なぜAnthropicのProject Glasswingは1万件の脆弱性を特定できたのか。Claude Code活用で変わる開発者の防衛術

1万件。人間が一生かけても届かない数字。

1ヶ月。30日で10,000件以上の重大な脆弱性が発見された。

これはあるAI企業が進めているプロジェクトの初期成果だ。

Project Glasswing。この名前を開発者は記憶する。

世界で最も重要なソフトウェアの安全性がAIによって書き換えられている。

僕らが書いているコード。その中に潜む「爆弾」をAIが秒速で見つけ出す。

人間が手動でコードレビューをして安全性を保証する時代は終わった。

このニュースはAIが賢くなったという話ではない。

セキュリティの主権が人間からAIへと移行した瞬間だ。

開発者としてこの波を乗りこなす。

30日で1万件。Mythos Previewが示した数字。

今回の発表で衝撃的だったのはその圧倒的な「打率」だ。

プロジェクト開始から1ヶ月。Claude Mythos Previewが基幹ソフトウェアをスキャンした。

結果として10,000件を超える「高」または「緊急」レベルの脆弱性が特定された。

このプロジェクトには約50のパートナー企業が参加している。

バグ発見率が10倍以上に跳ね上がったと報告されている。

具体的な数字がある。大手クラウドインフラ企業は自社システムから2,000件のバグを検出した。

そのうち400件が重大な脆弱性だった。

偽陽性（誤検知）の低さも特筆すべき点だ。

従来のセキュリティツールは大量の間違いを出すのが常だった。

この新しいAIモデルは人間のテスターよりも正確に問題を指摘している。

しんたろー：
1ヶ月で1万件という数字が気になる。2,000件見つけた企業の担当者はパッチ対応に追われているはずだ。従来のツールだと「これ本当にバグ？」と疑う時間があったが、AIが論理的に説明し始めると言い訳はできない。

※この記事はClaude Codeで1人SaaS開発しているしんたろーが、海外AI最新情報を開発者目線で解説する「AI活用Tips」です。

このプロジェクトには「90日ルール」が存在する。

脆弱性を発見してから公表まで90日の猶予が与えられる。

攻撃者に悪用される前に修正パッチを配布するための業界標準だ。

今この瞬間も1万件の「爆弾」の解体作業が世界中で進んでいる。

猶予期間が終わったとき、AIがどれほど深くコードを理解していたかが判明する。

今は全貌が明かされる前の静けさだ。

一方でこの強力な「剣」は政治的な火種になっている。

米国政府との間でこの技術の軍事利用を巡る対立が起きている。

AI企業側は大量監視や自律型兵器への利用を拒否する姿勢を明示している。

国防当局は「民間企業が軍の技術利用を制限すべきではない」と反発した。

結果としてこのAI企業は「サプライチェーン上のリスク」として名指しされた。

技術が進化するほど政治という壁にぶつかる。

Claudeの推論能力が「セキュリティの守護者」になる理由。

高い精度で脆弱性を見つけられる理由は「専門的な推論能力」にある。

単なるパターンマッチングではなくコードの文脈を深く読み解く力だ。

Claudeは法務や医学といった専門領域でトップを走っている。

この「論理の深さ」がセキュリティ解析に転用されている。

脆弱性とはコードの論理的な「隙」だ。

僕もClaude Codeを使って開発をしている。

コードの「意図」を汲み取る力の凄まじさを感じる。

「例外処理が抜けている」という指摘は常に的確でシステム全体を俯瞰している。

Project Glasswingのモデルも同じ系統の進化を遂げている。

数百万行の巨大なコードベースを一つのコンテキストとして理解する。

点と点を結びつけるように複雑な攻撃ルートを予見する。

しんたろー：
Claude Codeを叩いていると、僕より僕のコードを理解していると感じる瞬間がある。Glasswingの成果はその感覚の延長線上にある。AIが書いたコードをAIが守る循環が完成すれば、人間の役割は最終確認に集約される。

