「AIで攻撃が高度化すれば、守る側はどうしようもなくなるのではないか」——ここ数年、セキュリティ業界でくり返し語られてきた懸念です。実際、巧妙なフィッシング、ディープフェイク、コード自動解析による脆弱性探索は、いずれもAIで以前より容易になりました。2026年5月に発表されたAIで破られやすくなったセキュリティ対策ランキングで見たとおり、攻撃側の優位が一時的に広がったのも事実です。
ただ、同じAIは守る側にも使えます。その典型例として2026年4〜5月に動き出したのが、Anthropic主導の Project Glasswing です。未公開の高性能モデル「Claude Mythos Preview」を、約50社の主要IT・金融企業に統制配布し、その能力を攻撃者より先に守る側で使い切る取り組みです。本記事では、Glasswingが出した数字、その配布方式の考え方、そして日本企業への示唆を整理します。
Project Glasswing とは何か
Glasswingは、Anthropicと主要IT・金融企業の連合による「重要ソフトウェアの脆弱性を、AIで先に潰す」共同プロジェクトです。発足時の発表パートナーには、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが含まれ、Mozillaなども実検証に参加しました。
用語メモ|ゼロデイ脆弱性 — まだ修正パッチが存在しない、世間に知られていない脆弱性のこと。攻撃者がこれを掴むと、防御側が気付く前に攻撃が走るため、被害が広がりやすい。Glasswingは「攻撃者より先に守る側がゼロデイを見つけて潰す」競争に AIを投入したもの。
鍵となるのは、まだ一般公開されていない最先端モデル Claude Mythos Preview です。Anthropicは「AIは今や、最も熟練した一握りの人間を除けば、脆弱性の発見と悪用において人間を上回る」と公式に述べています。この能力を、攻撃者の手に渡る前に守る側で活用する——それがGlasswingの設計思想です。
背景には、Anthropicが採用する Responsible Scaling Policy(責任あるスケーリング方針) という考え方があります。能力が一定以上になったモデルは、安全策を整えるまでは広く公開しない。一方で、その能力を完全に封じてしまえば社会的便益も生まれません。Glasswingは、この方針を「具体的にどう運用するか」のひとつの答えとして提示された取り組みでもあります。
用語メモ|Responsible Scaling Policy(責任あるスケーリング方針) — Anthropicが公表しているフロンティアAI開発の自主規制方針。モデルの能力レベル(AI Safety Level / ASL)に応じて、配布方法・安全評価・運用上のガードレールを段階的に強める仕組みです。Glasswingは ASL の高いモデルを「統制配布」で扱う運用例にあたります。
最初の1ヶ月で出した数字
Glasswingの実証結果は、AIが「守る側」でどこまで効くかを具体的な数字で示しています。Anthropicおよび各パートナーの公表値を整理すると、次のようになります。
特に印象的なのが、Mozillaの数字です。Firefox 150に対しMythos Previewでスキャンを走らせたところ、前世代モデル(Claude Opus 4)の同等スキャン比で10倍超の脆弱性が見つかり、271件のパッチに繋がりました。これは「AIが世代を1つ進むと、守りの解像度がオーダーで上がる」ことを示します。AIの世代交代はもう数値で効きはじめている、ということです。
Cloudflareでも、自社の重要システムにMythos Previewを走らせて約2,000件のバグを発見し、そのうち約400件は高/重大と判定されました。1社単体の数字としては衝撃的で、人手だけで同じ範囲・期間で同水準を出すのは現実的に困難です。
発見された脆弱性の中身は、メモリ安全性のバグ、入力検証の不備、認証ロジックの抜け、依存ライブラリ経由の波及など、いわゆる「人が見落としがちなパターン」が中心と報告されています。AIは網羅的に見ること・人が疲労する細部に粘り強く向き合うことが得意で、それが「人と AI で見落としを補完する」関係をはっきり示しました。
封鎖でも開放でもない——Glasswing の「中間解」
ここで湧くのが、「これほど強力なモデルを使えるのは50社だけなのか、なぜ広く公開しないのか」という疑問です。Anthropicの答えは明確で、Mythos Previewはまだ広く公開できる安全水準に達していない——攻撃にも転用できてしまうため、です。
選択肢は本来3つあります。A. 広く一般公開する(改善は速いが攻撃に転用される)、B. 完全に封鎖する(リスクはないが守る側の改善も止まる)、そして C. 統制配布+共同検証(信頼できるパートナーに限定して使わせ、共同で安全策を整備する)。Glasswingは明確にCを選びました。
この選択の含意は大きい。「AIの最先端能力は、どこかが先に持つ。それが攻撃者であってはいけない」という前提を、業界として受け入れた瞬間でもあります。少数の主要企業が責任を分け持って先行検証し、危険な出力を検知・遮断する安全ガードレールを実環境で鍛えてから、徐々に公開範囲を広げる。これが今後のフロンティアAIの標準的な配布パターンになる可能性が高いです。
