AnthropicがProject Glasswingを150機関超に拡大｜Claude MythosがOS・ブラウザの重大脆弱性1万件超を発見—日本のサイバーセキュリティ担当者が押さえるべき3点

Anthropicは2026年4月7日、AIの攻撃的サイバー能力と同水準以上の防御能力を持つとされる「Claude Mythos Preview」を、AWS・Apple・Google・Microsoft・NVIDIA・CrowdStrike・JPMorganChase・Linux Foundation・Cisco・Palo Alto Networksなど約50機関に限定提供する防御サイバーセキュリティプログラム「Project Glasswing」を開始しました（出典：Anthropic公式・HPCwire）。1か月後の初回レポートでは1,000以上のオープンソースプロジェクトで2万3,000件超の脆弱性が検出され、90.6%が独立サンプリングで実在を確認されています（出典：Anthropic公式）。2026年5月26日には参加機関をさらに150機関超追加し、クリティカルインフラ事業者への展開も開始したことが明らかになりました（出典：Cybersecurity Dive）。

何が起きたか

Project Glasswingとは—AIが「人類最高水準」に匹敵するゼロデイ発見能力を実証

Project Glasswingは、AIが攻撃的なサイバー能力を人類最高水準で実行できる段階に達したという認識のもと、その能力を防御にのみ用いる枠組みとしてAnthropicが設計したプログラムです（出典：Anthropic公式）。Claude Mythos Previewは未発表のフロンティアモデルで、ゼロデイ脆弱性の発見とそのエクスプロイトの自律的な生成能力を持ちます（出典：HPCwire）。参加機関はすべて事前審査を経た組織に限定され、クローズドな環境での防御目的のみの利用が義務付けられています（出典：Anthropic公式）。Anthropicは「現時点でいかなる企業も—当社を含め—この種のモデルの悪用を防ぐ十分なセーフガードを開発していない」と自ら明言しており（出典：HPCwire）、厳格な管理体制のもとで進められています（出典：Anthropic公式）。

発見された脆弱性の規模—主要OS・ブラウザを含む1万件超が高・重大severity

初回レポートおよびその後の報告を合算すると、1,000以上のオープンソースプロジェクトで検出された脆弱性のうち高・重大severityは1万件超、独立検証で真陽性と確認されたものが1,726件、そのうち高・重大severityと評価されたものが1,094件に達しています（出典：Anthropic公式・Help Net Security）。対象にはすべての主要オペレーティングシステムおよびウェブブラウザが含まれており（出典：The Hacker News）、日本企業が日常的に利用するWindowsやmacOS、Chrome・Firefoxのような製品にも影響を及ぼす脆弱性が含まれている可能性があります（推測）。発見された脆弱性は参加機関が各ソフトウェアベンダーへ責任ある開示（Responsible Disclosure）を行う形で対処が進められていると見られます（推測）。

150機関超への拡大—クリティカルインフラ事業者が新たに参加

Anthropicは2026年5月26日、Project Glasswingの参加機関をさらに150機関超追加したと発表しました（出典：Cybersecurity Dive）。新たに加わった機関にはエネルギー・電力・通信・交通などのクリティカルインフラ事業者が含まれており（出典：Cybersecurity Dive）、AIを使った大規模脆弱性スキャンが社会インフラを守る実用的な手段として機能し始めていることが示されています（推測）。参加機関の合計は当初の50機関から200機関超になったと見られ（推測）、2026年後半には成果が公開レポートとしてまとめられる可能性があります（推測）。

日本への影響・ビジネス活用ヒント

• パッチ管理プロセスを今すぐ見直し、OSとブラウザの更新を最優先にする：Claude MythosがすべてのメジャーOSとブラウザに脆弱性を発見したという事実は（出典：The Hacker News）、日本企業の社内端末・サーバーにも未パッチの重大脆弱性が残存している可能性を示唆します（推測）。まず自社の資産管理ツールでOS・ブラウザのバージョン分布を確認し、EOL（サポート終了）製品や更新が遅れている端末を洗い出すことを推奨します（推測）。Project Glasswingの成果として公開されるCVE情報をウォッチし、優先パッチ適用の判断基準に組み込むことが重要です（推測）。
• AIを活用したセキュリティ診断ツールの導入を本格的に検討する：Project Glasswingが示すのは「AIが人間の最高水準のセキュリティ専門家を超える速度・規模でゼロデイを発見できる」という事実です（出典：Anthropic公式）。Claude Mythos Previewそのものは限定機関のみ利用できますが（推測）、AIを活用したSAST（静的解析）・ペネトレーションテスト支援ツールはすでに商用提供が進んでいます（推測）。年次または四半期ごとのペネトレーションテストを、AI補助ツールを組み合わせた継続的スキャンへ移行することを検討する好機です（推測）。
• サプライチェーンセキュリティの観点でオープンソース依存を棚卸しする：今回の脆弱性は1,000以上のオープンソースプロジェクトで発見されており（出典：Anthropic公式）、Webフレームワーク・ライブラリ・ミドルウェアなど日本企業のシステムが依存するOSSコンポーネントにも潜在リスクが含まれる可能性があります（推測）。SCA（ソフトウェア構成分析）ツールを導入し、自社プロダクトや社内システムが依存するOSSの脆弱性情報を継続的に監視する体制を整備することを推奨します（推測）。Project Glasswingから派生した開示情報がNVD（米国国家脆弱性データベース）等に掲載された際に迅速に対応できる仕組みを今から準備しておくことが重要です（推測）。