2026/04/08 3:09
**プロジェクト・グラスウィング:AI時代における重要ソフトウェアの保護**
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Project Glasswingは、AWS、Microsoft、Google、Cisco、Apple、Broadcom、JPMorgan Chase、NVIDIA、Palo Alto Networks、およびLinux Foundationを含む主要なクラウド・ソフトウェア・金融企業を結集し、Anthropicの未公開Claude Mythos Preview AIを用いて高重大性のソフトウェア脆弱性を発見・修正することを目的としています。Mythos PreviewはすでにOpenBSD、FFmpeg、およびLinuxカーネルで重要なバグを検出し、その後メンテナがパッチを適用しました。Anthropicはパートナー向けに最大1億ドルの使用クレジットと、オープンソースセキュリティグループへの追加400万ドルの寄付を提供しており、40社以上の組織もモデルアクセスを受け取ります。参加者は90日以内に調査結果を公開し、ベストプラクティスを共有し、脆弱性開示、自動パッチング、安全な開発ライフサイクル、およびサプライチェーンセキュリティに関する推奨事項を策定する予定です。このイニシアチブは米国政府担当者と協力してツールの攻撃および防御機能を評価し、最終的には独立した組織が業界・公共部門全体で継続的な大規模サイバーセキュリティ作業を調整する可能性があります。研究プレビュー後、AnthropicはMythos PreviewをClaude API、Amazon Bedrock、Google Vertex AI、およびMicrosoft Foundry経由で参加者に対し1百万トークンあたり25ドル/125ドルで提供する予定です。
本文
はじめに
本日、Amazon Web Services(AWS)、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks らが協力し、世界で最も重要なソフトウェアを保護するための新たなイニシアチブ「Project Glasswing 1」を発表します。
Anthropic が開発した先進的なフロンティアモデルに備わる能力を実感し、サイバーセキュリティを再構築できると確信したため Project Glasswing を立ち上げました。
Claude Mythos 2 Preview は未公開の汎用フロンティアモデルであり、AI モデルがコード作成において人間の中でも最も熟練した者を除き圧倒的な実力を持つことを示しています。
Mythos Preview は既に数千件の高重大度脆弱性(主要 OS と Web ブラウザを含む)を発見しており、AI の進化速度を考えると、安全に運用する意思がある主体を超えて広まる可能性があります。経済・公共安全・国家安全保障への影響は甚大です。
Project Glasswing はこれらの能力を防御目的で活用するための緊急措置です。
プロジェクトに参加したパートナー企業は Mythos Preview を自社の防御セキュリティ業務に組み込み、Anthropic は得た知見を共有し、業界全体が恩恵を受けられるよう努めます。また、重要なソフトウェアインフラを構築・保守する 40 社以上の団体にもアクセス権を拡張し、ファーストパーティおよびオープンソースシステムのスキャンと保護に活用できるよう支援します。
Anthropic は Mythos Preview の利用クレジットとして最大 1 億ドル(Project Glasswing と追加参加者全体)を提供し、さらに 400 万ドルをオープンソースセキュリティ団体へ直接寄付します。
Project Glasswing は出発点に過ぎません。一つの組織だけでサイバーセキュリティ問題を解決することは不可能です。フロンティア AI 開発者、他のソフトウェア企業、セキュリティ研究者、オープンソース保守者、世界中の政府がそれぞれ不可欠な役割を担います。サイバーインフラの防御は数年にわたる作業になるでしょうし、AI の能力は今後数か月で大きく進化する見込みです。サイバーディフェンダーが有利になるためには、今すぐ行動を起こす必要があります。
AI 時代のサイバーセキュリティ
私たちが日常的に依存しているソフトウェア――銀行システムの稼働、医療記録の保存、物流ネットワークの連携、電力網の運用など――は常にバグを抱えてきました。多くは軽微ですが、一部は深刻なセキュリティ欠陥であり、発見されればサイバー攻撃者がシステムを乗っ取ったり、業務を妨害したり、データを盗むことが可能になります。
企業ネットワーク、医療機関、エネルギーインフラ、交通ハブ、政府機関の情報セキュリティに対する深刻な攻撃の結果はすでに見られています。中国・イラン・北朝鮮・ロシアなどの国家支援を受けた攻撃者は、民間生活と軍事準備を支えるインフラ全体を脅かしています。
個人病院や学校が標的となる小規模な攻撃でも、経済的損失、機密情報漏洩、人命の危険という重大な影響があります。現在の世界的サイバー犯罪費用は推定 5,000 億ドルに上ると考えられます。
ソフトウェアの欠陥が数年にわたり見逃されるのは、発見・悪用には限られた専門知識が必要だったからです。最新のフロンティア AI モデルを使えば、脆弱性の検出と悪用に必要なコスト、労力、専門度が劇的に低減されます。
過去一年間で、AI モデルはコードの読み取り・推論において急速に有効になり、特に脆弱性を発見し、悪用方法を考える驚異的な能力を示しています。Claude Mythos Preview はその一例で、検出した脆弱性は何十年も人間によるレビューや自動テストを経て未発見のままであり、その悪用コードはますます洗練されています。
DARPA Cyber Grand Challenge の 10 年後に、フロンティア AI モデルは最優秀人間と同等レベルで脆弱性検出・悪用ができるようになりました。適切な安全策を講じない限り、この強力なサイバー能力は世界の重要ソフトウェアに存在する欠陥を悪用される恐れがあります。それはサイバー攻撃をより頻繁かつ破壊的にし、米国と同盟国への脅威を増大させます。
したがって、この問題に対処することは民主主義国家の重要な安全保障課題です。
