Anthropicは火曜日、Project Glasswing(プロジェクト・グラスウィング)を発表した。未公開の最先端AIモデル――Claude Mythos Preview――と、12の主要なテクノロジー企業および金融企業の連合を組み合わせた、包括的なサイバーセキュリティ施策であり、敵対者が悪用する前に、世界の最も重要なインフラにまたがるソフトウェアの脆弱性を見つけて修正することを目指している。
立ち上げパートナーには、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、the Linux Foundation、Microsoft、Nvidia、Palo Alto Networksが含まれる。Anthropicはさらに、重要なソフトウェアを構築または保守する40以上の追加組織にもアクセスを拡大したと述べており、この取り組みにおいてClaude Mythos Previewの利用に最大1億ドルの使用クレジットを拠出するほか、オープンソースのセキュリティ組織への直接寄付として400万ドルを拠出するとしている。
この発表は、サンフランシスコ拠点のAIスタートアップに対する「並外れた勢い」――そして「並外れた精査」――が同時に訪れているタイミングで行われた。Anthropicは日曜日、年換算の売上高のランレートが300億ドルを「超えた」ことを明らかにした。2025年末の約90億ドルからの増加であり、さらに、年間で100万ドル超を支出する各ビジネス顧客の数が現在1000を超え、2か月未満で2倍になっている。会社は同時に、GoogleとBroadcomとのマルチギガワット規模のコンピュート(計算基盤)契約を発表した。さらに同日、Bloombergが報じたところによれば、Anthropicはインフラ拡大を率いるため、マイクロソフトのシニア幹部であるエリック・ボイド氏を引き抜いたという。
しかし、グラスウィングは、売上の節目やコンピュート契約とはまったく別のものだ。Anthropicによる、最先端AIの能力――同社自身が「危険」だと述べる能力――を、それらの能力が敵対的なアクターへと広がる前に、防御上の優位へと転換しようとする、同社として最も野心的な試みだ。
なぜAnthropicは「公開するには危険すぎる」と考えるモデルを作ったのか
Project Glasswingの中心にあるのは、Claude Mythos Previewだ。Anthropicによれば、これは汎用の最先端モデルで、すでに数千件の高深刻度のゼロデイ脆弱性――つまり、ソフトウェア開発者にこれまで知られていなかった欠陥――を、あらゆる主要なOSおよびあらゆる主要なウェブブラウザで特定しているという。さらに、その他のさまざまな重要ソフトウェアでも同様だ。
同社は、このモデルを一般には提供しない。
「私たちは、Claude Mythos Previewのサイバーセキュリティ能力のため、これを一般に提供する計画はありません」と、AnthropicのFrontier Red Team Cyber Leadであるニュートン・チェン氏は、VentureBeatとの独占インタビューで語った。「しかし、AIの進歩の速度を考えると、こうした能力はやがて増殖するでしょう。しかも、安全に配備することに専念しているわけではないアクターの手にも渡る可能性があります。経済・公共の安全・国家安全保障への影響――その後の影響(フォールアウト)――は深刻になり得ます。」
その言い方――「フォールアウトは深刻になり得る」――は、このモデルを作った会社から出たものであり、印象的だ。Anthropicは実質的に、同社が作り出したこのツールがサイバーセキュリティの状況を作り変えるほど強力であり、守る側に先行のチャンスを与えつつ、それを制限したままにしておくことこそが唯一の責任ある対応だ、と主張している。
技術的な結果は、その主張を裏付けている。Anthropicのプレスリリースによれば、Mythos Previewは、提示した脆弱性のほぼすべてを見つけることができ、関連するエクスプロイトの多くを、人による誘導なしに完全に自律的に開発したという。際立つ例は3つある。1つ目は、モデルがOpenBSDの27年前の脆弱性を発見したことだ。同OSは、世界でもっともセキュリティが強化されたOSの1つとして広く見なされ、ファイアウォールや重要インフラを稼働させるのに一般的に使われている。問題は、攻撃者がOSに接続するだけで、そのOSを動かしている任意のマシンを遠隔からクラッシュさせられるようにするものだった。2つ目は、FFmpeg(ほぼ普遍的な動画のエンコード/デコードライブラリ)の16年前の脆弱性を、テスト自動化ツールがその問題を見つけることなく500万回以上実行してしまったコード行で発見したことだ。そして、おそらく最も警戒すべき点として、Mythos PreviewはLinuxカーネル上の複数の脆弱性を自律的に発見し、それらを連鎖させることで、一般ユーザーのアクセスからマシンの完全な制御へと権限を引き上げた。
