WDF.
最新トレンド

Anthropic、重要ソフトのセキュリティ強化「Project Glasswing」発表 AWS・Apple・Googleら参画

Web Directors' Forum 2026.05

Anthropicが、世界的に重要なソフトウェアのセキュリティを守る取り組み「Project Glasswing」を発表しました。同社の最新AIモデル「Claude Mythos Preview」によるソフトウェアの脆弱性発見能力を活用し、世界的に重要なソフトウェアの安全性向上を目指すプロジェクトです。AWS、Apple、Google、Linux Foundationのほか、マイクロソフト、NVIDIA、シスコ、ブロードコム、パロアルトネットワークス、CrowdStrike、JPMorganChaseなど主要プレイヤーが参画しており、AIによるセキュリティ防衛の新しい枠組みとして注目されています。Webディレクターにとっても、自社サイトが依存するライブラリやプラットフォームの安全性に関わる可能性があるため、押さえておきたい動きです。

Project Glasswingとは何か

Project Glasswingは、Anthropicが主導するAIを活用したソフトウェアセキュリティ強化の取り組みです。プロジェクト名の「Glasswing(グラスウィング)」は透明な翅をもつ蝶を意味し、ソフトウェアの中身を透かして見るように脆弱性を可視化する姿勢を象徴していると考えられます。

中核となるのは、Anthropicが開発した最新AIモデル「Claude Mythos Preview」です。Anthropicの説明によると、このモデルはセキュリティ分野で最も熟練した人間をも凌駕する脆弱性発見能力を備えているとされ、すでに主要なOSやWebブラウザを含む対象に対して数千件の重要な脆弱性を発見しているとのことです。脆弱性(vulnerability)とは、攻撃者に悪用される可能性のあるソフトウェアの欠陥のことです。

Project Glasswingの要点

参画する主要プレイヤー

発表によると、本プロジェクトにはクラウド・OS・OSSコミュニティを代表する組織が参画しています。Amazon Web Services、Apple、ブロードコム、シスコ、Google、マイクロソフト、NVIDIA、パロアルトネットワークス、CrowdStrike、JPMorganChase、そしてLinux Foundationが名を連ねており、対象範囲はクラウドインフラからエンドユーザー向けOS、共通ライブラリ層にまで広がるとみられます。

この座組のポイントは、競合関係にあるクラウド事業者やプラットフォーマーが「重要ソフトウェアの防衛」という共通課題の前で協力する構図にあります。さらにAnthropicは、重要なソフトウェアインフラを構築あるいは運用する40以上の企業やオープンソースプロジェクトにもClaude Mythos Previewへのアクセスを拡大していくことを明らかにしています。

従来のセキュリティ対応とProject Glasswingの違い
人間中心の従来運用に対し、AIによる網羅的検査を組み合わせる

なぜ今このプロジェクトが必要なのか

背景には、近年深刻化するOSSサプライチェーンへの攻撃と、攻撃者側もAIを活用しはじめている現実があるとみられます。Log4ShellやxzバックドアといったOSSの脆弱性事案は、世界中のサービスを一夜で危険にさらす規模に達しました。一方でセキュリティリサーチャーの人数には限界があり、無数のOSSすべてに目を行き届かせるのは現実的ではないと考えられます。

Anthropicは、AIの能力の進化を考慮すればClaude Mythos Previewの脆弱性発見能力は今後さらに進展していくとしています。参画企業や団体がClaude Mythos Previewを利用して得られた知見は、業界全体で共有されることが想定されています。

脆弱性発見から修正までの流れ

Webディレクターが押さえておくべき視点

Web制作の現場では、自社で書くコードよりもnpmパッケージやCMS、サーバーOSなどの外部依存のほうがはるかに広い攻撃面(attack surface)を形成しているケースが多くあります。Project Glasswingの成果がOSSコミュニティに還元されれば、自社サイトが依拠する基盤ソフトの安全性が底上げされる効果が期待されます。

実務観点では次の3点を意識しておくとよいでしょう。第一に、依存パッケージの更新運用をルーチン化すること。第二に、CMSやプラグインの脆弱性情報を収集する経路を確保すること。第三に、クライアント説明資料にも「AI時代のセキュリティ動向」として組み込めるようにしておくこと。技術選定や運用提案の説得力を高める材料になり得ます。

注意点と今後の見通し

AIによる脆弱性検出は強力とされる一方で、誤検出(false positive)や、AI自身が攻撃者に悪用されるリスクも残る可能性があります。運用がどこまで透明に機能するかは今後の実績次第とみられます。

また、Project Glasswingが扱うのは「世界的に重要なソフトウェア」が中心であり、すべてのOSSやSaaSが対象になるわけではない点には留意が必要です。Webディレクターとしては、本プロジェクトの動向を追いつつ、自分たちが選定するツール・ライブラリのセキュリティ評価を引き続き自社で実施していく姿勢が求められます。

まとめ

Project GlasswingはAIによるセキュリティ防衛をプラットフォーマー横断で進める取り組みです。Web制作の現場に直接ツールが提供されるわけではありませんが、依存するOSSやクラウド基盤の安全性が高まる流れの一翼を担う可能性があります。まずは自社で使うCMSやライブラリの更新運用を見直し、AI時代のセキュリティ動向を提案書やヒアリングに織り込めるよう準備しておきましょう。

参考リンク

Related Intelligence