2026.04.09 · 26分で読める

Project Glasswing完全解説｜「危険すぎて公開できない」AIが変えるサイバーセキュリティ【2026年最新】

Q: Claude MythosはいつAPIで使えるようになりますか？

2026年4月7日時点では、Claude Mythosは12社のパートナー企業と約40の重要インフラ管理組織にのみ限定公開されています。Anthropicは一般向けAPI公開の具体的な時期を明言していません。Polymarketの予測市場では、2026年6月末までの一般APIリリース確率は約45%とされていますが、セキュリティリスクの評価結果次第で大きく変動する可能性があります。

Q: Project Glasswingに参加するにはどうすればいいですか？

現在、Project Glasswingへの直接参加は12社のパートナー企業（AWS、Google、Microsoft、CrowdStrike、Palo Alto Networks、Apple等）に限定されています。一般企業は、これらパートナー企業が提供するセキュリティサービスを通じて間接的にGlasswingの恩恵を受けることができます。また、約40の重要インフラ管理組織も参加しており、今後の拡大が見込まれます。

Q: Claude MythosとOpus 4.6は何が違いますか？

Claude Mythosは新たに設けられた「Capybara」ティアに属するモデルで、Opusの上位に位置します。CyberGymベンチマーク（脆弱性再現テスト）ではOpus 4.6の66.6%に対しMythosは83.1%、SWE-bench Verifiedではopus 4.6の80.8%に対し93.9%を記録しています。特にFirefox JavaScriptシェルのエクスプロイト生成ではOpusの2回成功に対しMythosは181回成功と圧倒的な差があります。

Q: 自社のソフトウェアも脆弱性を見つけてもらえますか？

現時点では、Project Glasswingの対象は主要OSやブラウザ、広く使われているオープンソースソフトウェアなど、影響範囲の大きいソフトウェアが中心です。自社プロダクト固有の脆弱性診断を受けるには、12社のパートナー企業（CrowdStrike、Palo Alto Networks等）が今後提供するセキュリティサービスを利用する形が現実的です。Anthropicは$2.5MをOpenSSF/Alpha-Omegaに投入しており、OSSの脆弱性修正は広く恩恵が及びます。

2026年4月7日、Anthropicが世界に向けて衝撃的な発表を行いました。Project Glasswing――「危険すぎて一般公開できない」と自ら語るAIサイバーセキュリティ・イニシアチブの全容です。中核となるのは新モデルClaude Mythos Preview。主要なOS、ブラウザ、オープンソースソフトウェアのすべてで「数千件」のゼロデイ脆弱性を発見し、その99%以上がまだパッチされていないという、にわかには信じがたい成果を発表しました。名前の由来はGlasswing butterfly（グラスウィングバタフライ、学名：Greta oto）。透明な羽を持つこの蝶は、「見えているのに見えない」脆弱性の暗喩として選ばれました。何十年もコードの中に潜んでいたのに誰も気づかなかった——そんなバグを、AIが一瞬で見つけ出すという意味です。Anthropicはこのプロジェクトに1億ドル（約150億円）のモデル使用クレジットを投入。AIの力を攻撃者より先に防御側へ届けるという壮大な挑戦が、いま始まりました。この記事では、Project Glasswingの全容を技術的な詳細から業界への影響、そして企業が今取るべき具体的な行動まで徹底的に解説します。

Project Glasswingとは

Project Glasswingは、Anthropicが2026年4月7日に正式発表したサイバーセキュリティ特化のイニシアチブです。一言でいえば、「AIの力を防御側に先行投入し、攻撃者より先に脆弱性を見つけて塞ぐ」プロジェクト。中核を担うのは、新たに開発されたAIモデルClaude Mythos Previewです。

このプロジェクトの特徴は、その規模と慎重さの両面にあります。まず規模。Anthropicは1億ドル（約150億円）のモデル使用クレジットをパートナー企業に提供します。さらに、オープンソースソフトウェアのセキュリティ向上のために250万ドルをOpenSSF/Alpha-Omegaプロジェクトに、150万ドルをApache Software Foundationに寄付しました。一つのAI企業がサイバーセキュリティにここまで大規模な投資を行うのは前例がありません。

