Anthropic「Project Glasswing」初動レポート――1か月で1万件超の脆弱性発見、Mythosが”結果”を出し始めた

みなさん、AIに「世界中のソフトウェアを点検させたら、いったいどれくらいの欠陥が見つかるのか」と考えたことはあるでしょうか。その問いに、Anthropicがひとつの初期回答を提示しました。

Anthropicは2026年5月22日、防御的サイバーセキュリティ支援プログラム「Project Glasswing」のローンチから約1か月時点の初動レポート（initial update）を公開しました。同社のフラッグシップモデルClaude Mythosを活用したこのプログラムは、当初の構想からわずか1か月で、想像を超える具体的な成果を出し始めています。

数字が示す「結果」のスケール

レポートで開示された数字を整理します。

– 発見された脆弱性：1か月で1万件超
– 参加パートナー：50社に拡大（ローンチ当初から大幅増）
– Cloudflare事例：単独で2,000件の脆弱性を検出
– 銀行詐欺の事前阻止：150万ドル（約2.3億円）相当のattackを検知

どれも抽象的な「可能性」ではなく、すでに防いだ被害として記録された具体的な数字です。Anthropicがローンチ時に掲げた「AIを盾として使う」というビジョンは、わずか1か月で「実際に何かを守った」という結果へと変わりつつあります。

衝撃を呼んだwolfSSL事例

業界に最も衝撃を与えたのが、暗号通信ライブラリwolfSSLでの発見です。Mythosは、偽造証明書を生成可能にする脆弱性を検出しました。

wolfSSLはIoT機器や組み込みシステムで広く使われているセキュリティライブラリです。証明書偽造が可能ということは、暗号通信の信頼の根幹が揺らぐということ。AIがここまで深い層の欠陥を発見したという事実は、セキュリティライブラリ業界全体に「AIに監査される時代」の到来を告げました。

Claude Security public beta と Cyber Verification Program

もうひとつの大きな動きが、Claude Securityのパブリックベータ開始です。これまで承認制（gated access）だったMythosベースのセキュリティ機能が、一般開発者にも段階的に開放されます。さらに、第三者による検証スキームとしてCyber Verification Programも新設されました。「発見しました」だけで終わらせず、外部の独立した検証者によって結果の妥当性を担保する仕組みです。

日本にとって何が変わるのか

この動きは、日本の私たちにもいくつかの示唆を残します。

まず、国内のセキュリティライブラリ・OSSプロジェクトがAI監査を「いつ、誰が、どの基準で」受けるかという議論が現実味を帯びてきました。wolfSSL級の発見が、日本企業が依存するOSSにも起こりうるからです。

次に、金融機関や重要インフラ事業者にとって、Claude Securityのパブリックベータは「使うか、使わないか」の判断を迫る選択肢になります。150万ドルの詐欺阻止という具体例は、稟議書の中で重みを持つ数字です。

そして、第三者検証スキーム（Cyber Verification Program）は、日本のAIガバナンス議論にも参照点を提供します。「AIに任せたら検証はどうするのか」という問いに、ひとつの実装解が示されたわけです。

ローンチから1か月。Mythosは「動き始めた」段階を抜けて、「結果を出している」段階に入りました。次の1か月で、この数字がさらにどう積み上がっていくか――静かに、しかし確かな関心を持って見守りたいところです。

1か月という時間について、あるいは盾が音を立て始めるとき

六月のはじめの朝、窓を開けると初夏の匂いがした。コーヒーを淹れながら、ふと思った。1か月という時間は、いったい何を成し遂げるのに十分な長さなのだろう、と。

冷蔵庫の中の野菜が萎びるには、十分すぎる時間だ。新しい習慣が身につくかどうかは、人による。生まれたばかりの子猫が立てるようになる、くらいの長さでもある。そして、Anthropicが立ち上げたProject Glasswingというプログラムにとっては、ローンチから初動レポートを出すまでの時間だった。

