あるAIモデルが、約30日間で主要なソフトウェアに10,000以上の高または重大な深刻度の脆弱性を発見しました。その一部のバグは、ほぼ30年間にわたり目立つ場所に隠れていました。
2026年4月7日にAnthropicがリリースしたProject Glasswingは、未公開のAIモデルであるClaude Mythos Previewを使用して、コードベースのセキュリティ上の脆弱性を自動的にスキャンします。
創造者を超えて生き延びたバグ
発見された数千の脆弱性のうち、その規模の馬鹿げたさで特に目立つのが二つあります。AIは、セキュリティを核とする哲学に基づいて構築されたOpenBSDオペレーティングシステムに27年前から存在するリモートクラッシュ脆弱性を特定しました。また、広く使用されているマルチメディアフレームワークであるFFmpegに、500万回以上の自動テストを回避し続けてきた16年前の脆弱性も検出しました。
このプロジェクトは、古いバグを発見しただけではありませんでした。すべての主要なオペレーティングシステムとウェブブラウザで、これまで知られていなかった数千のゼロデイ脆弱性が特定されました。
プロジェクトのパートナーであるCloudflareは、自社の内部協力から得られた具体的な数値を提示しました。同社は、この提携を通じて約2,000のバグを検出しており、そのうち400が高または重大な深刻度と分類されたと報告しました。偽陽性率は、従来の検出手法よりも顕著に低かったです。
これまでに、正式なCVE識別子を持つ脆弱性は1つだけ公に開示されています:CVE-2026-4747。
裏で活動するコンソーシアム
コアコンソーシアムパートナーには、AWS、Apple、Microsoft、Google、Cisco、CrowdStrike、NVIDIA、Palo Alto Networks、Broadcom、Linux Foundation、JPMorgan Chaseが含まれます。IBMは2026年5月19日にこのグループに参加しました。
Anthropicは、このプロジェクトに対して最大1億ドルのコンピュートクレジットを提供し、オープンソースのセキュリティグループに対して400万ドルの助成金を手配しました。明示的な目的は防衛的であり、AI駆動の攻撃ツールが見つける前に脆弱性を発見することです。