.png&w=96&q=75){kind=small}
Anthropicは、重要ソフトウェアを安全にするための取り組み「Project Glasswing」を拡大すると発表した。初期パートナー約50組織がClaude Mythos Previewを使ってコードベースを調査し、これまでに1万件を超える高または重大な深刻度のセキュリティ欠陥を見つけたという。
今回の拡大では、約150の新組織が対象になる。電力、水道、医療、通信、ハードウェアなど、初期段階では十分に代表されていなかった重要インフラ領域も含まれる。AIが脆弱性発見を高速化するなら、防御側の運用も同じ速度で変わる必要がある。
Project Glasswingの狙い
Anthropicは、強力なサイバー能力を持つ安価で高速なAIモデルが近づいているとし、組織がその現実に合わせた運用規範へ移ることを促す狙いを説明している。AIが攻撃側にも防御側にも使われるなら、重要なのはモデルを持つことだけでなく、発見、開示、修正、展開までのプロセスを回せるかだ。
段階 | 従来の課題 | AI活用後の注意点 |
|---|---|---|
発見 | 人手のレビューに時間がかかる | 大量の候補をどう優先順位付けするか |
トリアージ | 深刻度判断が属人化する | 誤検知・過検知を人間が検証する |
修正 | パッチ作成と影響確認が遅い | AI生成パッチの副作用をテストする |
展開 | 本番反映までの調整が重い | 変更管理と監査証跡を残す |
Claude Securityとの接続
同社は、最新の公開フロンティアモデルを使ってコードベースをスキャンし、パッチを提案する「Claude Security」も紹介している。Project Glasswingで培ったツールを、信頼されたセキュリティチーム向けに提供する方針も示された。
これは、AIセキュリティが「脆弱性を見つけるデモ」から、実際のソフトウェア供給網を守る運用へ向かっていることを示す。特に、OSSメンテナーや多くの組織に利用されるベンダーのコードベースでは、一つの脆弱性が広範囲に波及する。
日本企業への示唆
まず、自社が直接書くコードだけでなく、依存ライブラリ、SaaS連携、委託開発、組み込み機器まで含めて、どこに重要コードがあるかを棚卸しする必要がある。次に、AIが出した指摘を誰が確認し、どの基準で修正優先度を決めるかを決めておくべきだ。
AIは防御側に大きな力を与える一方、攻撃側の探索速度も上げる。セキュリティ部門だけで抱え込まず、開発、法務、広報、経営が参加するインシデント対応訓練へAI由来の脆弱性発見を組み込むことが現実的な第一歩になる。
.png&w=384&q=75)
