なぜAIによる脆弱性発見が脅威なのか。Claude Mythos PreviewとProject Glasswingの全貌

熟練の人間を凌駕する未発表モデルの衝撃

AIが主要なOSやウェブブラウザから数千個の深刻な脆弱性を見つけ出している。

これは単なるバグ探しのレベルではない。

未発表のフロンティアモデルClaude Mythos Previewが実戦投入された。

このモデルは、熟練の人間を遥かに凌駕するレベルでソフトウェアの脆弱性を発見する。

AIのコーディング能力は、コードを書くことだけにとどまらない。

他人のコードの穴を瞬時に見つけ出し、そこを突く能力にまで達している。

この力が悪意ある者の手に渡れば、経済や公共の安全に致命的なダメージを与える。

だからこそ、防衛目的でこの力を使う緊急の試みが始まった。

Anthropicは最大1億ドルのクレジットを投入する。

さらにOSSのセキュリティ組織には400万ドルが寄付される。

事態はそれほどまでに切迫している。

AIによる圧倒的な攻撃力が、現在のサイバーセキュリティの前提を覆している。

ソフトウェアの欠陥を見つける作業は、これまで一部の専門家に依存していた。

しかし、AIはその常識を完全に破壊した。

AIモデルは、コードを読み解き、推論する能力を飛躍的に高めている。

脆弱性を発見し、それを悪用する方法を編み出す速度は人間の比ではない。

この強力な能力が、世界で最も重要なソフトウェアの欠陥を突くために使われるリスクがある。

あらゆる種類のサイバー攻撃が、より頻繁に、より破壊的になる。

防衛側は、攻撃側よりも早く脆弱性を見つけ出さなければならない。

AIの進化スピードに対抗するには、AI自身の力を使うしかない。

※この記事は、Claude Codeで1人SaaS開発しているしんたろーが、海外AI最新情報を開発者目線で解説する「AI活用Tips」です。

年間5000億ドルのサイバー犯罪とAIの進化

私たちが毎日依存しているソフトウェアには、常にバグが存在する。

銀行システムや医療記録、電力網を動かすインフラも例外ではない。

物流ネットワークの連携や、社会基盤の維持に関わるシステムにも欠陥が潜んでいる。

深刻なセキュリティの欠陥が発見されれば、サイバー攻撃者がシステムを乗っ取る。

業務を妨害し、機密データを盗み出す。

世界のサイバー犯罪による経済的損失は、年間約5000億ドルに上る。

国家主導の攻撃から、病院や学校を狙った小規模な攻撃まで、被害は拡大し続けている。

中国、イラン、北朝鮮、ロシアなどの国家主導の攻撃は、市民生活と軍事即応性の両方を支えるインフラを脅かしている。

小規模な攻撃であっても、多大な経済的損害を与え、機密データを暴露する。

場合によっては人命を危険にさらすことすらある。

これまで、ソフトウェアの欠陥を見つけて悪用するには、高度な専門知識が必要だった。

そのため、多くの欠陥が何年も気づかれないまま放置されてきた。

しかし、最新のフロンティアAIモデルの登場で状況が一変した。

ソフトウェアの脆弱性を見つけ出し、悪用するためのコストと労力が大幅に低下した。

AIモデルはコードを読み解き、推論する能力を高めている。

脆弱性を発見し、それを突く方法を編み出す能力において、驚異的な進歩を見せている。

Claude Mythos Previewは、このサイバーセキュリティのスキルにおいて飛躍的な向上を示した。

人間による数十年のレビューや、数百万回の自動テストをすり抜けた脆弱性すら発見する。

最初のDARPA Cyber Grand Challengeから10年が経過した。

フロンティアAIモデルは、脆弱性の発見と悪用において最高レベルの人間と競争できるレベルに達している。

強力なサイバー能力が、世界で最も重要なソフトウェアの欠陥を突くために使われるリスクがある。

あらゆる種類のサイバー攻撃が、より頻繁に、より破壊的になる。

民主主義国家にとって、これらの問題に対処することは最優先のセキュリティ課題だ。

AIを活用したサイバー攻撃のリスクは深刻だが、楽観視できる理由もある。

AIモデルを危険なものにしているのと同じ能力が、防衛にも役立つ。

重要なソフトウェアの欠陥を見つけ、修正するために不可欠なツールとなる。

セキュリティバグの少ない新しいソフトウェアを作成するためにも、AIの力は欠かせない。

AI主導のサイバーセキュリティ時代において、防衛側に永続的な優位性をもたらす取り組みが始まっている。

しんたろー：
AIがコードの脆弱性を見つける能力がここまで上がってるとは思わなかった。
自分が書いたコードも、AIから見たら穴だらけなんだろうなと想像すると少し怖い。
早く自分のプロジェクトにもAIのセキュリティスキャンを導入してみたい。

