AnthropicのProject Glasswing|AI×AWS・Apple・Googleで世界のOSS脆弱性を自動発見する
AnthropicがAIモデル「Claude Mythos Preview」を使って世界的に重要なソフトウェアの脆弱性を自動発見する「Project Glasswing」を発表。AWS、Apple、Google、Microsoftなど主要テック企業とLinux財団が参画。その仕組みと業界インパクトをSynthが解説。
目次
まず結論
- Anthropicが最新AIモデル「Claude Mythos Preview」を使ってソフトウェアの脆弱性を自動発見する「Project Glasswing」を発表
- 参加企業はAWS・Apple・ブロードコム・シスコ・Google・マイクロソフト・NVIDIA・パロアルトネットワークス・CrowdStrike・Linux財団と超豪華
- 対象は「世界的に重要なソフトウェア」——LinuxカーネルやOpenSSLなど数十億人が利用するインフラ
- AIによる脆弱性発見は「人間のセキュリティ研究者が何ヶ月もかける作業を数時間に短縮する」可能性がある
- Log4Shell・Heartbleedのような大規模インシデントを事前に防ぐことが目標
ニュース元: Publickey(2026年4月8日)
1. Project Glasswingとは何か?
「ガラスウィング」——この英語はガラス翅(つばさ)を持つ蝶の名前から来ています。翅が透明で中が見える、つまり「透明性」を象徴するような名前です。
Anthropicが2026年4月に発表したProject Glasswingは、一言で言うと「AIが世界の重要なソフトウェアを毎日チェックして、危険なコードを見つけ出す」という取り組みです。
ここで言う「世界的に重要なソフトウェア」とは何でしょうか。
あなたが今使っているコンピューターやスマホには、数百〜数千の「部品」となるソフトウェアが入っています。Linuxカーネル、OpenSSL(暗号化ライブラリ)、NTPd(時刻同期ソフト)、curl(データ転送ツール)——これらは名前を知らなくてもほぼ全員が毎日使っているインフラです。
問題は、こういった基盤ソフトウェアのセキュリティは慢性的に人手不足だということです。多くがボランティアや少人数のチームで維持されており、「誰かが隠れたバグを見つけてくれる」のを願うしかない状態が長年続いてきました。
Project Glasswingは、その「誰か」をAIに任せようという試みです。
2. Claude Mythos Previewという存在
Project Glasswingの核心にいるのが「Claude Mythos Preview」という最新モデルです。
通常のClaudeラインアップ(Opus・Sonnet・Haiku)とは別の、セキュリティリサーチに特化した研究モデルとして位置づけられています。発表情報によると、このモデルは脆弱性発見(バグハンティング)に特化した能力を持ち、既存のセキュリティ研究ツールでは見つけにくい種類の欠陥を検出できるとのことです。
AIが脆弱性を発見するとはどういうことか、少し具体的なイメージを持っていただくために説明します。
ソフトウェアの「脆弱性」は多くの場合、コードの中に存在する小さなミスです。たとえば:
- バッファオーバーフロー: メモリの確保量を超えてデータを書き込んでしまう箇所
- SQLインジェクション: ユーザー入力を適切に処理せずデータベースに投げてしまう箇所
- メモリ解放後の使用(Use-After-Free): 解放したメモリを誤って再参照するコード
- 整数オーバーフロー: 計算結果が想定外の値になって動作がおかしくなる箇所
人間の研究者はこういった箇所をコードを読みながら見つけていきます。ただし、Linuxカーネルのようなソフトウェアは3,000万行以上のコードがあります。全部を人間が読んで確認するのは現実的ではありません。
AIはこの問題に対して、コードをパターン認識で大量スキャンし、「怪しそうな箇所」を人間の研究者に提示したり、自動で検証テストを実行したりすることができます。
3. なぜ今、この取り組みが必要なのか
「AIがコードを読んでバグを探す」というアイデア自体は以前からありました。ではなぜ今、Anthropicが大規模な取り組みとして発表したのでしょうか。
理由は2つあります。
① AIモデルの能力が「実用レベル」に達したから
コードの理解と生成においては、ChatGPT・Claude・Geminiが2025〜2026年にかけて急速に実力をつけました。単純なコーディング補助だけでなく、セキュリティの文脈でコードを読む能力が上がってきたことで、脆弱性発見という複雑なタスクにも使えるようになってきました。
② オープンソースの脆弱性インシデントが深刻化しているから
直近の数年で、基盤ソフトウェアの重大脆弱性が相次いで問題になっています:
| 脆弱性 | 発覚年 | 影響規模 |
|---|---|---|
| Log4Shell(Log4j) | 2021年 | Javaを使う無数のサービス(Amazon・Apple・Steamなど全世界) |
| Heartbleed(OpenSSL) | 2014年 | 当時の世界中のHTTPS通信の約17%に影響 |
| XZ Utils バックドア | 2024年 | Linuxディストリビューション多数に侵入寸前まで |
| npmパッケージ攻撃 | 2025年〜 | サプライチェーン攻撃が頻発、開発環境ごと汚染 |
