Project Glasswingの概要と発表の背景
2026年4月8日、Anthropicは「Project Glasswing」を正式発表しました。これは、同社の最新AIモデル「Claude Mythos Preview」を活用して、世界的に重要なオープンソースソフトウェアやデジタルインフラのセキュリティ脆弱性を自動的に発見・修正していく取り組みです。
プロジェクト名の「Glasswing(グラスウィング)」は、透明な翅を持つグラスウィング蝶に由来しています。見えにくいけれど確かに存在する脆弱性を探し出すというコンセプトを象徴しており、AIがセキュリティの守護者として機能する世界を目指した、これまでにない規模のイニシアチブです。
近年、オープンソースソフトウェアへの依存度は企業・個人を問わず高まっています。しかしその一方で、広く使われているOSSに重大な脆弱性が潜んでいても、発見されるまでに数年かかるケースは珍しくありません。Log4Shellのような事例は、依存関係の連鎖が生むリスクの深刻さを世界中に知らしめました。Project Glasswingは、こうした課題へAIで根本から立ち向かう試みです。
Claude Mythos Previewの脆弱性発見能力
Project Glasswingの中核を担う「Claude Mythos Preview」は、Anthropicが開発した汎用目的の未公開AIモデルです。Anthropicはこのモデルについて、「セキュリティの分野で最も熟練した人間をも凌駕する脆弱性発見能力を備えている」と説明しています。
従来のセキュリティ診断ツールは、既知のパターンやルールベースで脆弱性を検出するものが主流でした。しかしClaude Mythosは、コードの意味的な理解と高度な推論能力を組み合わせることで、これまで人間のセキュリティ専門家でなければ発見できなかった複雑な脆弱性まで検出できるとされています。
その実力は実績でも示されています。すでにClaude Mythosは、主要なオペレーティングシステムやWebブラウザを含む対象に対して、数千件の重要な脆弱性を発見しています。人間のセキュリティエンジニアが数ヶ月かけて行う作業を、AIが短期間でこなしているわけです。
脆弱性発見のアプローチとして、Claude Mythosは大量のコードを読み込んで論理的な欠陥や潜在的な攻撃面を特定し、さらに実際の攻撃シナリオを想定した検証まで実施できます。人間の専門家が「カンと経験」で見つけていたような、単純なルールでは検出されない脆弱性をAIが再現できるようになってきた、その証拠と言えるでしょう。
参加する主要企業・団体の顔ぶれ
Project Glasswingには、業界をリードする多様な組織が参加しています。それぞれの役割と参加意義を理解することで、このプロジェクトの広がりと影響力がより鮮明になります。
組織名 | 分野 | 参加の意義 |
|---|---|---|
AWS | クラウドインフラ | クラウド基盤のセキュリティ強化、数億のユーザーを守る |
Apple | デバイス・OS | macOS・iOSなどのOSレベルの脆弱性を早期発見 |
クラウド・ブラウザ・OS | ChromeやAndroidなど広範なエコシステムへの適用 | |
Microsoft | OS・クラウド | WindowsやAzureインフラの脆弱性対策を強化 |
NVIDIA | GPU・AI基盤 | AIワークロードを支えるドライバやソフトウェアの保護 |
Broadcom / Cisco | ネットワーク・半導体 | ネットワーク機器・インフラ層のセキュリティ向上 |
Palo Alto Networks / CrowdStrike | サイバーセキュリティ | 脅威インテリジェンスとの連携、防御能力を高める |
JPMorgan Chase | 金融 | 金融システムへのAIセキュリティ適用の先駆け |
Linux財団 | オープンソース | OSS全般のセキュリティ底上げ、コミュニティ連携 |
特に注目すべきはLinux財団の参加です。オープンソースソフトウェアは現代のデジタルインフラの根幹を支えていますが、脆弱性発見のリソースが不足しがちです。Project GlasswingがOSSコミュニティと連携することで、商用製品だけでなく広く使われているオープンソースプロジェクトのセキュリティ改善にもAIが貢献できる仕組みが整います。