27年前の脆弱性を暴くClaude Mythos Previewの実力

Claude Mythos Previewは、人間の介入なしに完全に自律して脆弱性を特定する。

過去数週間で、主要なOSやウェブブラウザから数千個のゼロデイ脆弱性を発見した。

その多くは深刻なものであり、ソフトウェアの開発者すら気づいていなかった欠陥だ。

AIは脆弱性を見つけるだけでなく、それに関連するエクスプロイトも自律的に開発する。

具体的な事例が3つ報告されている。

1つ目は、OpenBSDにおける27年前の脆弱性の発見だ。

OpenBSDは世界で最もセキュリティが強固なOSの一つとして知られている。

ファイアウォールや重要なインフラの稼働に使われている。

AIが発見した脆弱性を突けば、攻撃者はリモートからシステムをクラッシュさせることができる。

接続するだけで、OSを実行しているマシンをダウンさせることが可能だ。

2つ目は、FFmpegにおける16年前の脆弱性の発見だ。

FFmpegは動画のエンコードやデコードに無数のソフトウェアで使われている。

この脆弱性は、自動テストツールが500万回も実行されたコード行に潜んでいた。

テストツールが一度も検出できなかった問題を、AIが自律的に見つけ出した。

3つ目は、Linuxカーネルにおける複数の脆弱性の連鎖だ。

Linuxカーネルは世界中のほとんどのサーバーを動かしているソフトウェアだ。

AIは複数の脆弱性を自律的に発見し、それらを繋ぎ合わせた。

結果として、一般ユーザーのアクセス権限からマシンの完全な制御権を奪うエクスプロイトを開発した。

これらの脆弱性はすでに関連ソフトウェアのメンテナに報告され、パッチが適用されている。

他の多くの脆弱性については、暗号化ハッシュのみが提供されている。

修正が完了した後に、詳細な情報が公開される予定だ。

AIの能力は、CyberGymという評価ベンチマークでも実証されている。

Claude Mythos Previewのスコアは83.1%を記録した。

次点で優秀なモデルであるClaude Opus 4.6の66.6%を大きく引き離している。

AIを使って脆弱性を発見し、システムを堅牢にする。

このアプローチは一定の成果を上げている。

ただ、私の個人開発のコードはAIに見せるまでもなくバグだらけで、スキャンツールがエラーを吐きすぎてフリーズした。

巨大テック企業が集結するProject Glasswingの全貌

AIの進化がもたらす脅威に対抗するため、巨大なプロジェクトが始動した。

それがProject Glasswingだ。

AWS、Apple、Google、Microsoftなど、世界の主要なテック企業が名を連ねている。

目的は、世界で最も重要なソフトウェアを保護することだ。

彼らはClaude Mythos Previewを防御的なセキュリティ作業に活用する。

AIの能力を、攻撃ではなく防衛のために使う緊急の試みだ。

Anthropicは、このプロジェクトで得られた知見を業界全体で共有する。

一企業だけでは、この巨大なサイバーセキュリティの問題は解決できない。

フロンティアAI開発者、ソフトウェア企業、セキュリティ研究者が協力する必要がある。

オープンソースのメンテナや世界中の政府も、重要な役割を担っている。

さらに、40以上の組織に対してモデルへのアクセスが提供されている。

重要なソフトウェアインフラを構築、維持する組織が対象だ。

彼らは自社システムやオープンソースシステムのセキュリティスキャンにAIを活用する。

Anthropicはこれらの取り組みに最大1億ドルのクレジットを提供する。

オープンソースのセキュリティ組織に対する400万ドルの直接寄付も行われる。

サイバーインフラを守るための戦いは、すでに始まっている。

世界のサイバーインフラを守る作業には、何年もかかる可能性がある。

一方で、フロンティアAIの能力は今後数ヶ月で大幅に進歩する。

サイバー防衛側が優位に立つためには、今すぐ行動を起こす必要がある。