次に慎重さ。Claude Mythosは一般公開されていません。12社のテクノロジー企業と約40の重要インフラ管理組織にのみ限定公開されています。AnthropicのCEO、Dario Amodei氏は「このモデルの能力は、正しく管理されなければ壊滅的な被害をもたらしうる」と明言しています。

ここで重要なのは、Glasswingが単なる「脆弱性スキャナー」ではないということです。従来のセキュリティツールは、既知の脆弱性パターンをデータベースと照合して検出する仕組みが主流でした。たとえるなら、指名手配犯の顔写真リストと照合して犯人を探すようなものです。顔写真がなければ犯人は見つけられません。一方、MythosはAIエージェントとして自律的にコードを読み解き、人間のセキュリティ研究者のように「ここは怪しい」と推論し、実際にエクスプロイト（攻撃コード）まで生成して脆弱性を証明します。いわば、セキュリティの世界にやってきた「超高速のホワイトハッカー」のようなものです。リストに載っていない脆弱性でも、コードの文脈を読み解いて「何かおかしい」と察知できるのです。

名前の由来であるGlasswing butterfly（Greta oto）は、中南米に生息する蝶で、その羽は文字通り透明です。光を当てても羽に色はなく、向こう側が透けて見えます。この蝶が象徴するのは、「目の前にあるのに見えない」脆弱性の本質です。に例えると、ガラスの窓に付いた透明なヒビのようなイメージです。光を当てなければ見えないけれど、力が加わればそこから一気に割れる。27年間もOpenBSDに潜んでいたバグ、16年間FFmpegに存在していた脆弱性——それらはコードの中に「透明」に存在し続けていたのです。Glasswingは、まさにその見えないものを見る力を手に入れたAIの名にふさわしいと言えるでしょう。

もう一つ押さえておきたいのは、このプロジェクトの「エコシステム」としての設計です。Anthropicは単にMythosを渡して終わりではなく、パートナー企業ごとに異なるAPIチャネル（Claude API、Amazon Bedrock、Google Vertex AI、Microsoft Foundry）を通じてアクセスを提供しています。つまり、各パートナーが自社の環境に最適な方法でMythosの能力を活用できる仕組みになっているのです。さらに、オープンソースコミュニティへの寄付（OpenSSF/Alpha-OmegaとApache Software Foundation合計400万ドル）は、パートナー企業以外の開発者にも脆弱性修正の恩恵が届くよう設計されています。防御の恩恵を広く行き渡らせつつ、攻撃への転用リスクを最小限にする——この微妙なバランスがGlasswingの核心です。

Claude Mythos Previewの実力

Claude Mythos Previewは、Anthropicのモデルラインナップに新設された「Capybara」ティアに属します。これはOpusのさらに上位に位置するティアで、Anthropicのモデル階層において最上位となります。「Capybara（カピバラ）」という内部コード名は、Anthropicの動物由来のネーミング慣例（Haiku、Sonnet、Opus）の延長線上にありますが、名前の親しみやすさとは裏腹にその性能は圧倒的です。

まずはベンチマークの数字を見てみましょう。

ベンチマーク	Claude Mythos	Opus 4.6	差分
CyberGym（脆弱性再現）	83.1%	66.6%	+16.5pt
SWE-bench Verified	93.9%	80.8%	+13.1pt
SWE-bench Pro	77.8%	53.4%	+24.4pt
Terminal-Bench 2.0	82.0%	65.4%	+16.6pt

Claude Mythosは全ベンチマークでOpus 4.6を大幅に上回る

数字の羅列だけでは、この性能差の本当の意味が伝わりにくいかもしれません。具体的なエピソードを見ていきましょう。

Firefox JavaScriptシェルのエクスプロイト生成テストでは、Opus 4.6が2回の成功にとどまったのに対し、Mythosは181回のクラッシュ成功に加え、29回のレジスタ制御にまで成功しています。レジスタ制御というのは、プログラムの実行を根本レベルでコントロールするということで、これはエクスプロイト開発において「クラッシュさせる」段階から「完全に乗っ取る」段階へ進んだことを意味します。Opusの2回と比べると90倍以上の差があり、まさに次元が違うと言わざるを得ません。