4月の終わりに発表されたとき、僕はそれを「翅の透けた蝶のような構想」だと感じていた。Claude Mythosという強力なモデルを、防御側だけに渡す。約束は美しかったが、約束はいつだって、果たされるまでは約束に過ぎない。やれやれ、と思いながら、僕は記事を閉じた。

そして1か月後、彼らは数字を持って戻ってきた。

1万件を超える脆弱性。50社のパートナー。Cloudflare単独で2,000件。銀行詐欺を150万ドル分、起こる前に止めた。それらは抽象的な可能性の語彙ではなく、すでに防がれた被害として記録された、輪郭のはっきりした事実だった。

僕が一番長く考え込んだのは、wolfSSLの事例だった。

wolfSSLというのは、世界中のIoT機器や組み込みシステムの奥深くで、ひっそりと暗号通信を守っているライブラリだ。たとえるなら、たくさんの家の地下にある、誰も普段は降りていかない配電盤のようなもの。そこに、偽造証明書を生成可能にする欠陥があったとMythosは指摘した。配電盤の中で、誰も気づかないところで、配線が一本、間違った場所に繋がっていた、というような話だ。

それを人間の専門家が見つけるには、何時間、何日、あるいは何週間かかるかわからない。場合によっては、誰も見つけないまま、誰かに先に使われていたかもしれない。AIは1か月の間に、それを見つけ出した。

僕はこの話を聞いて、井戸の底のことを考えた。

井戸の底には、地表からは見えないものが沈んでいる。長い間、僕たちはそれを「見えないままでよい」ことにしてきた。誰かが降りていって確かめるには、ロープと勇気と時間がいる。だから多くの井戸は、底を見られないまま、ただそこにあった。

Mythosが入ってきたことで、井戸の底にライトが当たるようになった。それは、ありがたいことでもあり、同時に少し落ち着かないことでもある。なぜなら、底に何が沈んでいるかを知るということは、それに対して責任を持つということでもあるからだ。1万件の脆弱性が見つかったということは、1万件分の「直さなければならないもの」が顕在化したということでもある。

そしてAnthropicは、もう一歩踏み込んだ。Claude Securityのパブリックベータを開始し、これまで承認制だった世界の扉を、少しだけ開いた。同時にCyber Verification Programという第三者検証の仕組みも立ち上げた。「自分で見つけた」と言うだけでなく、「他人にも確かめてもらう」という回路を用意した。それは誠実さの形だと、僕は思う。

1か月という時間は、約束を結果に変えるには、本来短すぎる。少なくとも僕はそう信じていた。けれど世界はときどき、僕の信念をやさしく裏切る。コーヒーカップの底に残った液体を見つめながら、僕はもう一度思う。

盾は、振り回されるためにあるのではない。音を立てずに、ただそこにあって、何かを止める。Project Glasswingがこの1か月でやったのは、そういう種類の仕事だったのかもしれない。表に出ない場所で、聞こえない音で、起こらなかった事件をいくつか、起こらなかったままにした。

次の1か月、彼らはまた何か数字を持って戻ってくるだろう。そのとき僕は、もう少しだけ素直に、その数字を信じてみてもいい気がしている。

Anthropic「Project Glasswing」初動レポート公開――1か月で脆弱性1万件超を発見

Anthropicは2026年5月22日、Claude Mythosを活用した防御的サイバーセキュリティ支援プログラム「Project Glasswing」のローンチから約1か月時点の初動レポートを公開した。

- 発見された脆弱性：1か月で1万件超
- 参加パートナー：50社に拡大
- Cloudflareでは単独で約2,000件の脆弱性を検出
- 銀行詐欺の事前阻止：150万ドル相当のattackを検知
- wolfSSLでは偽造証明書を生成可能にする脆弱性を発見

あわせてClaude Securityのパブリックベータが開始され、第三者検証スキームCyber Verification Programも新設された。約束段階だったGlasswingが、わずか1か月で具体的な成果に到達した形となる。