先週、人工知能企業のAnthropicが注目を集め、最新モデルのMythosがセキュリティの脆弱性を発見する能力が高いことを発表しました。その性能は混乱を引き起こす可能性もあるとされています。この混乱を防ぐために、Anthropicは「Project Glasswing」というプロジェクトを開始し、50社以上の業界パートナーがこの高度なモデルをテストできるようにしました。これにより、ネットワーク攻撃者がこれらの脆弱性を利用する前に、自社製品のセキュリティ上の問題を迅速に発見・修正することが可能となります。

Anthropic、クレード

Project Glasswingの参加者についてはまだ完全には明かされていませんが、すでにアマゾンウェブサービス、アップル、グーグル、マイクロソフトなどの著名企業が含まれていることが確認されています。このプロジェクトの目的は、選ばれた企業と協力して、Mythosを使って製品内の脆弱性を見つけて解決することです。

VulnCheckの研究者パトリック・ガリティによる分析によると、現在ではProject Glasswingの脆弱性の発見状況について確実なデータは得られていません。彼はCVEデータベースで「Anthropic」というキーワードを含む記録を検索しました。75件のAnthropicに関連する記録が見つかりましたが、そのうち35件はAnthropic自身のツールやサードパーティの統合に関する脆弱性であり、Glasswingによって発見されたものとは言えません。

残りの40件の脆弱性記録はGlasswingに関連している可能性がありますが、それらがどのグループによって発見されたのかは確定していません。ガリティの分析によると、これらの40件の脆弱性はAnthropicのコア研究チーム、個人研究者であるニコラス・カーリニ、および独立したセキュリティ会社Calif.ioから来ています。

脆弱性の分布を見ると、28件はMozillaのFirefoxブラウザに関連し、9件はwolfSSLという組み込みSSL/TLSライブラリに存在し、1件はF5のNGINX Plusアプリケーション配信プラットフォームに、そしてFreeBSDとOpenSSLそれぞれに1件ずつあります。

現在、Glasswingと直接関係があると明確に確認されている唯一のCVEはCVE-2026-4747です。これはリモートコード実行の脆弱性であり、FreeBSD上でNFSを動作させるマシンに対してroot権限を得られる可能性があります。Anthropicは他のいくつかの脆弱性についても述べていますが、それらはまだCVE番号が割り当てられていません。

ガリティ氏は、Project Glasswingの全容については今後情報を公開する必要があります。Anthropicは2026年7月にバグ発見に関する公的な総括報告書を発表する予定であり、研究チームとProject Glasswingによって発見されたバグを公開するための専用のセキュリティ公告ページの構築を推奨しています。

ポイント:  

🛡️ AnthropicはProject Glasswingを開始し、50社以上の企業がモデルMythosを使用して脆弱性テストを行うことができます。  

🔍 現在、Project Glasswingによって発見された脆弱性の数は確認されていません。40件の脆弱性がこのプロジェクトに関連している可能性があります。  

📅 2026年7月までに、Anthropicはバグ発見に関する公開の総括報告書を発表する予定です。