OSS-Fuzzテスト（Googleが運営するオープンソースのファジングプラットフォーム）では、約1,000のOSSリポジトリ、約7,000のエントリポイントに対してテストを実行した結果、Opus 4.6が150〜175件のクラッシュを発見したのに対し、Mythosは595件のクラッシュを発見しました。およそ3.5倍の発見率です。これは単に「たくさん見つけた」というだけでなく、Mythosがより深い構造的な理解に基づいてテストケースを生成していることの証拠です。

注目すべきは、Dario Amodei氏の発言です。「Mythosはサイバーセキュリティ専用に訓練したモデルではない」。つまり、コード推論能力を極限まで高めた結果、副産物としてサイバーセキュリティ能力が生まれたのです。イメージとしては、基礎体力を徹底的に鍛えたアスリートが、専門的な練習をしなくてもあらゆるスポーツで好成績を出せるのと同じ構造です。コードの深い理解という「基礎体力」が、セキュリティという「専門種目」でも圧倒的な成果を生んでいます。

筆者が最も衝撃を受けたのは、実はSWE-bench Verifiedの93.9%というスコアです。SWE-benchは実際のオープンソースプロジェクトのバグ修正タスクを解く汎用的なコーディングベンチマークです。サイバーセキュリティに特化していない汎用テストでこのスコアを出せるということは、Mythosの能力がサイバーセキュリティだけの「一芸」ではないことを示しています。コードを読み、理解し、修正するという根本的な能力の飛躍が、セキュリティ能力を「おまけ」として生み出した——これは、AI開発の今後を考えるうえで極めて重要な示唆です。汎用能力を上げれば、特定分野の能力が自然についてくるという構図は、今後のAI開発競争のあり方を根本から変える可能性があります。

発見されたゼロデイの衝撃

ゼロデイ脆弱性とは、ソフトウェアの開発者すら知らないセキュリティ上の欠陥のことです。「ゼロデイ」という名前は、開発者がその存在を知ってからパッチを作るまでの猶予が「0日」であることに由来します。つまり、発見された瞬間からすでに悪用可能な状態にあるということです。

Claude Mythosは、主要なOS、ブラウザ、オープンソースソフトウェアのすべてで「数千件」のゼロデイ脆弱性を発見しました。そして、その99%以上はまだパッチが適用されていません。Anthropicのレッドチームレポートによれば、198件の脆弱性を外部専門家がレビューした結果、89%で重篤度評価が一致し、98%が1段階以内の評価差に収まりました。AIが見つけた脆弱性が、人間の専門家の判断とほぼ一致しているということです。

具体的にどのような脆弱性が見つかったのか、代表的な5つの事例を紹介します。

Mythosが発見したゼロデイ脆弱性の主要事例。27年間潜んでいたOpenBSDのバグが象徴的

1. 27年間潜んでいたOpenBSDのバグ

OpenBSDは「世界で最もセキュアなOS」を標榜し、セキュリティ監査に膨大なリソースを投入してきたことで知られています。そのOpenBSDに、27年間も発見されなかったリモートクラッシュ可能な脆弱性が存在していました。家を建てたとき、基礎のコンクリートに小さなヒビが入っていた。27年間、誰も気づかなかった。でもそのヒビは、いつ建物を崩壊させてもおかしくなかった——それがこの脆弱性の本質です。セキュリティの専門家が何十年にもわたって精査してきたコードに、それでも見落としがあったという事実は、人間の能力の限界を如実に示しています。

2. ファジングツールが500万回見逃したFFmpegの脆弱性

FFmpegはほぼすべての動画プレーヤーやストリーミングサービスで使われているマルチメディア処理ライブラリです。この16年前から存在するバグは、従来のファジングツール（ランダムなデータを大量に入力してクラッシュを探すテスト手法）が500万回以上テストしても検出できなかったものです。医者が500万回聴診器を当てても見つけられなかった腫瘍を、MRI検査が一発で発見した——そんなイメージです。従来のファジングが「手当たり次第に叩く」アプローチだとすれば、Mythosは「構造を理解して狙い撃つ」アプローチ。この違いが、16年間見逃されてきたバグの発見を可能にしました。

