Project Glasswing解説｜Mythosのゼロデイ発見力

Firefoxだけで271件のゼロデイ脆弱性。OpenBSDに27年間潜んでいたバグ。FFmpegのテストスイートが500万回実行しても見つけられなかった欠陥。2026年4月、Anthropicが公開したClaude Mythos Previewは、セキュリティの常識を根底から揺さぶる結果を叩き出した。

この能力を「防御」に使う枠組みがProject Glasswingだ。AWS、Apple、Google、Microsoft、CrowdStrikeなど12社が参加し、重要ソフトウェアのゼロデイを先回りで潰す。Anthropicは1億ドル（約155億円）のモデル使用クレジットを拠出し、さらに約40の追加組織にもアクセスを開放する計画を明かしている。

Glasswingの公開情報とAISI（英国AI安全機関）の評価レポートを突き合わせ、参加企業の思惑からセキュリティエンジニアのキャリア影響まで掘り下げた。

Project Glasswingとは何か

結論から言うと、Project Glasswingは「AIの攻撃能力を防御側が先に使う」という発想の転換だ。Claude Mythos Previewはあらゆる主要OSとブラウザで数千件のゼロデイを発見できる。この能力を攻撃者に渡す前に、ソフトウェアの開発元が自ら脆弱性を潰す――それがGlasswingの骨子になる。

背景にある「Glasswingパラドックス」

セキュリティ業界では「Glasswingパラドックス」と呼ばれる構造的ジレンマが議論されている。すべてを壊せるAIが、すべてを直せるAIでもある。鍵師が泥棒の手口を知っているからこそ耐タンピング錠を設計できる――構造としてはそれに近い。Picus Securityが指摘するとおり、Mythosクラスのモデルが一般公開されれば攻撃側のコストは劇的に下がる。防御側が先にアクセスを得ることに意味がある理由だ。

プロジェクトの基本構造

Claude Mythosの基本スペックと非公開の理由を先に押さえておくと、Glasswingの設計意図がより明確に見える。

Claude Mythosの脆弱性発見能力――数字で見る実力

Firefox 271件、OpenBSD 27年物、FFmpeg 16年物。数字だけ見ると衝撃的だが、冷静にベンチマークデータを並べると「何がどこまでできるのか」の輪郭がはっきりする。

主要ベンチマーク結果

従来ツールとの決定的な差

FFmpegの16年物バグが象徴的だ。当該コード行をファジングツールは500万回以上テストしていた。それでも見つからない。機械的な入力パターン生成では到達できない「コンテキストを理解した上での脆弱性推論」がMythosの強みだ。

静的解析ツール（SonarQube等）は構文パターンで検知する。対してMythosはコードの意味を読み取り「この状態遷移で整数オーバーフローが起きる」と推論する。アプローチの次元が違う。

Mythosは20ガジェットのROPチェーン（FreeBSD向け）を自動構築し、4つの脆弱性を連鎖させてブラウザサンドボックスを脱出した。人間のセキュリティ研究者が数週間かける作業を数時間で終わらせた計算になる。

参加企業12社の顔ぶれと狙い

Glasswingの参加リストを見ると、競合関係にある企業が同じテーブルについている。AWS、Apple、Google、Microsoftが同時に名を連ねるプロジェクトはセキュリティ分野でも珍しい。

ローンチパートナー一覧

競合がなぜ手を組めるのか

ゼロデイ脆弱性は攻撃者にとって「共通のインフラ」を狙う武器になる。OpenSSLの脆弱性はAWSにもAzureにもGCPにも影響する。個社で防御するより、発見段階で共有したほうが全員のリスクが下がる。Glasswingは「防御はゼロサムゲームではない」という前提の上に成り立つ。

加えて約40の追加組織も参加を予定している。重要インフラを運営する企業が中心で、金融・通信・エネルギー分野からの参加が見込まれる。

実際に発見された脆弱性の中身

VulnCheckがCVE（共通脆弱性識別子）の追跡を公開している。Anthropicの研究者とProject Glasswingに帰属するCVEは、2026年5月時点で急速に増加中だ。

代表的な発見事例

2026年7月に予定される公開サマリーレポートでは、発見件数の全容・深刻度分布・修正率の推移が明らかになる。セキュリティ業界全体にとって、AIの実戦投入効果を測る最初の大規模データになる。

