Anthropic は 2026 年 5 月 22 日、4 月発表の防御特化プログラム「Project Glasswing」の初期アップデートを公開し、未公開の最上位モデル Claude Mythos Preview と約 50 のパートナー組織が運用開始から約 1 ヶ月で High / Critical 級脆弱性を 10,000 件以上発見したと明らかにしました。OSS 1,000 プロジェクト超のスキャンで推定 23,019 件 (うち High / Critical 推定 6,202 件) を検出し、人手で精査した 1,752 件のうち 90.6% が真陽性、62.4% が High / Critical と確定。脆弱性発見はもはやボトルネックではなく、検証と修正配布の人的工数こそ次の課題と位置づけました。
主なポイント
- Mythos Preview は OpenBSD に 27 年間残存していたバグや、自動テスト 500 万回超でも見逃されていた FFmpeg の 16 年もののバグを発見
- Mozilla との連携では Firefox 150 で 271 件の脆弱性が Mythos 経由で特定・修正済み (4 月発表分の続報)
- 金融パートナーでは顧客メール侵害後の 150 万ドル不正送金を Mythos の挙動分析で検出・阻止した実例も報告
- 真陽性率 90.6% は従来の自動脆弱性スキャナを大きく上回るが、Anthropic は依然 dual-use リスクから一般公開を見送り、Glasswing 加盟 50 組織への gated access のみ継続
- 発見数の急増を受け、Anthropic は OSS メンテナへの開示調整・パッチ展開支援に注力する方針を示した