この3つすべての脆弱性は、関係する保守担当者に報告され、その後すでにパッチが適用されている。修正対応のパイプラインの中で、他にも多くの脆弱性については、Anthropicは本日、詳細の暗号学的ハッシュを公開しており、修正が入った後に具体的な内容を明らかにする計画だと述べている。
CyberGym評価ベンチマークでは、Mythos Previewのスコアは83.1%で、Anthropicの次点モデルであるClaude Opus 4.6の66.6%を上回った。コーディングのベンチマークでは差はさらに大きい。Mythos PreviewはSWE-bench Verifiedで93.9%を達成し、Opus 4.6は80.8%。SWE-bench ProではMythos Previewが77.8%で、Opus 4.6は53.4%だった。
オープンソースの保守担当者を圧倒せずに、何千ものゼロデイをどう開示するつもりなのか
一度に何千ものゼロデイを見つけるのは、聞こえは印象的だ。だが、出力を責任ある形で実際に処理するのは、物流面での悪夢だ。AIによる脆弱性発見に対してセキュリティ研究者が挙げている、最も鋭い批判の1つでもある。未検証の重大なバグ報告が大量に流れ込めば、多くの保守担当者が無給のボランティアであることを踏まえても、良い結果より悪い結果を招きかねない。
チェン氏はVentureBeatに対し、Anthropicがこの問題を管理するためのトリアージ(選別)パイプラインを構築したと語った。「私たちは見つけたすべてのバグをトリアージし、そのうち最も深刻度の高いバグを、私たちが契約して開示プロセスを支援してもらうプロの人間のトリアージ担当者へ送ります。つまり、送信する前にすべてのバグ報告を手作業で検証し、保守担当者に対して高品質な報告のみを届けるようにするのです」と同氏は述べた。
このパイプラインは、保守担当者が最も恐れているまさにそのシナリオ――検証されていない報告が自動的な大洪水のように押し寄せる事態――を防ぐように設計されている。「私たちは、保守担当者が維持できるペースについて合意を得るために、事前に連絡を取らずに、単一のプロジェクトへ大量の調査結果を提出することはありません」とチェン氏は付け加えた。
Anthropicがソースコードにアクセスできる場合、同社はすべての報告に対して、出自(provenance)でラベル付けした候補パッチを含めることを目指す。つまり、保守担当者は、そのパッチがモデルによって書かれた、またはモデルによってレビューされたことを把握できる。そして、生産品質の修正について協働する用意も示す。「モデルはパッチを書くことができます」とチェン氏は言い、「ただし、パッチの品質には多くの要因が影響します。自律的に書かれたパッチも、人が書いたパッチと同じ精査とテストの対象にすることを強く推奨します。」
開示のタイムラインについて、Anthropicは調整された脆弱性開示の枠組みに従っていると述べている。パッチが利用可能になった後、同社は一般に、完全な技術詳細を公開するまで45日待つ。これにより、下流の利用者が悪用に関する情報が公表される前に修正を展開するための時間が確保される。Chengは、詳細がすでに他の経路を通じて公に知られている場合、または「より早い公開が、防御側が進行中の攻撃を特定し、軽減するうえで実質的に役立つ場合」には、そのバッファを「短縮する可能性がある」とした。また「パッチの展開が異常に複雑である場合、あるいは影響範囲(フットプリント)が異常に広い場合」には、それを「延長する」こともあり得ると述べている。
これらは妥当な原則だが、これまでどの脆弱性開示プログラムも試みたことのない規模で検証されることになる。膨大な発見件数――主要なあらゆるプラットフォームにわたる数千件のゼロデイ――のため、たとえうまく設計されたトリアージ手順でもボトルネックに直面する。さらに45日間の開示猶予は、保守担当者がその期間内に実際にパッチを作り、テストし、出荷できることを前提としているが、これは複雑なカーネルレベルの不具合や、深く組み込まれた暗号の欠陥では保証されるどころか、ほとんど期待できない。
ソースコードの流出、CMSの失策、そして信頼こそがAnthropic最大の脆弱性