日本企業への示唆——「攻めるAI」より先に「守るAI」
日本企業の多くは、Mythos Previewを直接使える立場にはありません。ただ、Glasswingが示した方向性は、規模を問わず参考にできます。要点は3つです。
ひとつ目は、「守りにもAIを使う」が、もう抽象論ではないということ。CloudflareやMozillaの数字を見れば、ログ監視、脆弱性スキャン、フィッシング検知、ふるまい異常検知といった守りの業務にAIを組み込まないと、攻撃側の速度に追いつけません。「AIは攻撃に使われると怖い」という議論に閉じず、自社の守りの現場でも同じAIを使う、という発想転換が必要です。AIを業務で運用するための前提整備はクラウドAIにも企業統制が乗る——28連携とCloudflare CASBの記事もあわせてご覧ください。
ふたつ目は、「AIのアウトプットだけ見ない、運用と歯止めを見る」こと。Glasswingが評価されたのは、能力の高さだけでなく、危険な出力を検知・遮断する仕組みとセットで配布した点です。日本企業がAIを採用する際にも、AIの能力比較表だけを見るのではなく、その配布元がどんなガードレールと運用支援を提供しているかを、選定の主軸に据える必要があります。
みっつ目は、「先行する50社」に学ぶ余地が大きいこと。Glasswingに参加した企業の多くは、検証結果やプロセスを段階的に公開しています。Cloudflareの公式ブログ、AnthropicのGlasswingページ、Mozillaのセキュリティアドバイザリは、いずれも一次情報として読み込む価値があります。海外のAI先行企業が「どう守りを更新したか」をそのまま学習材料にできる時期です。
具体例で言えば、自社の主要 OSS ライブラリの脆弱性レポートを最新のセキュリティ用 AI モデルで一度走らせる、社員向けフィッシング訓練の文面を AI で常時生成して検知率を計測する、社内のアクセスログから異常パターンを AI に下見させて夜間運用の負荷を下げる——どれもいきなり大規模に始める必要はなく、まずは一つの業務でAIに守りの作業を任せて評価する、というスケールから始められます。
AIが「次のAIを守る」時代へ
Glasswingの本質は、「人間が書いたコードをAIで監査する」だけでなく、その先の 「AIが作ったコードをAIで監査する」「AIが生む新しい脆弱性パターンをAIで先回りする」 という連鎖を業界レベルで動かし始めた点にあります。コーディングエージェントが急速に普及するなかでの、必然の打ち手とも言えます。コーディングエージェント特有のリスクはAIコーディングエージェントのセキュリティとガバナンスで扱っています。
とはいえ、Glasswingが示したのは「現状ではAIが攻撃にも転用しやすい段階にある」事実でもあります。Mythos Previewを広く公開できない、という判断は、それだけ攻撃側に渡したときのリスクが高いことの裏返し。だからこそ、組織側は 「いつ攻撃に使われ始めても困らない最低限の守りの底上げ」 を、待たずに着手する必要があります。
具体的に何から始めるかは、業種・規模で異なりますが、自社で稼働中の業務システムの脆弱性スキャンを、最新のAIで一度走らせるだけでも気付きは多いはずです。完璧を目指さず、まずは「守る側で1回AIを使ってみる」が、Glasswingが示した第一歩の縮図です。
現実的な初手の例を3つ挙げると、ひとつは自社で内製している管理ツールやAPIのコードを、最新のAIにレビューさせて潜在バグを洗い出すこと。ふたつ目は、社員に届くフィッシングメールの傾向をAIに分析させ、自社向けの注意喚起テンプレートを毎月更新すること。みっつ目は、認証ログ・アクセスログから「いつもと違う振る舞い」をAIに下見させ、人の目を通すべき件を絞り込むこと。いずれも追加投資が小さく、効果が見えやすい守りの初手です。
まとめ|「攻めのAI」の話に閉じず、「守りのAI」を自社で動かす
AIの議論はどうしても「攻撃に使われたら怖い」「業務効率化に使うとコスト爆発」のように、リスクとコストの話に寄りがちです。Glasswingは、もうひとつの軸——「攻撃者より先に守る側で使う」——を、具体的な数字で見せた最初の大規模事例といえます。
「うちはMythos Previewなんて触れない」と感じる企業ほど、まずは自社の守りのプロセスを棚卸しし、どこにAIを組み込めるかを点検することから始めるとよいでしょう。海外の主要企業の歩みは、AIで先回りした守りの実例として、十分に参考になります。
もう一点だけ加えるなら、Glasswingの最大の含意は「フロンティアAIの配布のしかた自体が、世界全体のセキュリティ姿勢を左右する」と業界が認めた点です。今後、Anthropic以外のAI提供企業も、同様に「能力リリース前の共同検証フェーズ」を取り入れていく可能性があります。AIの能力評価表ではなく、配布の仕組みそのものを評価軸に据える視点を、いま組織として持ち始めておく価値があります。守りの側でAIを使い倒すことで、攻撃側との非対称を埋めにいく——これがGlasswingの示した方向です。
はてなベースは、生成AIの「攻めの活用」と「守りの活用」を両輪でご支援します。業務フローへのAIエージェントの組み込み設計、AI活用の土台となる社内データの統合・整理、そして「機微情報を外部に出したくない」企業向けのオンプレミス生成AI導入まで。守りの側でAIを動かし始めるための初手のアセスメントから一緒に設計します。