Claude Mythosが脆弱性を2.3万件発見。人間の対処が追いつかず

　強力なAIの登場により、オープンソースソフトウェアにおける脆弱性の発見と対策が新たな幕を開けた。米AnthropicのAIモデル「Claude Mythos Preview」を用いたオープンソースソフトウェアの脆弱性探索において、2万3,019件の脆弱性候補を発見したものの、人間の確認や修正作業がまったく追いつかないという問題が浮き彫りとなった。

　これは5月22日(現地時間)にAnthropicが報告したレポートで明らかとなった事実だ。同社は2026年2月より、Mythos Previewの早期スナップショットを使用して、オープンソースソフトウェアの脆弱性探索を開始した。対象となった主なプロジェクトには、nginx、jq、MapServer、wolfSSLなどが含まれる。

　AIが発見した脆弱性について、外部のセキュリティ調査会社と連携して緊急度に応じた優先順位をつけ、人間によるレビューを経て、重大または高レベルの脆弱性をソフトウェアのメンテナーに報告している。一部はメンテナーの要請により、Anthropicから直接報告もしている。

　5月22日時点で、281のプロジェクトに対して1,596件の脆弱性が報告された(一部は偽陽性が含まれている)。このうち1,451件はメンテナーによって承認されたが、実際に修正パッチが提供されたのは97件にとどまっている。このうち88件にはCVE(Common Vulnerabilities and Exposures)またはGHSA(GitHub Security Advisory)の識別子が割り当てられている。

　AIが発見した脆弱性の数に対して開示した数が限定されているのは、独立した人間によるトリアージとレビューのプロセスがボトルネックとなっているためだ。同様に、パッチ作成にも時間がかかるため、対策が遅れている。

　Claude Mythos PreviewはAnthropicのもっとも強力なAIモデルで、4月7日に発表された。しかし、サイバー攻撃への悪用の懸念から、一般公開予定はない。