既存AIセキュリティツールとの違い

AI×セキュリティの領域にはすでにプレイヤーがいる。OpenAIのCodex Security、IBMのAutonomous Security、Microsoftのマルチモデルエージェントセキュリティシステムを並べて、Glasswingの位置づけを整理する。

違いは明確だ。Codex SecurityとIBM Autonomous Securityは「既知の脆弱性パターンを効率よく処理する」ツール。一方のGlasswingは「未知の脆弱性を発見する」ことに特化している。守備範囲が異なるため、競合というより補完関係に近い。

詳細はOpenAI Codex Security完全ガイドやIBM Autonomous Security解説を参照してほしい。

これらのツールが普及するほど、ツールを扱える人材の希少性は逆に上がる。年収データを見ると、その傾向がすでに数字に出ている。

AIセキュリティ人材への影響と年収データ

セキュリティエンジニアの平均年収は正社員で549万円、フリーランスなら月単価70.4万円（年収換算845万円）。Glasswingはこの数字を動かす。

需要が増える領域

修正率1%未満。この数字が意味するのは、AIが見つけた脆弱性の99%以上が今この瞬間も野ざらしだということだ。パッチを書ける人間が圧倒的に足りない。

年収への影響予測

求人データを調べてみると、変化はすでに始まっている。ロバート・ハーフの2026年年収ガイドでは、AIセキュリティ関連の求人が前年比30%以上増えた。フリーランス案件は月単価80万〜120万円帯が目立つ。「AI出力を人間がレビューする」ハイブリッド型の業務が主流だ。

Glasswingの登場で「AIを使いこなせるセキュリティエンジニア」の市場価値はさらに上がる。AIセキュリティエンジニアのキャリアパスとAIエンジニア転職ガイドも併せて確認してほしい。

技術的な仕組みと制限事項

AISI（英国AI安全機関）がMythos Previewを独自評価し、エキスパートレベルのタスクで「自律的な攻撃能力の閾値を超えた」と結論付けた。仕組みを見れば、この評価が大げさでない理由がわかる。

脆弱性発見のワークフロー

静的解析とどう違うか。末尾のコメントを見ると差が一目瞭然だ。

# Mythos脆弱性発見の概念的フロー（擬似コード）

1. ソースコード読み込み（対象モジュール全体）
2. コンテキスト理解（関数間の依存関係・状態遷移を推論）
3. 脆弱性候補の列挙（メモリ安全性・入力検証・状態管理）
4. エクスプロイト可能性の検証（攻撃パスの自動構築）
5. 重要度の自動評価（CVSSスコア相当の推定）
6. レポート生成（再現手順・修正案を含む）

# 従来の静的解析との差:
# - 静的解析: パターンマッチ → 既知の脆弱性パターンのみ検出
# - ファジング: ランダム入力 → コード行カバレッジに依存
# - Mythos: 意味理解 → 未知の脆弱性パターンを推論で発見

AISIの評価結果

AISIはMythos Previewのサイバー能力を独自に評価し、レポートを公開した。エキスパートレベルのタスクで73%の成功率。「自律的な攻撃能力の閾値を超えた」とAISIは結論付けた。CSA（Cloud Security Alliance）がこれを「自律攻撃閾値（Autonomous Offensive Threshold）」と名付け、AIセキュリティの新たなベンチマークとして業界に波紋を広げている。

制限事項と安全策

Mythosの封印を解くには4つの条件をくぐる必要がある。

• アクセス制限：パートナー企業と承認された組織のみ利用可能。APIの一般公開予定はない

• 出力フィルタリング：最も危険な出力（兵器化可能な情報）を検出・ブロックするセーフガードを開発中

• 暗号ハッシュによる事前記録：発見した脆弱性はパッチ前に暗号ハッシュで時刻証明。第三者が事後的に検証可能

• エンバーゴ制度：脆弱性情報はパッチがリリースされるまで非公開。90日ルール（業界標準）に準拠

もったいないと感じるのが、修正の自動化が今のところ対象外であること。Mythosは脆弱性を見つけてエクスプロイトまで作れるが、パッチの自動生成と検証はGlasswingのスコープに含まれていない。ここが次のフェーズの課題になるはずだ。

