Anthropicが2026年5月22日(現地時間)に公開したレポートで、同社の最新AIモデル「Claude Mythos Preview」がオープンソースソフトウェア(OSS)の脆弱性探索において2万3,019件の脆弱性候補を発見したことが明らかになった。PC Watchが報じたこのニュースは、AIによるセキュリティ調査が新局面を迎えたことを示すと同時に、人間側の処理能力という「構造的なボトルネック」を浮き彫りにしている。

Claude Mythos Preview とは

Claude Mythos PreviewはAnthropicが2026年4月7日に発表した、現時点で同社最強のAIモデルだ。その高度な能力はサイバー攻撃への悪用が懸念されており、一般公開の予定はない。今回の脆弱性探索は、そのPreview段階の早期スナップショットを使って実施されたものだ。

脆弱性探索の規模と結果

Anthropicは2026年2月より、主要なOSSプロジェクトを対象に脆弱性探索を開始した。対象にはWebサーバーの定番「nginx」、JSONプロセッサの「jq」、GISソフトウェア「MapServer」、軽量SSL/TLSライブラリ「wolfSSL」などが含まれる。

5月22日時点での状況は以下の通りだ。

指標 件数

発見した脆弱性候補 2万3,019件

281プロジェクトへの報告数 1,596件(一部偽陽性含む)

メンテナーによる承認数 1,451件

修正パッチが提供された数 97件

CVE/GHSA識別子が割り当てられた数 88件

発見数に対して報告・修正が大幅に少ない理由についてAnthropicは、「独立した人間によるトリアージとレビューのプロセスがボトルネックになっている」と説明している。

海外レビューのポイント

PC Watchの報道によると、Anthropicは外部のセキュリティ調査会社と連携し、緊急度に応じた優先順位付けを行った上で人間によるレビューを経てからメンテナーへ報告するフローを採用している。この慎重なプロセス自体は適切だが、それがスループットの上限を決めてしまっているという皮肉な構造がある。

評価できる点

  • AIが数ヶ月という短期間で、人間チームでは到底処理しきれない規模の脆弱性候補を洗い出せることを実証した
  • nginx・wolfSSLといった広く使われるOSSへのパッチ提供が進んでおり、実際のセキュリティ向上に貢献している
  • 88件にCVE/GHSA識別子が付与され、公式な脆弱性データベースに登録される形で業界への貢献が可視化されている

気になる点

  • 2.3万件の候補に対して修正完了は97件と、対応率は0.4%程度にとどまる
  • Claude Mythos Previewは一般公開予定がなく、この探索能力を外部が活用できる道筋が現時点では見えない

日本市場での注目点

今回対象となったnginxやwolfSSLは、日本の多くのWebサーバー・組み込みシステム・IoT機器でも広く使われているソフトウェアだ。発見された脆弱性のうち承認済みの1,451件は、将来的にパッチが提供される可能性がある。日本の運用担当者はこれらのソフトウェアのセキュリティアドバイザリを引き続き注視する必要がある。

Claude Mythos Previewそのものは一般公開されないため、日本の企業や開発者が直接このツールを使ってセキュリティ調査を行うことは現時点では不可能だ。ただし、Anthropicがこうした活動を通じてOSSエコシステム全体のセキュリティ基盤を底上げしていく方向性は評価できる。

筆者の見解

この取り組みが示している本質は、「AIはすでにセキュリティ調査において人間をはるかに超える規模で動けるが、それを活かす仕組みが追いついていない」という現実だ。

2万3千件の脆弱性候補を発見しながら、修正パッチが97件というのは、裏を返せば「人間のレビュープロセスがAIの出力を制限している」ということでもある。これはセキュリティ分野だけの問題ではなく、AIを業務に組み込む際の普遍的な課題だ。「AIが見つけた→人間が確認する」というフローを繰り返す限り、スループットは常に人間の処理能力に縛られる。

もちろん、脆弱性対応という性質上、完全自動化はリスクが大きく、人間によるレビューを省略することは難しい。だからこそ重要なのは、「どのレビューを人間がやるべきか」を精緻に設計することだ。すべてを人間が確認するのではなく、AIによる自動トリアージの精度を高め、人間の判断が必要な案件だけを引き上げる仕組みにしなければ、この比率は大きく改善しない。

Anthropicが外部セキュリティ会社と連携してトリアージの効率化を図っている点は前向きに捉えたい。今後、AIが発見から初期判断までを担い、人間が最終確認に集中できる体制が整えば、修正パッチの提供数は大きく伸びるはずだ。オープンソースのセキュリティ改善という公益性の高い目標に向けた、実践的な取り組みとして引き続き注目したい。

出典: この記事は Claude Mythosが脆弱性を2.3万件発見。人間の対処が追いつかず の内容をもとに、筆者の見解を加えて独自に執筆したものです。