🛡️ AIがゼロデイ脆弱性を数千件見つけた衝撃｜Project Glasswingが変えるサイバーセキュリティの常識

目次

• 「数千件のゼロデイ」って聞いて、背筋が凍った
• そう考える3つの理由
  • 10年以上気づかなかった脆弱性をAIが見つけてしまう時代
  • 守る側だけに使える保証はどこにもない
  • Apple・Microsoft・Googleが「協力せざるを得なかった」重み
• まとめ：最強の盾は最強の矛でもある

---

「数千件のゼロデイ」って聞いて、背筋が凍った

昨日飛び込んできたAnthropicの「Project Glasswing」のニュース、正直いって衝撃がすごかった。

わたし、セキュリティ系のニュースは普段からけっこう追いかけてるんだけど、「AIが数千件のゼロデイ脆弱性を発見した」って聞いたときは、一瞬「え、それ守る側の話？攻める側の話？」ってなったんだよね。

結論から言うと、これは守る側の話。AnthropicがClaude Mythosっていう最新のフロンティアモデルを、サイバーセキュリティの防御に特化させて展開する「Project Glasswing」っていうイニシアチブの一環で発見されたもの。

でもこのニュース、単純に「AIがセキュリティを強化してくれてすごい！」で終わる話じゃないと思ってる。

SNSでは「Anthropicすごい」「これでハッキングが減る」みたいなポジティブな反応が多いんだけど、わたし的にはもっと複雑な感情がある。

だってさ、数千件のゼロデイって…今まで誰にも見つからなかったバグが、AIを使えばこんなに大量に出てくるってことでしょ？

それって裏を返せば、悪意のあるAIが同じことをしたら、今のインターネットのセキュリティって全部崩壊するんじゃないの？ってことだよね 😨

Fortuneの報道によると、Mythos Previewが見つけた脆弱性の多くは「1〜2decade前から存在していた」もの。つまり、人間のセキュリティ研究者が何十年もかけて見逃してきたものを、AIがわずか数週間で洗い出したってこと。

これは技術的にはすごいことだけど、わたしたちの社会がどれだけ脆弱な基盤の上に成り立ってたかを突きつけられた瞬間でもあるよね。

毎日使ってるOS、ブラウザ、アプリ…全部に未知の穴があったってことだから。

---

そう考える3つの理由

10年以上気づかなかった脆弱性をAIが見つけてしまう時代

まず、この発見のスケール感について整理しておきたい。

「ゼロデイ脆弱性」っていうのは、ソフトウェアの開発者すら知らない、つまりパッチ（修正プログラム）がまだ存在しないセキュリティの穴のこと。これが見つかると、悪用される可能性がある。

通常、プロのセキュリティ研究者が1件のゼロデイを見つけるのに数週間から数ヶ月かかることもざらなんだよね。それをMythos Previewは「数千件」発見した。

TechCrunchによると、Mythosはサイバーセキュリティ専用に訓練されたわけじゃなくて、コーディングと推論能力が優れた汎用モデルが、結果としてセキュリティの穴を見抜く能力を持っていたってこと。

これ、めちゃくちゃ重要なポイントだと思う。

世間では「セキュリティ特化AIすごい」って話になりがちだけど、わたしの考えはちょっと違って。「汎用的に頭が良くなったAIが、副産物としてセキュリティの脆弱性も見つけてしまう」っていう事実の方がインパクトでかいんじゃないかな。

なぜかというと、これは特別なセキュリティツールじゃなくて、十分に高い推論能力を持つAIなら誰でもできる可能性があるってことだから。

実際、VentureBeatの記事でAnthropicの研究者も「Mythosのサイバー能力は汎用的なコーディング・推論スキルの延長線上にある」って明言してる。

つまり今後、OpenAIのGPT-6やGoogleのGeminiが同レベルの推論能力に達したら、同じことができるようになる可能性が高い。

この「AIが賢くなればなるほど、既存システムの脆弱性が大量に顕在化する」っていう構図は、セキュリティ業界全体のゲームチェンジャーだと思う。

企業のセキュリティチームは、今すぐ「AIによる脆弱性スキャン」を防御戦略に組み込むことを真剣に検討した方がいいよね。

守る側だけに使える保証はどこにもない

ここがわたし的に一番引っかかるところ。

Project GlasswingはあくまでAnthropicが主導する「防御目的」のプロジェクト。参加企業もAmazon、Apple、Microsoft、Googleといったテック大手で、目的は「自社製品の脆弱性を見つけて修正する」こと。

でもさ、同じ能力を持つAIが攻撃側に渡ったらどうなるの？っていう話でしょ。

CNBCの報道では、Anthropicが「Mythosのサイバーセキュリティリスクは前例のないレベル」と認識していることが明かされてる。だからこそ一般公開しない、という判断をしてるわけだけど。