AIの進化を待つのではなく、現在のAIの能力を最大限に活用して防衛システムを構築する。

参加企業はすでにモデルのテストを開始している。

AWSは自社のセキュリティ運用でモデルをテストし、コードベースの強化に役立てている。

Ciscoは、ハードウェアとソフトウェア全体の脆弱性を特定し修正する能力を確認した。

Microsoftは、オープンソースのセキュリティベンチマークでモデルの大幅な改善を確認している。

しんたろー：
これだけの巨大企業がこぞって参加するプロジェクトって、なかなかない規模感だ。
AIの進化スピードに、人間のセキュリティ対策が追いつかなくなってる証拠かもしれない。
個人開発者としても、このプロジェクトから出てくる知見はしっかり追っていきたい。

crossSourceFindings：AI主導のサイバー防衛パラダイム

複数の情報源から得られた統合知見（crossSourceFindings）として、AIによるサイバー防衛のパラダイムシフトが確認されている。

AIモデルがコードを理解し、推論する能力は、過去1年で飛躍的に向上した。

これにより、脆弱性の発見と悪用に必要な専門知識のハードルが劇的に下がった。

AIは、人間が数十年かけて見逃してきたバグを瞬時に特定する。

この能力は、悪意ある者の手に渡れば深刻な脅威となる。

しかし同時に、重要なソフトウェアの欠陥を見つけ、修正するための強力な武器にもなる。

AIを活用して、より安全な新しいソフトウェアを生み出す。

これが、今後のサイバーセキュリティにおける最大の焦点となる。

防衛側に永続的な優位性をもたらすための取り組みが加速している。

AI主導のサイバーセキュリティ時代において、AIを防御に活用するアプローチは不可避の選択だ。

サイバー攻撃のコストが下がる一方で、防衛のコストもAIによって引き下げられる。

この攻防のバランスを保つためには、常に最新のAIモデルを防衛側に投入し続ける必要がある。

AIの能力向上は、サイバーセキュリティのルールを根本から書き換えている。

人間の専門家による手動のコードレビューは、もはや限界を迎えている。

AIによる自動化された脆弱性スキャンと、自律的なパッチ作成が標準になる。

このパラダイムシフトに適応できない組織は、サイバー攻撃の標的になりやすい。

AIガバナンスとセキュリティに関するFAQ

Q1: Claude Mythos Previewは一般の開発者も利用できますか？

現在のところ、未リリースのフロンティアモデルであり、一般公開されていない。

主要テック企業や、重要インフラを維持する40以上の組織に対して、防衛的なセキュリティスキャン目的で限定的にアクセスが提供されている状態だ。

熟練の人間以上に脆弱性を発見できる強力なモデルであるため、安全な展開が慎重に進められている。

ただし、このプロジェクトで得られた知見は業界全体に共有される予定だ。

Q2: AIモデルが発見した脆弱性はどのように処理されていますか？

発見された脆弱性は、関連するソフトウェアのメンテナに報告され、パッチが適用される。

例えば、OpenBSDの27年前の脆弱性や、FFmpegの16年前の脆弱性はすでに修正済みだ。

その他の多くの脆弱性についても、現在は暗号化ハッシュのみが公開されている。

修正が完了した後に、詳細な情報が公開される手順を踏んでいる。

Q3: Project Glasswingにはどのような企業が参加していますか？

AWS、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが参加している。

これらの企業は、Claude Mythos Previewを防御的なセキュリティ作業に使用する。

世界で最も重要なソフトウェアを保護し、AI主導のサイバーセキュリティ時代において防衛側に優位性をもたらすための共同イニシアチブだ。

まとめ

AIによる脆弱性発見能力は、熟練の人間を凌駕するレベルに達している。

この強力な能力を防衛に活用する取り組みが、業界全体で加速している。

👉 ThreadPostでSNS運用を自動化する