日立も参画、アンソロピックのAI防衛「Project Glasswing」がもたらす新常識

AIが脆弱性を見つける時代が来た

　製造業の情報システム部門や生産技術部門では、ある日突然、膨大な脆弱性情報に追われることがある。利用しているソフトウェアの修正版が出た、工場の端末に古いOSが残っている、リモート保守用の接続経路が想定より広かった、外部委託先から緊急の通知が来た、といった事象だ。担当者は1つひとつ影響を確認し、現場に止められる時間を聞き、週末のパッチ適用に向けて関係者を集める。

　しかし、これからはその前提が大きく変わる。人間が脆弱性情報を待つのではなく、AIがソースコードや設定を読み、攻撃につながる弱点を自ら探しに行く時代に入ったからだ。

　米アンソロピックは6月2日、AIを活用したサイバーセキュリティプログラム「Project Glasswing」の拡大を発表した。初期パートナーは「Claude Mythos Preview」を使ってコードベースを調べ、合わせて1万件を超える高・重要度の脆弱性を見つけたという。クラウドフレアでは重要システムで2000件のバグを見つけ、そのうち400件が高・重要度だったとされる。

　これは単なるAI活用事例ではない。防御側の仕事の重心が、弱点を「探す」ことから、見つかった弱点を「どれからいち早く直すか」に移り始めたことを意味する。

　すでにその兆しは出ている。MozillaはClaude Mythos PreviewのテストでFirefox 150の271件の脆弱性を見つけ、修正した。すべてが致命的な脆弱性というわけではなく、公表されたCVEにClaudeが明示的にクレジットされたものは3件にとどまる。それでも、AIが大規模ソフトウェアの弱点発見を大きく加速させた事実は重い。

　この流れが製造業に及べば、影響はさらに深刻になる。工場、電力、鉄道、ビル、産業機器は、ソフトウェアだけでなく物理世界と直結している。脆弱性対応の遅れは、情報漏えいだけでなく、生産停止や品質不良、事故につながる。

　今問われているのは、AIが脆弱性を見つけられるかどうかではない。AIが見つけた弱点を、企業が本当に直せる組織になっているかどうかなのだ。

日立が得るClaude Mythosの実力

　日立は6月5日、米アンソロピックが推進するProject Glasswingに参画する契約を締結したと発表した。日立はClaude Mythos Previewへのアクセス権を得て、エネルギー分野をはじめとする社会インフラ向けソフトウェアやプロダクト自体のサイバーセキュリティ強化に活用する。


　ここで重要なのは、日立が単に生成AIを社内業務に使うわけではない点だ。日立のCyber CoEは、Mythosを使い、日立が開発・保守する社会インフラ向けソフトウェアの脆弱性の特定と修正に取り組む。つまり、AIを文章作成や問い合わせ対応に使う段階を超え、社会インフラを支えるコードそのものに向き合わせるのである。

　日立は、IT、OT、プロダクトから得られるデータと、110年以上にわたり培ってきたドメインナレッジを融合し、フィジカルAIの社会実装を進めると説明している。AIが現場やインフラに深く入り込むほど、高い安全性と信頼性が不可欠になるという認識も示した。

　これは、生成AIブームの華やかな話とはまったく性質が違う。止めてはいけない設備、更新が難しい制御システム、長期間使われる産業機器を前提に、AIをどう防御に使うかという泥臭い実務の話である。

　米アンソロピックは6月9日、Claude Fable 5とClaude Mythos 5を発表した。Mythos 5はFable 5と同じ基盤モデルだが、サイバー分野の一部セーフガードを外したモデルとされる。提供先はProject Glasswingの参加者などに限られ、一般公開モデルではない。同社はMythos 5について、世界で最も強いサイバーセキュリティ能力を持つモデルだと位置付けている。

　ただし、AIが見つけた脆弱性をそのまま信じればいいわけではない。アンソロピック自身も、外部のセキュリティ企業や人間の専門家が再現し、深刻度を再評価し、保守者に報告する工程を説明している。AIは発見を加速するが、修正判断を完全に肩代わりするわけではない。

　日立が得る本当の価値は、AIの「発見力」そのものよりも、発見から検証、修正判断までの速度を上げることにある。社会インフラ企業にとって、この速度こそが競争力であり、防衛力になるのだ。

【次ページ】製造業を狙うOTリスクの深刻度