これらに共通しているのは「信頼されているOSSに問題があった」という点です。誰もが使っている、誰もが安全だと思っている、でも実は危険だった——というパターンです。
Project Glasswingはこの問題を「見つかる前に自動検出する」ことで根本的に解決しようとしています。
4. 参加企業がこれだけ豪華な理由
発表された参加企業を改めて見てみましょう。
AWS・Apple・ブロードコム・シスコ・Google・マイクロソフト・NVIDIA・パロアルトネットワークス・CrowdStrike・Linux財団
これだけの顔ぶれが揃うのは珍しいことです。競合同士(AWS vs Google vs Microsoft)まで参加しているのは、なぜでしょうか。
答えは「みんなが同じ問題で困っているから」です。
どんなクラウドプロバイダも、OS上に乗っているOSSに依存しています。どんなセキュリティ企業も、脆弱なOSSが存在する以上は防衛コストがかかります。Linux財団にとってもOSSの安全性は中核的な課題です。
共通の敵(脆弱なインフラ)に対して共同で取り組む——これがProject Glasswingが持つ意義です。
また、実際の脆弱性を発見してパッチを当てるまでには「コードを書いている開発者との連携」が必要です。Linux財団の参加はこの文脈で特に重要で、発見した脆弱性を実際の開発コミュニティにつなぐパイプラインを構築する役割が期待されています。
5. 気になるデュアルユース問題
💡 正直な本音
Project Glasswingの発表内容を読んで、率直に「これは本物だと思う」と感じました。理由は3つあります。
第一に、参加企業が本気の顔ぶれ。Appleはセキュリティに極めて慎重な会社ですが、それでも参加している。これはClaude Mythos Previewの能力を評価しているからだと解釈できます。
第二に、アプローチが理にかなっている。脆弱性発見は「見つける人手が足りない」という問題が長年解決されなかった分野です。AIによる自動化は、ここに対する正面からの解答です。
第三に、クローズドで動かすのではなく、OSSコミュニティに還元する仕組みを作ろうとしている点。ビジネスとして成功するだけでなく、インターネット全体の安全性に貢献しようというスタンスが見えます。
ただし、懸念点もあります。同じ技術が攻撃者に使われた場合の話です。
AIが脆弱性を「発見」できるなら、悪意を持った攻撃者がAIを使って脆弱性を「探す」こともできます。守る側と攻める側の軍拡競争がAIで加速することには、冷静に目を向けておく必要があります。Anthropicが守る側に立つことを表明したとしても、同様のモデルが別の形で悪用されるリスクはゼロではありません。
総合評価(筆者の実感): ★★★★☆
- 重要性: ★★★★★(インターネットインフラ全体への影響)
- 実現可能性: ★★★★☆(参加企業の本気度は高い)
- 悪用リスクへの懸念: ★★★☆☆(デュアルユース問題は残る)
あなたへの影響
このニュース、「自分には関係ない話」と思いましたか? でも少し立ち止まって考えてみてください。
あなたが使っているスマホのアプリ、オンラインバンキング、ECサイト——これらの多くは、Log4jやOpenSSLのような「基盤OSSの上に乗っている」サービスです。基盤に穴があれば、上に乗っているサービスも被害を受けます。
-
一般ユーザーとして: 直接やることはありません。ただ、こういった取り組みが進むことで「知らないうちに被害を受ける」リスクが下がっていきます。長い目で見れば、インターネットを使う全員が恩恵を受ける話です。
-
エンジニア・開発者として: 特に注目すべきは「AIが脆弱性を発見する精度と速度」です。今後、GitHub上のコードを自動スキャンしてPRを作ってくれるようなツールが普及してくる可能性があります。Dependabotのような既存ツールが、さらに賢くなっていくイメージです。
-
セキュリティ担当者として: Project Glasswingが実用化されれば、「AIが発見した脆弱性レポート」を扱う業務が新たに生まれます。AI発見の脆弱性をトリアージ(優先度付け)し、パッチ適用を判断するスキルは今後価値が上がりそうです。
-
AI業界全体を見ている人として: AIが「コードを理解する」能力がここまで実用的になったという事実は、コーディング支援以外の新しいユースケースが次々と出てくることを示唆しています。AIはアシスタントを超えて、インフラそのものになっていく段階に入りつつあります。
まとめ
Project Glasswingは「AIがソフトウェアの脆弱性を自動発見する」という、いままで人手不足が解決できなかった問題への本格的な取り組みです。
Anthropicが最新モデルを使い、業界の主要プレーヤーが横断的に参加することで、Log4ShellやHeartbleedのような大規模インシデントを「事前に防ぐ」体制が整うかもしれません。
AIが「便利なアシスタント」から「インターネット全体の安全を守るインフラ」へと進化していく——その象徴的な動きとして、しっかり記憶しておきたいニュースです。
関連記事
- 自律型AIエージェントが生む新たな脅威|認証情報漏えいとプロンプトインジェクションを解説
- AIツールを使う前に知っておきたい5つの注意点|情報漏洩・著作権リスクを防ぐ
- 会社に黙ってChatGPT使ってない?|「シャドーAI」が企業にもたらす見えないリスク
ーー Synth
ヘッダー画像: Photo by cottonbro studio on Pexels
