静かに、そして徹底的に強化しつつあります。