今後のロードマップ――一般公開はあるのか

Mythos Previewの一般公開は当面ない。次期Opusモデルに制限付きで組み込む構想は存在するが、完全な脆弱性発見能力が一般ユーザーに解放される日は2027年以前には来ないと考えておくのが妥当だ。

公開されているタイムライン

• 2026年7月頃：Project Glasswing公開サマリーレポート。発見件数・深刻度分布・修正率を公表

• 2026年下半期：追加パートナー（約40組織）への拡大。重要インフラ事業者が中心

• 時期未定：次期Claude Opusにセーフガード付きセキュリティ機能として統合。一般ユーザーは制限付きでセキュリティ解析を動かせるようになる見通し

日本企業への波及

Glasswingのローンチパートナーに日本企業は含まれていない。しかし、追加参加の約40組織には「重要インフラ運営者」が対象として挙がっており、金融・通信・エネルギー分野の日本企業にも打診が行われる可能性は高い。

NISCやIPAがGlasswingの招待リストに入るかどうかは、2026年下半期の追加参加40組織の顔ぶれを見れば明確になる。Anthropicは日本市場への展開を加速しており、動きは早いはずだ。

よくある質問

Project Glasswingは無料で使えるのか？

一般公開されていないため、個人での利用はできない。Anthropicのパートナー企業と承認された約40の追加組織のみがアクセスできる。1億ドル分のクレジットはAnthropicが負担するため、パートナー側の費用負担は現時点では不明。

Claude Mythosは一般のClaude APIから使えるのか？

使えない。Mythos Previewは通常のClaude API（Opus 4.7やSonnet 4.6）とは完全に分離されている。Claude Opus 4.7は一般利用可能だが、Mythosのセキュリティ特化能力は含まれていない。将来のOpusモデルにセーフガード付きで統合される可能性はあるが、時期は未定。

中小企業でもGlasswingの恩恵を受けられるか？

間接的には受けられる。GlasswingがLinux Kernel、Firefox、FFmpeg等のOSSの脆弱性を修正すれば、そのパッチは全ユーザーに提供される。ただし修正率が1%未満という現状を考えると、恩恵が実感できるまでには時間がかかる。中小企業がまずやるべきは、既存のセキュリティツール（Codex Securityなど）をCI/CDパイプラインに組み込むことだ。

攻撃者がMythosを手に入れたらどうなるのか？

Anthropicはこのリスクを「Glasswingパラドックス」として認識している。Mythos Previewを一般公開しないのはまさにこの理由だ。ただし、同等の能力を持つモデルが他のラボから登場する可能性は排除できない。CSA（Cloud Security Alliance）は、防御側が攻撃側より先にゼロデイを潰す「時間的優位」を確保することがGlasswingの本質的な狙いだと分析している。

セキュリティエンジニアの仕事はAIに奪われるのか？

奪われるのではなく、変わる。Mythosが自動化するのは「発見」のフェーズで、「評価・修正・運用」は人間の領域として残る。実際、Glasswingの修正率が1%未満にとどまっていることが、人間のパッチエンジニアの不足を浮き彫りにしている。AIが大量に脆弱性を見つける世界では、それを処理できる人材の価値がむしろ上がる。

まとめ

Project Glasswingは、AIの「壊す力」を「守る力」に転換する実験だ。Firefox 271件のゼロデイ、27年物のOpenBSDバグ、500万回のファジングを潜り抜けたFFmpegの欠陥。Claude Mythosの発見能力は従来のセキュリティツールの限界を明確に示した。

課題は修正率。1%未満。AIが見つけた脆弱性の99%以上が野ざらしのまま残っている。ボトルネックは人間の処理速度だ。

自分がいまセキュリティ×AI方面に転身するなら、優先するのは脆弱性トリアージのスキルだ。AIが大量に出力するCVEを人間がフィルタリングする業務は、2026年後半から大規模に発生する。ここに乗り遅れるのはもったいない。7月の公開レポートが、この領域の需要を一気に可視化するはずだ。

関連記事: Claude Mythosとは｜性能と非公開の理由 / AIセキュリティエンジニアのキャリアパス