← Claude のニュースへ戻る
Claude

Anthropic、Project Glasswing 中間報告を公開 — Claude Mythos Preview で高・重大度脆弱性 1 万件超を検出

Anthropic が 2026 年 5 月 22 日に Project Glasswing の進捗を公表した。Claude Mythos Preview モデルを使った防御的サイバーセキュリティ研究で、約 50 のパートナーと連携して重要ソフトウェアをスキャンしている取り組み。オープンソースプロジェクト 1,000 件以上で 6,202 件の高・重大度脆弱性を特定し、研究全体では合計 1 万件超の高・重大度脆弱性を検出したと報告。一方でパッチ適用ペースが検出ペースに追いついておらず、業界全体の対応が必要だと指摘している。Claude のセキュリティ用途が、デモやベンチマークの段階から、実世界の重要 OSS を継続スキャンする段階へ進んだことを Anthropic 自身が公式に示した報告。

ニュース原文を読む ↗

要約

Anthropic は 2026 年 5 月 22 日、Project Glasswing の中間報告を公開しました。Project Glasswing は、Claude Mythos Preview モデルを使った防御的サイバーセキュリティ研究で、約 50 のパートナーと連携しながら世界の重要ソフトウェアを体系的にスキャンする取り組みです。

報告された数値が大きく、オープンソースプロジェクト 1,000 件以上で 6,202 件の高・重大度脆弱性を特定し、研究全体では合計 1 万件超の高・重大度脆弱性を検出したと述べられています。Claude Mythos Preview の能力をアピールする数字としてだけでなく、現実の OSS にこれだけの高・重大度脆弱性がまだ残っている、という業界課題の提示にもなっています。

同時に Anthropic は、検出ペースにパッチ適用ペースが追いついていないことを問題として挙げています。「検出すれば終わり」ではなく、検出された脆弱性の責任ある開示、パッチの提供、依存先プロジェクトでの取り込みまでをつなぐ仕組みが業界全体で必要だ、というメッセージです。

Project Glasswing は招待制のリサーチプレビューで、現時点で誰でも使える形では公開されていません。とはいえ、Anthropic が自社モデルでここまで大規模な脆弱性検出を公式に走らせている事実は、Claude のセキュリティ用途を「実証段階」と呼べる位置まで押し上げた発表として受け止めるべきです。

何が変わったか

  • Anthropic が Project Glasswing の中間報告を公式に公開
  • Claude Mythos Preview モデルを用い、約 50 のパートナーと連携して重要ソフトウェアをスキャン
  • オープンソース 1,000 件以上で 6,202 件の高・重大度脆弱性を特定したと報告
  • 研究全体で合計 1 万件超の高・重大度脆弱性を検出したと報告
  • パッチ適用ペースが検出ペースに追いついていないことを業界課題として明示
  • 提供形態は招待制のリサーチプレビュー(一般プランからの直接利用は今回の発表対象外)

業務インパクト(一般企業向け)

セキュリティ責任者・SRE・OSS メンテナーを抱える組織にとって、まず効くのは「Claude を脆弱性検出パイプラインに組み込んでよいか」を真剣に検討できる材料が増えたことです。これまで Claude を SAST 補助や依存ライブラリレビューに使っていた組織は、Anthropic 自身が 1 万件超を検出した実績を踏まえて、社内ポリシーを「補助的に併用する」から「正式なパイプラインの一段として位置づける」へ動かす議論ができます。

その際は、検出後のトリアージフロー、責任ある開示の方針、誤検出・重複検出のハンドリング、CVE 採番との関係、依存パッチの取り込み SLA まで含めて社内で整える必要があります。Anthropic 自身が「検出ペースに適用が追いついていない」と指摘している通り、検出だけ走らせると未対応脆弱性のリストが肥大化するだけになりかねません。

調達・サプライチェーン側にも波及があります。自社が依存している OSS プロジェクトに、こうした大規模スキャンで検出された高・重大度脆弱性が含まれている可能性は十分にあります。依存ライブラリの脆弱性監視ポリシー、SBOM の運用、緊急パッチを取り込むワークフローを、いま一度棚卸しする良いタイミングです。

経営層への説明という観点では、「セキュリティへの AI 活用が、デモやベンチマークの段階を越えて、Anthropic 自身が運用している」という事実が、社内提案の根拠として使えます。

副業・個人活用視点

個人開発者・OSS メンテナーには、二方向で関係します。

第一に、自分が依存している OSS の脆弱性監視を見直すきっかけになります。Project Glasswing が 1,000 件超の OSS から 6,200 件以上の高・重大度脆弱性を検出した、という数字は、「使っているライブラリが大丈夫」と前提を置きにくくなったことを意味します。GitHub の Dependabot / Renovate 等の自動更新フロー、npm audit / pip-audit 系の定期実行を、サイドプロジェクトであっても回す習慣を作っておくと安全です。

第二に、OSS メンテナーとして自プロジェクトを管理している場合、こうした大規模スキャンから報告が届く可能性が現実味を帯びます。セキュリティポリシー(SECURITY.md)、責任ある開示の窓口、CVE 採番への対応手順を、サイドプロジェクトでも最低限整えておくと、急に報告が来ても慌てずに済みます。

副業のセキュリティ系案件をやっている個人にとっては、提案資料の「AI を使った大規模スキャンの実証事例」として参照できる公式情報になります。anthropic.com/research/glasswing-initial-update を直接引用しながら、自社案件への落とし込みを語れます。

claude anthropic glasswing security vulnerability-detection open-source research-preview