世間では「一般公開しないなら安心じゃん」っていう声もあるんだよね。でもわたしはそう楽観的になれない。

理由は3つある。

まず、オープンソースのAIモデルも急速に能力が上がってること。Gemma 4やDeepSeekみたいなオープンモデルが、あと1〜2世代進化したら同レベルに達する可能性がある。

次に、国家レベルのサイバー攻撃チームは、独自にAIモデルを開発してる可能性が高いこと。中国やロシアのサイバー部隊がMythosレベルのモデルを持っていないという保証はどこにもない。

そして、Mythosの発見結果が漏洩するリスク。12社のパートナーに共有された脆弱性情報が、内部者の不正やハッキングで外部に流出する可能性はゼロじゃない。

Simon Willison氏のブログでも「Glasswingのアプローチは必要だと思うが、これは軍拡競争の始まりでもある」と指摘してて、わたしも同感。

だからこそ、わたしたち一般ユーザーも「OSとアプリは常に最新に」「二要素認証は必ず設定」っていう基本を改めて徹底するタイミングだと思う。AIが見つけた脆弱性のパッチは、これから大量にリリースされるはずだから。

Apple・Microsoft・Googleが「協力せざるを得なかった」重み

このニュースで地味にすごいなと思ったのが、パートナー企業のラインナップ。

Apple、Amazon、Broadcom、Cisco、CrowdStrike、Linux Foundation、Microsoft、Palo Alto Networks。

普段はバチバチに競争してる企業たちが、Anthropicという一つの会社のAIモデルを共同で使ってる。

これって相当異例なことなんだよね。

世間では「まあテック大手は裏では仲良いでしょ」みたいに思われがちだけど、実際にはAppleとGoogleがセキュリティデータを共有するなんて、数年前なら考えられなかった。

わたしはこれ、それだけ脅威が深刻だってことの裏返しだと思ってる。

Cyberscoopによると、Project Glasswingは特にオープンソースソフトウェアの脆弱性にフォーカスしてて、Linux Foundationが参加してるのもそのため。

世界中のインフラがLinuxベースで動いてる中で、そのOSに重大な脆弱性が大量にあったって…正直怖すぎるよね 💦

でもポジティブに捉えるなら、これまで人間だけでは発見しきれなかった脆弱性が、AIの力で一気に洗い出されて修正される流れができたってこと。

Anthropicの公式ページによると、発見された脆弱性はパートナー企業と共有され、修正パッチの開発が進められてるとのこと。

重要なのは、この流れが一過性のイベントで終わらないこと。AIが常時セキュリティ監視を行う体制が標準になれば、わたしたちが使うソフトウェアの安全性は格段に上がるはず。

でもそれは同時に、AIを使った攻撃への防御もAIで行うっていう、「AI vs AI」のセキュリティ時代に入ることを意味してる。

わたしたちユーザーとしては、「パッチが出たら即座に適用する」「重要アカウントのパスワードを見直す」っていう基本を徹底することが、今できる最善のアクションだと思う。

---

まとめ：最強の盾は最強の矛でもある

Project Glasswingは、AIがサイバーセキュリティを根本から変える可能性を示した歴史的なプロジェクトだと思う。

数千件のゼロデイ脆弱性が数週間で発見された事実は、AIの能力がもう人間のセキュリティ研究者を超えた領域にあることを示してる。

でも同時に、この「最強の盾」は「最強の矛」にもなり得るっていうジレンマを忘れちゃいけない。

Anthropicが一般公開を避けて限定的なパートナーシップにしたのは賢明な判断だと思うけど、同レベルのAIが攻撃側に渡るのは時間の問題かもしれない。

わたしたちにできることは、まずOSやブラウザのアップデートを欠かさないこと。今後、Project Glasswing由来のパッチが大量にリリースされるはずだから、その更新を放置しないのが大事。

そしてもう一つ、AIセキュリティという分野にもっと注目すること。ChatGPT・Gemini・Claudeが日常ツールになった今、AIの安全性はわたしたち全員の問題だよ 🔐

関連記事: ChatGPT・Gemini・Claude徹底比較

ソース:

• Anthropic is giving some firms early access to Claude Mythos to bolster cybersecurity defenses
• Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative
• Anthropic limits Mythos AI rollout over fears hackers could use model for cyberattacks
• Project Glasswing: Securing critical software for the AI era

よくある質問

Q.この記事はどんな内容ですか？

A.AnthropicのProject GlasswingでClaude Mythosが数千件のゼロデイ脆弱性を発見。わたしたちへの影響と今後の展望を解説。

Q.情報はいつ時点のものですか？

A.2026-04-08 時点でまとめた情報です（2026-04 の動向）。AI関連の動きは速く、最新状況は変動する可能性があるため、公式発表や一次ソースもあわせて確認してください。

Q.読者としてどう受け止めればよいですか？

A.本記事は「世間の見方」「筆者の見解」「データ・事実」「これから考えておきたいアクション」の流れで整理しています。AIツールの使い方や仕事のあり方に関わる動きとして、自分の状況に置き換えて読んでみてください。