AI を活用したサイバー攻撃のリスクは重大ですが、楽観できる理由もあります。悪意ある手に渡れば危険になる同じ能力こそ、重要ソフトウェアの欠陥を発見・修正し、セキュリティバグの少ない新しいソフトウェアを生成するために不可欠です。Project Glasswing は、AI 主導のサイバーセキュリティ時代に防御側が持続的な優位性を得るための重要な一歩です。
Claude Mythos Preview で脆弱性と悪用コードを特定
ここ数週間、Claude Mythos Preview を使って主要 OS と Web ブラウザ、その他重要ソフトウェアに対し、何千ものゼロデイ脆弱性(開発者が未知の欠陥)を検出しました。多くは重大であり、すべてパッチ適用済みです。
Frontier Red Team ブログでは、既に修正された一部脆弱性と Mythos Preview が悪用方法を見つけた手法について技術的詳細を公開しています。完全自律でほぼ全ての脆弱性を検出し、多くの関連悪用コードを生成しました。
3 例
| 脆弱性 | 影響 |
|---|---|
| OpenBSD の 27 年前の欠陥 | 攻撃者がリモートで OS を実行している任意のマシンをクラッシュさせることができた。 |
| FFmpeg の 16 年前の欠陥 | 自動テストツールが 5 億回にわたり触れたコード行に潜んでいた。 |
| Linux カーネルの連鎖脆弱性 | 通常ユーザー権限から完全制御へと昇格できるようになった。 |
これらの脆弱性はすべて保守者に報告され、パッチが適用されています。他の多くの脆弱性については、当日 Red Team ブログで詳細を暗号ハッシュとして公開し、修正後に具体的情報を公開します。
CyberGym などの評価ベンチマークでは、Mythos Preview と次期モデル Claude Opus 4.6 の大きな差が確認されています:
- サイバーセキュリティ脆弱性再現 – Mythos Preview が Opus 4.6 を圧倒的に上回る。
- SWE‑bench Verified, Pro, Multilingual – メモ化ケースを除外した後も、Mythos Preview は Opus 4.6 より大幅に優れている。
パートナーの声
“AI の能力はサイバー脅威から重要インフラを守る緊急性を根本的に変える閾値を超えており、もはや戻れない。” – Cisco
“Claude Mythos Preview を自社のセキュリティ運用でテスト中… すでにコード強化に役立っている。” – AWS
“Project Glasswing に参加することで、リスクを早期発見・軽減し、Microsoft の顧客保護と開発ソリューションを強化できる。” – Microsoft
“この新世代 AI モデルへのアクセスを提供することで、Project Glasswing はオープンソースコードベースの保守者に信頼性のある変革路線を提示している。” – CrowdStrike
“Project Glasswing は自社独自かつ業界リーダーと協働しながら、重要インフラに対する次世代 AI ツールを評価できる唯一無二の早期機会を提供する。” – JPMorgan Chase
“Google はこのクロス・インダストリー サイバーセキュリティ イニシアチブが結集していることに満足し… ユーザー、顧客、生態系、国家安全保障を守る文化とプラットフォームへの投資を継続する。” – Google
モデルの能力と安全性
Claude Mythos Preview の強力なサイバー機能は、その優れたエージェント型コーディング・推論スキルに由来します。例として:
- SWE‑bench – これまで開発されたモデルを上回るスコア。
- Terminal‑Bench 2.0 – タイムアウトを 4 時間に延長した際、92.1% の高得点。
Claude Mythos Preview を一般公開は予定していませんが、最終目標はセキュリティ用途やその他の利益のために安全に大規模展開できるようにすることです。これを実現するには、モデルの危険な出力を検知・遮断する安全策を構築し、Claude Opus モデルで新しい安全策を導入して改善していく計画です。
Project Glasswing の計画
スコープと参加
- パートナーは Claude Mythos Preview を利用し、自社基盤システムの脆弱性検出・修正に取り組む。
- 重点領域:ローカル脆弱性検出、バイナリのブラックボックステスト、エンドポイント保護、侵入テスト。
資金とリソース
| 項目 | 金額 |
|---|---|
| モデル使用クレジット | 1 億ドル(Project Glasswing と追加参加者) |
| オープンソースセキュリティ団体への直接寄付 | 400 万ドル(Alpha‑Omega、OpenSSF、Apache Software Foundation) |
研究予備版後は Claude Mythos Preview を $25 / $125/百万トークンで利用可能にし、Claude API、Amazon Bedrock、Google Cloud Vertex AI、Microsoft Foundry からアクセスできるようにします。
情報共有
- パートナー間で情報とベストプラクティスを共有。
- 90 日以内に Anthropic が学んだこと・修正された脆弱性・改善点を公開。
- AI 時代のセキュリティ実践が進化すべき領域(脆弱性開示プロセス、ソフトウェア更新、オープンソース・サプライチェーン安全、設計段階からの安全性、規制産業向け標準、トリアージ拡張と自動化、パッチ自動化)に関して主要なセキュリティ組織と協力し実用的推奨を策定。
政府との連携
Anthropic は米国政府関係者と Claude Mythos Preview の攻撃・防御サイバー能力について継続的に議論しています。重要インフラの保護は国家安全保障上最優先課題であり、これらのサイバー機能の登場は AI 技術で決定的リードを取る必要性を示します。地方・州・連邦代表と協力し、AI モデルに関連する国防リスク評価と緩和策を支援する準備が整っています。
今後の展望
Project Glasswing は業界と公共部門全体で大規模な取り組みを開始する種となり得ます。強力モデルがセキュリティに与える最大の影響について答えを出すため、他の AI 業界メンバーも参加し標準設定に協働していただきたいと考えています。中期的には民間・公共部門組織を結集した独立第三者機関が、大規模サイバーセキュリティプロジェクトの継続作業の理想的な拠点となるでしょう。