また将来的には、重要なソフトウェアインフラを構築あるいは運用する40以上の企業やオープンソースプロジェクトにもアクセスを拡大する予定とAnthropicは述べています。業界全体を巻き込んだセキュリティ改善の動きが、確実に広がっています。
AIセキュリティが変える脆弱性対応のあり方
Project Glasswingが示す最も重要なパラダイムシフトは、セキュリティの「事後対応」から「事前予防」への転換です。従来のセキュリティプロセスでは、ソフトウェアがリリースされた後に脆弱性が発見され、パッチを当てるというサイクルが繰り返されてきました。この「後追い」の構造が、ゼロデイ攻撃や大規模な情報漏洩の温床になってきたことは否定できません。
Claude Mythosのような高度なAIを用いることで、ソフトウェアの開発段階から脆弱性をスキャンし、本番リリース前に問題を検出・修正することが現実的になります。エンジニアリングのワークフローにAIセキュリティチェックを組み込むことで、セキュリティを「後付けのプロセス」ではなく「開発プロセスの一部」として扱えるようになるわけです。
また、このプロジェクトが目指しているのは「業界全体での知見の共有」です。参加企業が発見した脆弱性パターンや対策の知見を横断的に活用することで、一社だけでは対応できないような複雑な脅威に対しても、業界として迅速に対応できる体制が生まれます。これは特に、共通のOSSやライブラリを複数社が使っている場面で大きな効果を発揮します。
エンジニアとして今何を考えるべきか
Project Glasswingは、現場のエンジニアにとっていくつかの重要な示唆を持っています。
まず、AIによるセキュリティスキャンは今後の開発プロセスに標準的に組み込まれていくでしょう。すでにGitHub Copilotなどの開発支援AIが当たり前になっているように、セキュリティの領域でも「AIがコードレビューする」時代が目の前に来ています。CI/CDパイプラインにAIセキュリティチェックを追加することへの心理的ハードルが下がり、採用が加速するはずです。
次に、オープンソースへの関わり方が変わってきます。Linux財団を通じた取り組みが示すように、OSS全体のセキュリティ底上げに業界が連帯して取り組む流れが生まれています。自分が使っているライブラリやフレームワークのセキュリティ状態を意識し、問題があれば報告・修正に参加する文化がより広がるでしょう。
また、セキュリティエンジニアの役割も変化します。「AIが脆弱性を発見してくれる」時代においては、人間のセキュリティ専門家は発見された脆弱性をトリアージし、修正の優先順位を判断し、組織のリスク管理に落とし込む役割がより重要になります。AIとの協働を前提としたセキュリティ設計・運用の能力が求められます。
AIとセキュリティの融合が進む今後の展望
Project Glasswingは、AIとセキュリティの融合という大きなトレンドを象徴する取り組みです。コードを書くAIが普及したように、コードを守るAIが産業インフラに組み込まれる時代が始まろうとしています。
Anthropicが示した方向性は、単にツールを提供するだけではありません。AWS、Apple、Google、Microsoftといった世界最大規模のソフトウェアインフラを持つ企業が連携することで、AIセキュリティのエコシステム全体を底上げするという壮大なビジョンです。このような業界連合が形成されるのは、AIのセキュリティ能力が「実用レベル」に達してきた証拠でもあります。
一方で、AIによるセキュリティ診断が普及することで新たな課題も生まれます。AIが発見した脆弱性情報の管理や開示プロセスをどうするか、AIが誤検知した場合のフォールバックをどう設計するか、あるいはAI自体が攻撃対象にならないかといった点は、今後のプロジェクト運営の中で議論が深まるでしょう。
Project Glasswingを機に、セキュリティへの向き合い方がエンジニアリング全体で変わっていくことは間違いありません。AIが日常の開発フローに溶け込み、コードの品質と安全性を同時に高める未来は、思ったより早く訪れるかもしれません。この変化を積極的に取り入れていく姿勢が、これからのエンジニアには求められています。