3. Linux特権昇格チェイン

Linux環境で、2〜4個の脆弱性を連鎖（チェイン）させることで、一般ユーザー権限から完全なシステム制御権限を奪取できるエクスプロイトが発見されました。個々の脆弱性は単体では深刻度が低く見えるものでも、組み合わせることで致命的になる。まるでパズルのピースを組み合わせるように、Mythosは複数の小さな欠陥を連鎖させて大きな攻撃経路を構築しました。この「チェイン」の能力は、従来のセキュリティスキャナーにはほぼ不可能だった高度な分析です。

4. FreeBSD NFSの17年前のRCE

FreeBSDのNFS（ネットワークファイルシステム）実装に、17年前から存在するリモートコード実行（RCE）脆弱性が見つかりました。Mythosはこの脆弱性に対して、20個のガジェットを連鎖させたROPチェイン（Return-Oriented Programming、既存コード断片を再利用した攻撃手法）を構築しました。そしてこのエクスプロイトのコスト、つまりクラウドサーバーを借りて攻撃を実行するのにかかる費用はAnthropicの試算でわずか数百ドル程度です。鍵の交換業者を呼ぶ料金と大差ない——にもかかわらず、企業のファイルサーバー全体を制御できてしまうのです。この「攻撃コストの崩壊」こそが、AIサイバーセキュリティ時代の最も深刻な問題かもしれません。

5. ブラウザJITエクスプロイト

ブラウザのJIT（Just-In-Time）コンパイラは、JavaScriptの高速実行を担う中核的な仕組みです。Mythosは4つの脆弱性をチェインさせてJITヒープスプレーを実現するエクスプロイトを生成しました。ブラウザは私たちが日常的に使うソフトウェアの中で最も攻撃にさらされる部分です。JITコンパイラの脆弱性は「ウェブサイトにアクセスするだけで乗っ取られる」可能性を意味しており、影響範囲は世界中のインターネットユーザー全員に及びます。日常的にブラウザを使わない人はほぼいないという現実を考えると、この脆弱性発見の重要性は計り知れません。

これらの事例で特に注目すべきは、わずか数百ドル程度でフルコントロールを奪取できるFreeBSDのエクスプロイトです。従来、高度なエクスプロイト開発には専門知識を持つセキュリティ研究者が数週間から数ヶ月かける必要がありました。それがAIによって自動化されると、攻撃のコストは桁違いに下がります。守る側のコストは変わらないのに、攻める側のコストだけが劇的に下がる——このコスト構造の非対称性が、Project Glasswingが「危険すぎる」と言われる最大の理由です。

なぜ「公開できない」のか

Anthropicが「危険すぎて一般公開できない」と判断した理由を理解するには、サイバーセキュリティにおける「攻守両用のジレンマ」を知る必要があります。

脆弱性を見つける能力は、そのまま攻撃する能力でもあります。家の鍵の弱点を見つけられる人は、その家に侵入もできる。Claude Mythosが持つ「ゼロデイを発見してエクスプロイトを自動生成する」能力は、防御に使えば世界を安全にしますが、攻撃に転用されれば世界を危険にします。これはサイバーセキュリティの「核兵器」と呼ぶべき問題です。

Anthropicの論理はこうです。現在、Claude Mythosのサイバーセキュリティ能力は他のAIモデルを「はるかに先行」しています。TechCrunchの報道によれば、Dario Amodei氏は「一般公開すれば、他社がキャッチアップする前に攻撃者がこの能力を悪用する時間的ギャップが生まれる」と説明しています。だからこそ、まずは信頼できるパートナーに限定公開し、防御側の体制が整ってから段階的に広げるという戦略を取っているのです。

具体的な数字を見ると、この懸念は決して誇張ではありません。Mythosのエクスプロイト成功率は72.4%です。つまり、発見した脆弱性の7割以上に対して、実際に動作する攻撃コードを自動生成できるということ。従来、エクスプロイト開発は高度な専門知識を持つセキュリティ研究者が数週間かけて行う職人技でした。それをAIが数分で自動化するということは、まるで精密な外科手術のスキルが誰でも使えるツールになったようなもので、攻撃の「参入障壁」が劇的に下がることを意味します。

この「民主化」は防御側にも恩恵がありますが、攻撃側にとってのメリットのほうが大きいという非対称性が問題です。防御側は脆弱性を見つけたらパッチを作成し、テストし、配布し、全環境に適用するという長いプロセスを踏む必要があります。一方、攻撃側は脆弱性を見つけたら即座に攻撃できます。この時間差——いわゆる「パッチギャップ」——がAIによって拡大するリスクをAnthropicは深刻に捉えています。

