Anthropic「Project Glasswing」とは？AIがLinuxカーネルの脆弱性を自律発見するサイバーセキュリティ構想

 「AIがハッカーより強くなったら、どうなるのか」
この問いに、Anthropicが2026年4月7日、具体的な答えを突きつけました。

「Project Glasswing（プロジェクト・グラスウィング）」——Linuxカーネル、Firefox、OpenBSDといった世界中で使われるソフトウェアの脆弱性を、AIが自律的に発見するサイバーセキュリティ構想です。

AWS、Apple、Google、Microsoft、Linux Foundationなど11の大手企業・団体が参加し、AIを「防衛側」として活用する歴史的な取り組みがスタートしました。

Project Glasswingとは何か

Project Glasswingは、Anthropicが2026年4月7日に発表したサイバーセキュリティ構想です。

名前の「グラスウィング（Glasswing）」は透明な翼を持つ蝶の一種で、「見えないところにも存在する」というニュアンスを持ちます。ソフトウェアの奥深くに潜む見えない脆弱性を発見する、というプロジェクトの目的を表したネーミングです。

このプロジェクトの核心にあるのは、Anthropicが独自に開発した未公開のAIモデル「Claude Mythos Preview」です。このモデルは、ソフトウェアの脆弱性を発見・悪用する能力において「最上位の一握りの人間を除き、すべての人間を上回る」とAnthropicが説明しています。

つまり、AIが世界最高水準のセキュリティ研究者に匹敵する、あるいはそれを超える能力でソフトウェアを精査できるということです。

Claude Mythos Previewが発見した脆弱性：具体例

プロジェクト発表前の調査段階で、Claude Mythos Previewはすでに数千件の高リスク脆弱性を発見しています。その中でも特筆すべき事例を見てみましょう。

27年間見逃されていたOpenBSDの欠陥

OpenBSDはセキュリティを最優先に設計されたことで知られるUNIX系OSです。セキュリティ研究者が長年にわたって精査し続けてきたにもかかわらず、Claude Mythos Previewは「27年間気づかれなかった脆弱性」を発見しました。

この欠陥を悪用すると、外部から単純な接続要求を送るだけでシステムをクラッシュさせることができるといい、リモートからのサービス妨害（DoS攻撃）に悪用される可能性があります。

FFmpegに16年間潜んでいた脆弱性

FFmpegは動画・音声の変換・処理に広く使われるオープンソースツールで、Linux環境でも多くのシステムに組み込まれています。このFFmpegに、16年間検出されなかった脆弱性が存在していました。

驚くべきことは、この脆弱性は自動テストツールで500万回以上の検査が行われても発見されなかったという点です。AIによる解析が従来の自動化手法をはるかに超える能力を持つことを示す、象徴的な発見です。

Linuxカーネルの複数脆弱性チェーン

Claude Mythos PreviewはLinuxカーネルの中でも複数の脆弱性を自律的に特定しました。さらに重要なのは、それらの脆弱性を「組み合わせる」方法を自律的に発見した点です。

一般ユーザー権限から始め、複数の脆弱性を連鎖的に利用することでシステム全体の制御権を奪う「権限昇格」への道筋を示しました。これは一般的な自動スキャンツールが苦手とする複合的な攻撃パターンの発見であり、AIならではの成果といえます。

Firefoxのエクスプロイト成功率：72.4%

Firefoxに存在する既知の脆弱性に対して、Claude Mythos Previewは実際に攻撃可能なエクスプロイト（攻撃コード）を72.4%の成功率で自律生成しました。これは高度なセキュリティ研究者でも時間がかかる作業を、AIが自律的に行えることを示しています。

参加企業・団体と出資規模

Project Glasswingには、グローバルのテクノロジー企業と金融機関、オープンソース財団が参加しています。

参加企業・団体（初期メンバー）

• Amazon Web Services（AWS）
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorgan Chase
• Linux Foundation
• Microsoft
• NVIDIA
• Palo Alto Networks

この11組織に加え、重要インフラを管理する40以上の追加企業・オープンソースプロジェクトへのアクセス拡大が予定されています。

出資規模

Anthropicはプロジェクト推進のために以下の資金を投じています。

• 参加組織向けにClaude Mythos Previewの利用クレジット最大1億ドル相当を提供
• Alpha-OmegaとOpenSSF（オープンソースセキュリティ財団）に250万ドルを寄付
• Apache Software Foundationに150万ドルを寄付

合計で1億400万ドル以上の資金がオープンソースとサイバーセキュリティの強化に投じられる計算です。

Claude Mythos Previewの技術的な位置づけ

Claude Mythos Previewは、Anthropicの既存モデル（Claude Sonnet、Claude Opusなど）とは別に開発された特化型モデルです。

コーディングエージェントタスク、推論能力、PC自動化といった複数の領域で従来モデルを大幅に上回る性能を持つとされています。

ただし、Anthropicはこのモデルの一般公開を予定していません。理由は明確で、「悪意ある利用が不可避である以上、防衛側が先に準備できる期間を確保する必要がある」という判断からです。

参加企業向けのアクセスは主要クラウドプラットフォーム経由で提供され、Project Glasswingメンバーに限定される形となっています。

LinuxエンジニアとIT管理者への影響

このプロジェクトがLinuxを使う現場のエンジニアや管理者にとって持つ意味を整理しておきましょう。

オープンソースの安全性が向上する

Linux Foundationや各種オープンソース財団への参加・資金提供により、Linuxカーネルやよく使われるOSSライブラリの脆弱性が従来より早く、深く精査されるようになります。

これまで数年〜数十年気づかれなかった脆弱性が、今後は発見・修正のサイクルが大幅に短縮される可能性があります。

パッチ対応の重要性がさらに高まる

AIによる脆弱性発見が進む一方で、発見された脆弱性の情報が共有されるスピードも上がります。これは攻撃者側も同じ情報を得るリスクを意味します。

システム管理者にとっては、セキュリティパッチの適用を迅速に行うことがより重要になります。「後でやろう」では間に合わない時代が近づいています。

AIによる脆弱性診断が標準化される可能性

Project GlasswingはAnthropicの単独プロジェクトではなく、業界横断の取り組みです。AWS・Google・Microsoftといったクラウド大手が参加することで、クラウド上でのセキュリティ診断にAIが組み込まれていく可能性があります。

将来的には、LinuxサーバーのセキュリティスキャンにAIが使われることが当たり前になるかもしれません。

まとめ：AIがセキュリティの「守り手」になる時代

Project Glasswingは、AIの強力な能力を「攻撃ではなく防衛」に活かすという、業界全体での合意形成の試みです。

Claude Mythos Previewがすでに発見した成果——27年物のOpenBSD脆弱性、16年間スキャンをすり抜けたFFmpegの欠陥、Linuxカーネルの権限昇格チェーン——は、AIによる脆弱性発見が人間の専門家の能力を現実に超えつつあることを示しています。

Linuxを使うエンジニアにとって、このプロジェクトは「自分たちが使うソフトウェアがより安全になる」という直接的な恩恵をもたらします。

同時に、AIが発見した脆弱性に対するパッチ対応のスピードがこれまで以上に求められる時代に突入することも意味します。セキュリティアップデートの習慣化と、自分が使うソフトウェアのセキュリティ情報を追い続ける姿勢が、これからのLinuxエンジニアには欠かせません。

---

• この記事の属するカテゴリ：へ戻る