AnthropicのMythosが数万件の脆弱性を発見、年季の入った「20年物バグ」も

　Anthropicが2026年5月22日に公開した報告によると、同社は同年2月より主要IT企業やセキュリティ機関と連携する防衛アライアンス「Project Glasswing」の一環として、Claude Mythos Previewを用いたOSSの脆弱性スキャンを実施した。調査対象にはnginx、jq、MapServer、wolfSSLなどの重要プロジェクトが含まれ、計2万3019件の脆弱性候補を特定した。

　発見された脆弱性は外部のセキュリティ調査会社と連携して優先順位が付けられ、重大または高レベルと評価されたものが各ソフトウェアのメンテナーに直接報告されている。5月22日時点で、281のプロジェクトに対して1596件の脆弱性が通知された。このうち1451件がメンテナーによって実際に承認されたものの、修正パッチが提供されたのはわずか97件にとどまり、88件にCVE（共通脆弱性識別子）またはGHSA（GitHub Security Advisory）が割り当てられる結果となった。


中にはMozilla Firefoxの「XSLT処理エンジン」に20年間潜伏していた「Use-After-Free（解放後使用）」と呼ばれる深刻なメモリ関連の脆弱性など「20年物のバグ」も発見されている。世界で最も厳しく監視されているソフトウェアの一つであるFirefoxにおいて、過去20年間にわたる人間の専門家による手動のコード監査や、従来の自動化テスト（ファジング）による数百万時間の検証をすべてすり抜けており、人間の認知による脆弱性対策の限界が浮き彫りになっている。

　パッチの提供数がこれほど限定的である最大の要因は、独立した人間のエンジニアによるトリアージやレビューのプロセス、および安全な修正プログラムの設計に膨大な時間を要するためである。従来は未知の脆弱性を発見すること自体がセキュリティ対策における最大の障壁とされていた。しかし、AIの自律的かつ大規模な探索能力によってその前提は崩れ去り、現在では膨大な報告を処理する人間側の対応能力の限界が新たなボトルネックとして立ちはだかっている。

　事態の急激な進行を受け、一部のソフトウェアメンテナーはパッチ作成の時間を確保するため、Anthropicに対して脆弱性の開示ペースを意図的に遅らせるよう要請する事態に発展している。同モデルを自社の脆弱性検知パイプラインに導入したMozillaのFirefox開発チームも、単月で過去15カ月分を上回る423件のセキュリティバグの修正作業に追われた。高度なサイバー攻撃への転用リスクや社会インフラへの影響の大きさを重く受け止め、Anthropicは現時点でClaude Mythos Previewの一般公開を予定していない。