Anthropicは米国政府に対しても警告を行っており、「大規模なサイバー攻撃の可能性が今年中に著しく高まる」という見解を伝えています。この警告の背景には、Mythos自身がどれほど容易にゼロデイを発見できるかをAnthropicが目の当たりにしたという経験があります。自社のAIがわずか数時間で27年間見つからなかったバグを発見した——その能力を悪意ある組織が手にしたらどうなるか、最も切実に理解しているのはAnthropic自身なのです。これは単なるマーケティングのための恐怖喚起ではなく、開発者だからこそ発せられる切迫した警告と受け取るべきでしょう。

Dario Amodei氏はこう述べています。「間違えれば危険は明白だが、正しくやれば根本的に安全なインターネットを創ることができる」。この言葉は、Glasswingが単なる慎重策ではなく、インターネットのセキュリティを根本から変えるという野心的なビジョンに基づいていることを示しています。

12社パートナーとその役割

Project Glasswingの限定公開先は、テクノロジー業界を代表する12社です。さらに約40の重要インフラ管理組織も参加しており、全体で50以上の組織がGlasswingの恩恵を受けています。

Project Glasswingのパートナー12社と約40の重要インフラ管理組織

パートナー12社をカテゴリ別に整理すると、この戦略の全体像が見えてきます。

クラウドプラットフォームにはAWS、Google、Microsoftの3社が名を連ねています。これはClaude MythosのAPI提供チャネルに直結しています。Amazon Bedrock、Google Vertex AI、Microsoft Foundryという3大クラウドプラットフォームすべてでMythosを利用可能にする体制です。

セキュリティ企業としては、CrowdStrike、Palo Alto Networks、Cisco、Broadcomの4社が参加しています。これらはサイバーセキュリティ市場をリードする企業であり、Mythosが発見した脆弱性情報を実際の防御製品に反映させる役割を担います。

エンドデバイスのカテゴリには、AppleとNVIDIAが入っています。AppleはmacOSやiOSの脆弱性修正に、NVIDIAはGPUドライバやCUDA環境のセキュリティ強化にMythosを活用するものと見られます。

金融とOSSのカテゴリでは、JPMorganChaseとLinux Foundationが参加しています。金融機関は最もサイバー攻撃のターゲットにされやすい業種の一つであり、Linux FoundationはLinuxカーネルを含む膨大なオープンソースエコシステムの安全性向上に貢献します。

この12社の顔ぶれを見て気づくのは、AI時代の「核の傘」とでも呼ぶべき構造です。冷戦時代、核保有国のもとに同盟国が集まり、その「傘」のもとで安全を確保しました。Project Glasswingも同様に、Anthropicのサイバーセキュリティ能力のもとに主要テクノロジー企業が集まるという構図になっています。

そしてここで、筆者が強く指摘したいのは、パートナー12社に日本企業が1社も入っていないという事実です。クラウドはAWS、Google、Microsoft。セキュリティはCrowdStrike、Palo Alto。デバイスはApple、NVIDIA。金融はJPMorganChase。すべて米国企業です（Broadcomは本社シンガポールですが、実質的な事業拠点は米国）。日本のテクノロジー企業がこの「核の傘」の外にいるということは、AIサイバーセキュリティの最前線から取り残されるリスクを意味します。

発覚の経緯：CMS流出事件

Project Glasswingの存在が世界に知られたのは、実は正式発表よりも12日前のことでした。2026年3月26日、米国メディアのFortuneがAnthropicのCMS（コンテンツ管理システム）の設定ミスを発見。約3,000件の未公開アセット（ドキュメント、画像、内部資料）がインターネット上からアクセス可能な状態になっていたのです。

3月26日のCMS設定ミス発見から4月7日の正式発表まで12日間の経緯

この流出事件の詳細は、当ブログのClaude情報漏洩の全容で詳しく解説しています。

翌3月27日には、流出情報にClaude Mythosの存在や「前例のないサイバーセキュリティリスク」という記述が含まれていることが広まり、サイバーセキュリティ株が一斉に暴落しました。CrowdStrikeは1日で約6%下落し、セキュリティ業界全体に動揺が走りました。

