AnthropicがProject Glasswingを150機関に拡大｜Mythos AIが1万件超の脆弱性を発見—日本のセキュリティ企業が知るべき全貌

Anthropicは2026年6月2日、Claudeシリーズの最先端モデル「Mythos」をサイバーセキュリティ用途に特化して提供するプログラム「Project Glasswing」を、新たに15か国以上・150機関に拡大すると発表しました。初期の50機関に続く大幅な拡大で、電力・水道・医療・通信・ハードウェアメーカーなど重要インフラ分野が今回初めて参加対象に加わりました。参加機関はすでに1万件超の高・重大度の脆弱性を発見しており、AI主導の自律セキュリティ診断が現実の脅威対応ツールとして機能していることが示されています。

Project Glasswingとは何か

Anthropicが運営するAIサイバーセキュリティ研究プログラム

Project GlasswingはAnthropicが参加機関にMythosへのアクセスを提供し、重要システムの脆弱性を自律探索させる研究プログラムです。Anthropicは参加機関向けに1億ドル分の利用クレジットを提供しており、費用面での参加障壁を取り除いています。現時点で参加する主な組織にはAmazon・Apple・Microsoft・Google・NVIDIA・Linux Foundation・JP Morgan Chaseなど40以上の有力企業・団体が名を連ねています。

今回の拡大：重要インフラが対象に

今回の150機関追加では、初期展開で手薄だった分野が重点的に補完されました。

• 電力・水道：社会インフラを支えるOT（運用技術）システムの脆弱性診断
• 医療：患者データや医療機器の安全性確保
• 通信：ネットワーク基盤のゼロデイ脆弱性の早期発見
• ハードウェアメーカー：ファームウェアやチップレベルのセキュリティ強化

Mythosのサイバーセキュリティ能力

単なる脆弱性検出を超えた自律的なエクスプロイト生成

Claude Mythos Previewは主要OS・ブラウザを含むあらゆるシステムで高重大度の脆弱性を大量に発見できるとされています。注目すべきは、クローズドソース（配布バイナリのみ）の実行ファイルを逆アセンブルして元のソースコードを推定再構築できる点です。さらに、セキュリティ専門知識を持たないAnthropicのエンジニアがMythosに調査を依頼し、翌朝には完全に動作するRCE（リモートコード実行）エクスプロイトが提示されていた、という事例も報告されています。

EUサイバーセキュリティ機関ENISAへのアクセス合意が近づく

EUは数週間にわたりProject Glasswingへの参加を要望しており、欧州委員会スポークスパーソンがEU最高のサイバーセキュリティ機関ENISAへのMythosアクセス合意を確認しました。具体的な利用条件の交渉は継続中ですが、公的機関がMythosを脆弱性研究ツールとして正式に活用する方向性が国際的に定まりつつあります。

Mythosレベルのモデルは「数週間以内」に一般公開予定

Anthropicは「より高度な安全対策の開発において急速な進展があった」とし、Mythosクラスの能力を持つモデルを数週間以内に全ユーザーに提供する方針を表明しています。現在はProject Glasswing参加機関のみに限定提供されている技術が、近い将来に一般のセキュリティチームでも利用可能になる見通しです。

日本企業への影響とビジネス活用ヒント

• セキュリティチームはAI診断ツールの評価を今から始める：Mythosレベルのモデルが数週間以内に一般公開される予定であり、脆弱性診断・ペネトレーションテストへのAI活用が現実的な選択肢になります。これまで外部の診断会社に委託していた作業の一部を、AI支援で内製化できる可能性を今から検討しておくことを推奨します。
• 重要インフラ事業者は自社システムの先行点検を：電力・水道・医療・通信分野がProject Glasswingの対象に加わったことは、日本の重要インフラ事業者も同様のAI自律診断の波に備える段階に来ていることを示しています。特にOTシステムやレガシー機器の脆弱性管理が急務です。
• ENISAの参加は日本の政策議論にも波及する可能性：EU公的機関がMythosを正式なセキュリティ研究ツールとして認める方向性は、日本の経産省・NISC・JPCERTなど政府機関がAI脆弱性診断を制度面で議論する動きにつながると見られます。日本企業も規制動向を注視することが重要です。