これまでのセキュリティ対策は常に「後手」だった。

被害が出てから手法を分析して対策を打つ構造だ。

AIによる自動スキャンは、この構造を「先手」に変える。

AIは攻撃者が思いつくよりも先に脆弱性をシミュレーションする。

1万件という数字は、その「先読み」の結果だ。

インフラを支えるオープンソースプロジェクトもAIの監視下にある。

ここで一つの課題が浮上している。

「発見の速度」が「修正の速度」を上回ったことだ。

AIが1秒でバグを見つけても、人間が検証しパッチを当てるには時間がかかる。

今のボトルネックはAIの能力ではない。

人間の受け入れ態勢とオペレーションの速度だ。

このギャップを埋めることが今後の開発現場のテーマになる。

僕らの開発現場はどう変わる？今すぐ意識すべき「防衛術」。

この変化は個人の開発者や小さなチームにも波及する。

AIによる脆弱性スキャンが「当たり前のマナー」になるからだ。

開発フローの中にAIによるセキュリティレビューを組み込む。

手動でコードを書いた後、あるいはClaude Codeなどで生成した後に実行する。

「セキュリティの観点から脆弱性を探して」とAIに命じる癖をつける。

「AIベンダーの政治的スタンス」を意識する必要がある。

今回の国防総省との対立のように、特定のAI利用がリスクと見なされる可能性がある。

政府系や厳しいコンプライアンスが求められる案件ではベンダーの思想も選定基準になる。

最も重要なのは「AIの出力を評価する力」を磨くことだ。

AIが「ここに脆弱性がある」と言ったとき、それが本当にリスクなのかを判断する。

システム全体の構造上許容できるものなのかを見極める。

しんたろー：
最後は「判断」だ。AIが1万件のバグを見つけても、優先順位をつけて直すのは僕らだ。ツールに使われるのではなく、ツールを指揮する「現場監督」としてのスキルが求められている。

AIが生成したコードの責任をAIに取らせるわけにはいかない。

「AIが書いたから安心」ではなく、「AIがチェックしたから、僕が責任を持ってリリースする」。

このスタンスを持てるかどうかがプロの開発者の分水嶺だ。

サプライチェーン全体への意識も不可欠だ。

自分が使っているライブラリがAIによって「脆弱」と判定される日が来る。

そのとき迅速に代替案を探すか、自力でパッチを当てる必要がある。

Project Glasswingは開発者に「加速」を求めている。

セキュリティが自動化されることで本質的な開発に集中できる。

だがプロフェッショナルとしての要求水準は確実に上がっている。

FAQ：Project Glasswingと開発者の未来

Q1: Project Glasswingの脆弱性発見ツールは一般公開されていますか？

現時点では特定のパートナー企業間での限定的な取り組みだ。

Mythos Previewモデルの一般公開については慎重な議論が進められている。

脆弱性が多く見つかりすぎるため、即座に公開すると攻撃者にヒントを与えるリスクがあるからだ。

パッチの普及状況を見ながら段階的に知見が共有される方針となっている。

Q2: AIによる脆弱性発見が普及すると、開発者の仕事はどう変わりますか？

脆弱性を探すという作業はほぼ完全にAIの領域になる。

開発者の役割はAIが提示した指摘の「真偽検証」と「修正の意思決定」へとシフトする。

コードを書く時間よりもAIの出力をレビューし、システム全体の堅牢性を設計する時間が長くなる。

よりアーキテクト的な視点がジュニアクラスの開発者にも求められる。

Q3: 特定のAIモデルを使うことが「リスク」になるというのは本当ですか？

国防当局との対立が示す通り、AIベンダーの政治的・倫理的スタンスは無視できない要素だ。

政府関連のプロジェクトや国家と密接に関わるシステムを開発しているなら注意が必要だ。

採用するAIモデルの利用規約やベンダーの政治的ポジションを確認しておく必要がある。

「技術的に優れているから」という理由だけでツールを選べない時代が来ている。

AIが守る世界で、僕らがすべきこと。

1万件の脆弱性はAIが突きつけた挑戦状だ。

「人間だけの力ではこの複雑な世界を守りきれない」という事実を認める。

そこから新しい開発の形が始まる。

僕はこれからもClaude Codeを相棒にしてコードを書き続ける。

AIに見張られ、助けられ、叱られながら開発する。

それが現代の開発者が手に入れた最強の武器だ。

セキュリティは「コスト」ではなく「AIとの対話」になった。

このエキサイティングな時代を全力で楽しむ。

👉 ThreadPostでSNS運用を自動化する