これまでで最も高性能なサイバー・モデルを構築していると主張しながら、同時に恥ずかしいセキュリティ上の不手際が連続するという、この会社の皮肉は、観測者の間で見過ごされていない。
3月下旬、Mythosに関する下書きブログ記事が、そのタイミングはまた、アンスロピックが新規上場(IPO)に至る道筋をめぐる憶測の高まりとも重なっています。同社は、早ければ2026年10月にもIPOを検討していると報じられています。格の高い企業をパートナーに据えた、政府に近いサイバーセキュリティのハイプロファイルな取り組みは、まさにIPOの物語を引き立てる種類のプログラムです。とりわけ、同社が年間換算で300億ドルの売上と、ギガワット単位で測れる計算基盤(コンピュート)のフットプリントを同時に示せる場合にはなおさらです。
アンスロピックは、防御側には数か月しかなく、数年ではないと主張
プロジェクト・グラスウィングによって提起された、最も重大な問いは、ミュソス・プレビューの能力が本物かどうかではありません。パートナーによる裏付けや、修正済みの脆弱性の存在が、それが本物であることを示唆しています。問題は、同様の能力が敵対者に利用可能になるまで、防御側が実際に持てる時間がどれほどあるかです。
チェンは、タイムラインについて率直でした。「フロンティアAIの能力は、ほんの今後数か月のうちにも、かなり進展する可能性が高い」とベンチャービートに語りました。「AIの進歩の速度を考えると、そのような能力が広がるまで長くはかからないでしょう。しかも、安全に展開することを固く決めている主体を越えて広がっていく可能性があります。」彼はプロジェクト・グラスウィングを「今後のAI駆動のサイバーセキュリティ時代において、防御側に持続可能な優位性を与えるための重要な一歩」と表現しつつ、決定的な注釈を付けました。「重要なのは、これが出発点だということです。誰か1つの組織だけで、これらのサイバーセキュリティ問題を解決できるわけではありません。」
この「数か月であり数年ではない」という捉え方は、真剣に受け止める価値があります。DARPAは2016年にオリジナルのサイバー・グランド・チャレンジを立ち上げました。これは、欠陥について推論し、パッチを構築し、ネットワーク上にリアルタイムで展開できる自動防御システムを作るための競技です。当時、勝利したAI搭載のボットであるメイヘムは、DEF CONで人間チームと対戦させられた際には最下位に終わりました。10年後、アンスロピックは、フロンティアAIモデルが、専門家による人間の精査27年分と、数百万件の自動化されたセキュリティテストを生き延びた脆弱性を見つけられると主張しています。そして、エクスプロイト(侵害手順)を連鎖させて自律的に用い、完全なシステム侵害を達成できるとも言っています。
この2つのデータポイントの差は、業界がこれをマーケティング施策ではなく、本当に転換点だと扱っている理由を示しています。アンスロピック自身も、この方程式の「攻撃側」について直接の経験があります。同社は2025年11月に、アンスロピックの悪用(misuse)レポートによれば、中国の国家が後援するグループが、約30のターゲットに対してクロード(Claude)を用い、80〜90%の自律的な戦術遂行を達成したと明らかにしました。
プロジェクト・グラスウィングは、アンスロピックの歴史の中でも最も激動の一週間のひとつに登場します。数日のうちに同社は、公開には危険すぎると同社が考えるモデルを発表し、売上が3倍になったことを明らかにし、複数ギガワット規模の計算(コンピュート)をめぐる取引を締結し、シニアのマイクロソフト幹部を採用し、オープンクロウ(OpenClaw)のようなサードパーティツールを使うためにクロード・コード(Claude Code)購読者のコストを引き上げ、さらに火曜の朝、同社のチャットボット「クロード(Claude)」で大規模な障害に見舞われました。アンスロピックは、自社が90日以内に学んだことを公に報告するとしています。中期的には、独立した第三者機関が、大規模なサイバーセキュリティ・プロジェクトを継続する作業の最適な受け皿になるのではないか、と同社は提案しています。
それらのどれかが十分に速いかどうかは、すでに進行中のレース次第です。アンスロピックは、地球上で最も頑強に防御されたOSを自律的に攻略できるモデルを作り、そのうえで、注意深い制約のもとでそれを防御側に共有すれば、より配慮のない手に渡った瞬間に同様の能力が到来するであろう必然的な局面よりも、より大きな良い影響が得られると賭けています。要するに、透明性が拡散に勝てるのではないかという賭けです。今後数か月が、この賭けが報われるのか、それともグラスウィングの翼が、迫ってくるものを隠すほどには決して十分に不透明ではなかったのかを決めます。