3月29日には技術メディアが流出資料の詳細な分析を報道、4月3日にはCNNなど一般メディアにも話題が拡散。そして4月7日、Anthropicが正式にProject Glasswingを発表しました。皮肉なことに、「セキュリティの守護者」を自任するAnthropicが、自社のCMS設定ミスで最大の機密プロジェクトを漏洩させてしまったのです。この経緯についてはClaude 3月まとめでも触れています。

ただし、Anthropicにとってこの流出が完全にマイナスだったかというと、そうとも言い切れません。リークによってMythosの存在が世界に知れ渡り、正式発表時にはすでに大きな注目が集まっていました。結果として、Project Glasswingの発表は通常のプレスリリースをはるかに超えるインパクトを持つことになりました。

サイバーセキュリティ業界への影響

Project Glasswingの発表（およびその前のリーク）は、サイバーセキュリティ業界に地殻変動とも言える影響を及ぼしました。最もわかりやすいのは、株式市場の反応です。

Project Glasswingリーク後のサイバーセキュリティ関連株への影響

最も大きな打撃を受けたのはCrowdStrikeです。株価は約6〜7%下落し、時価総額にして数十億ドル規模が一日で蒸発しました。CrowdStrikeはProject Glasswingのパートナー12社に名を連ねているにもかかわらず、この下落です。市場は「AIが自動で脆弱性を発見・修正できるなら、従来型のセキュリティベンダーの存在意義が問われる」と判断したのです。

iShares Cybersecurity ETF（サイバーセキュリティ企業の株価を束ねた指数連動型ファンド）は-4.5%。個別銘柄では、Palo Alto NetworksとZscalerがそれぞれ約6%下落、SentinelOneは約6%、Oktaは7%超の下落を記録しました。

Cato NetworksのCEO、Shlomo Kramer氏はVentureBeatの取材で「サイバーセキュリティ史上の分水嶺だ」と語っています。Palo Alto NetworksのCEO、Nikesh Arora氏も「侵入から25分でデータ窃取が完了する」というAI攻撃のスピードに言及し、防御側のスピードアップが急務であることを強調しました。

競合の動きも見逃せません。OpenAIは2026年2月にGPT-5.3-Codexをリリースしていますが、サイバーセキュリティに特化した取り組みでは現時点でAnthropicが大きくリードしています。GPT-5.3-CodexもSWE-benchで高いスコアを記録していますが、ゼロデイ発見やエクスプロイト生成という具体的な成果を公表しているのはAnthropicだけです。ただし、OpenAIもこの領域への参入を示唆しており、Googleも独自のセキュリティAI研究を進めているとされています。今後AIサイバーセキュリティは大手AI企業の主戦場になることは間違いないでしょう。

この状況を言い換えれば、サイバーセキュリティは「AIの軍拡競争」の最前線になったということです。従来のセキュリティ企業は「人間の専門家が脅威を分析し、ルールを作り、ツールに実装する」というサイクルで動いてきました。このサイクルは数週間から数ヶ月かかります。しかしAIが攻撃も防御も担う世界では、このサイクルが数分から数時間に短縮されます。人間のスピードで動いていたセキュリティ業界が、AIのスピードで動く業界に変貌するのです。

筆者の見方では、この株価下落は「サイバーセキュリティ業界の終わり」を意味するものではなく、「防御側のAI軍拡競争の始まり」を示しています。AIが脆弱性を発見できるということは、攻撃者もAIを使って脆弱性を突くようになるということ。結果として、セキュリティ企業にはAIを活用した防御能力が不可欠になり、その需要はむしろ拡大します。株価が下がったのは、「AIを活用できないセキュリティ企業は淘汰される」という市場のメッセージです。逆に言えば、AI防御を取り込める企業にとってはチャンスでもあるのです。

企業が今すべき3つの備え

Project Glasswingの発表を受けて、企業のIT・セキュリティ担当者が今すぐ検討すべき3つの具体的なアクションを整理します。「危機感を煽って終わり」ではなく、明日からの実務に落とし込める形でお伝えします。

1. パッチ管理体制の総点検

Glasswingが示した最も重要な事実は、何十年も放置された脆弱性が主要なソフトウェアに大量に存在するということです。そして、AIがそれらを一斉に発見できるようになった以上、攻撃者が同じ能力を手にするのは時間の問題です。

