.png&w=96&q=75){kind=small}
Anthropicは、重要ソフトウェアの防御を目的とするProject Glasswingを拡大し、約150の新規組織へ対象を広げると発表した。対象には電力、水道、医療、通信、ハードウェアなど、社会基盤に関わる組織やベンダーが含まれる。
同社によると、初期パートナーはClaude Mythos Previewを使ってコードベースをスキャンし、これまでに1万件超の高・重大度脆弱性を発見した。AIが攻撃にも防御にも使われるなか、脆弱性を見つけるだけでなく、修正・検証・開示までをどう回すかが新しい課題になっている。
Project Glasswingの狙い
論点 | 内容 | 実務上の意味 |
|---|---|---|
対象 | 重要インフラや広く依存されるソフトウェア | 一社の脆弱性が多数の組織に波及する |
規模 | 約150組織、15カ国超へ拡大 | 国境をまたぐ防御体制が必要 |
能力 | 脆弱性検出、パッチ提案、事前チェック | セキュリティレビューを開発工程に近づける |
制約 | 強力なサイバー能力の悪用防止 | アクセス管理とセーフガードが前提になる |
AIで「見つかりすぎる」問題
AIによる脆弱性検出が進むと、発見そのものよりも、検証、優先順位付け、開示、修正、展開がボトルネックになる。Anthropicも、Mythos級モデルが多数の脆弱性を表面化させる一方で、それを安全に処理する制度や運用が追いつく必要があると説明している。
これは日本企業にも直接関係する。AIセキュリティツールを導入しても、検出結果を誰が確認し、どのSLAで修正し、取引先や顧客にどう通知するかが決まっていなければ、アラートが積み上がるだけになる。
防御側のAI活用はガバナンス込みで考える
Project Glasswingは防御目的の取り組みだが、同じ能力は攻撃にも転用され得る。だからこそ、アクセスできる組織の審査、利用ログ、モデルの制限、結果の共有ルールが重要になる。AIを使ったセキュリティ強化は、ツール導入ではなく運用体制の再設計だ。
企業が今から準備すべきことは明確だ。重要システムのコード資産を棚卸しし、依存ライブラリを把握し、AIが出した脆弱性指摘を人間が検証する流れを定めること。攻撃側がAIで速くなるなら、防御側も検出から修正までのリードタイムを短くする必要がある。
.png&w=384&q=75)