まず取り組むべきは、自社が依存しているオープンソースソフトウェアの棚卸しです。多くの企業は、自社のシステムがどのOSSライブラリに依存しているかを完全には把握していません。SBOM（Software Bill of Materials、ソフトウェア部品表）の作成がまだであれば、今すぐ着手することが効果的です。特に、FFmpegのような広く使われているライブラリや、FreeBSD、OpenBSD系のネットワークスタックを使っているシステムは要注意です。

パッチ適用の優先順位も見直す必要があります。従来は「CVSSスコア（脆弱性の深刻度を示す数値）が高いものから順に」というアプローチが一般的でしたが、Glasswingが示したように、個々のスコアは低くても連鎖させると致命的になる脆弱性の組み合わせが存在します。脆弱性の「点」ではなく「面」で捉える視点が求められます。

2. AI脅威モデリングの導入

Palo Alto NetworksのCEOが指摘した「侵入から25分でデータ窃取」というスピードは、従来のインシデント対応体制では到底間に合いません。人間のセキュリティアナリストがアラートを確認し、判断し、対応を開始するまでの時間が25分を超えるなら、AIを使った攻撃に対して手動での防御は間に合わないということになります。

効果的な対策は、脅威モデリングの段階からAI攻撃を前提に含めることです。「もしAIが自社の公開サービスの脆弱性を自動スキャンしたら、最も危険な攻撃経路はどこか？」という問いを立て、そこから防御を設計していきます。特に、自動化された攻撃に対しては自動化された防御が必要であり、EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）の自動応答ルールの見直しが有効です。

当ブログのAIセキュリティ対策チェックリストでは、企業が段階的に実施できるセキュリティ対策を具体的にまとめていますので、ぜひ参考にしてください。

3. Glasswing型パートナーシップの活用

Project Glasswingに直接参加できなくても、パートナー12社のサービスを通じて間接的にGlasswingの恩恵を受ける道は開かれています。

具体的には、自社で利用しているクラウドプラットフォーム（AWS、Google Cloud、Microsoft Azure）のセキュリティサービスが今後Mythosの知見を反映していく可能性があります。また、CrowdStrikeやPalo Alto Networksのセキュリティ製品を利用している企業は、それらの製品がMythosの脆弱性情報をいち早く取り込むことで、間接的な保護を受けられます。

新たにセキュリティベンダーを検討する際は、「AIをどの程度セキュリティ分析に活用しているか」を選定基準に加えることが効果的です。エンタープライズAIセキュリティ比較も判断材料としてご活用ください。

重要なのは、これらのアクションは「Glasswingが怖いから」やるのではなく、AIがサイバーセキュリティの前提を変えたからやるという認識です。攻撃も防御もAIが前提になる時代が来ている。その変化に適応するための投資と考えるのが健全です。

また、これらの3つの備えは独立しているのではなく、相互に補完し合います。パッチ管理でOSS依存関係を把握すれば、AI脅威モデリングの精度が上がります。脅威モデリングで特定した優先領域に基づいて、パートナーシップの活用方針が決まります。ちょうど三脚のように、3本の脚が揃って初めて安定するものです。どれか1つだけ取り組んでも効果は限定的ですが、3つ揃えれば互いを強化し合い、AI時代のサイバー脅威に対する堅固な防御体制が構築できます。

筆者の見解

Project Glasswingについて、筆者が最も考えさせられたのは「限定公開」の意味です。

Anthropicは「安全のために限定公開している」と説明しています。これは事実でしょう。しかし同時に、これは極めて巧みなビジネス戦略でもあります。Claude Mythosの価格設定は入力トークンあたり25ドル、出力トークンあたり125ドルと報じられています。これは現行のOpus 4.6と比べても大幅に高額です。12社のパートナーに独占的にアクセスを提供することで、Anthropicは「世界最高のサイバーセキュリティAI」というポジションを、限られた顧客から最大の収益を得る形で確立しています。安全策とビジネス戦略が見事に重なり合った、一石二鳥のアプローチです。

次に、攻守のパラドックスについて。防御のために作ったAIは、そのまま攻撃にも使えるという構造は、核兵器と同じジレンマを孕んでいます。核の場合、「相互確証破壊」というロジックで均衡が保たれてきました。サイバーセキュリティAIの場合も、攻撃側と防御側の能力が拮抗することで一種の均衡が生まれるかもしれません。ただし、核と違って「誰が攻撃したか」の特定が難しいサイバー空間では、この均衡は核よりもはるかに不安定です。

日本企業への示唆も重要です。パートナー12社に日本企業がゼロという事実は、単に「今回は選ばれなかった」で片付けられる問題ではありません。AIサイバーセキュリティという新しい領域で、情報と能力の格差が固定化されるリスクがあります。日本の大手テクノロジー企業やセキュリティ企業は、Anthropicに限らずAIサイバーセキュリティの分野で積極的にパートナーシップを模索する必要があるでしょう。

最後に、Mythos正式リリースの見通しについて。Polymarketの予測市場では、2026年6月末までの一般APIリリース確率は約45%とされています。筆者の見立てでは、Anthropicは年内に少なくとも一部機能（脆弱性スキャンに限定したAPI等）の一般公開に踏み切る可能性が高いと考えています。理由は、限定公開のまま長期間置くことは、競合（特にOpenAI）にキャッチアップの時間を与えることになるからです。「安全」と「市場シェア」のバランスをどう取るか、Anthropicの次の一手に注目です。

いずれにせよ、Project Glasswingは単なる一企業の製品発表ではなく、サイバーセキュリティの歴史的な転換点として記憶されるでしょう。AIが「守る側」に立つことが当たり前になる未来への第一歩。その恩恵を最大限に受けるためにも、企業の意思決定者は今この瞬間から、AIセキュリティへの対応を戦略レベルで検討し始めることをお勧めします。

よくある質問

Q. Claude MythosはいつAPIで使えるようになりますか？

2026年4月時点では、Claude Mythosは12社のパートナー企業と約40の重要インフラ管理組織にのみ限定公開されています。Anthropicは一般向けAPI公開の具体的な日程を発表していません。Polymarketの予測市場では2026年内の一般リリース確率が約45%とされていますが、セキュリティリスクの評価次第で大きく変動する可能性があります。まずはAnthropic公式のGlasswingページで最新情報をチェックすることをおすすめします。

Q. Project Glasswingに参加するにはどうすればいいですか？

現時点で一般企業がProject Glasswingに直接参加する公開された手段はありません。ただし、12社のパートナー企業が提供するセキュリティサービスを通じて、間接的にGlasswingの恩恵を受けることは可能です。AWS、Google Cloud、Microsoft Azureのセキュリティサービスや、CrowdStrike、Palo Alto Networksなどのセキュリティ製品が今後Mythosの知見を反映していく見込みです。Anthropicは今後パートナーシップを段階的に拡大する方針を示しています。

Q. Claude MythosとOpus 4.6は何が違いますか？

Mythosは新設された「Capybara」ティアに属し、Opusの上位に位置するモデルです。性能面では、CyberGymで+16.5ポイント、SWE-bench Verifiedで+13.1ポイント、SWE-bench Proで+24.4ポイント、Terminal-Bench 2.0で+16.6ポイントとすべてのベンチマークでOpus 4.6を上回っています。特にサイバーセキュリティ関連では、Firefox JSシェルのエクスプロイト生成で2回（Opus）対181回（Mythos）と桁違いの差があります。ただし、Mythosは「サイバー専用」ではなく、汎用的なコード推論能力の飛躍がサイバー能力を生んだという点が重要です。

Q. 自社のソフトウェアも脆弱性を見つけてもらえますか？

現時点でProject Glasswingの対象は、主要OS、ブラウザ、広く使われているオープンソースソフトウェアが中心です。自社固有のソフトウェアの脆弱性診断については、パートナー企業のセキュリティサービスを通じて対応する形が現実的です。なお、AnthropicはOpenSSF/Alpha-Omegaに250万ドル、Apache Software Foundationに150万ドルを寄付しており、OSSの脆弱性修正はオープンソースを利用するすべての企業に間接的な恩恵をもたらします。自社システムが依存しているOSSについては、パッチ適用の迅速化を進めることが最も効果的な対策です。

参照元

← Blog一覧へ