5月21日、Symfony公式ブログが「Claude Mythos Audited Symfony and Found 19 Vulnerabilities (Symfony Blog)」と題した記事を公開した。この記事では、AnthropicのAIモデル「Claude Mythos Preview」がSymfonyとTwigのコードベースを監査し、19件の脆弱性を発見した事例について詳しく紹介されている。以下に、その内容を紹介する。

AIによるセキュリティ監査の実力

Claude Mythos Previewは、Anthropicが開発した新しい汎用AI言語モデルだ。このモデルは幅広いタスクで優秀な性能を示すが、特にコンピューターセキュリティ分野で強力な能力を発揮する。

現在、このモデルは一般公開されていないが、Anthropicは選ばれた技術プロジェクトに対して「Project Glasswing」という取り組みを通じて提供している。この取り組みでは、Claude Mythosが数千件のセキュリティ脆弱性を発見しており、主要なオペレーティングシステムやWebブラウザすべてで脆弱性が見つかっているという。

Symfonyは最近、PHP FoundationおよびAnthropicと協力して、PHPアプリケーション向けの公式MCP SDKを構築した。この関係により、SymfonyチームはAnthropicに連絡を取り、Claude Mythos PreviewによるSymfonyとTwigのコード解析を特別に実施してもらうことができた。

19件すべてが真の脆弱性、偽陽性なし

数日後、Symfonyのセキュリティ開示プロセスに従って、AnthropicからすべてのFindings（発見事項）が記載されたZIPファイルが届いた。総計で、Claude MythosはSymfonyとTwigのコードベースから19件のセキュリティ脆弱性を報告した。

特筆すべきは、Symfonyコアチームがすべての報告を手動でレビューした結果、19件すべてが実際の脆弱性であり、偽陽性（false positive）が1件もなかったことだ。これは、AIによるセキュリティ監査の精度の高さを示す重要な指標と言える。

各脆弱性は個別のファイルで報告され、以下の情報が含まれていた：

• CWE（Common Weakness Enumeration）、影響を受けるファイル、コンポーネント、バージョン
• 脆弱なコードをハイライトした問題の要約
• 段階的な攻撃手順とインパクト分析
• 再現手順
• 修正案の提示

重要なのは、これらの脆弱性はすべて最新のセキュリティリリースで修正済みだということだ。詳細については、Symfonyブログのセキュリティアドバイザリーカテゴリで確認できる。

コードセキュリティの未来

Symfonyは過去にも積極的なセキュリティ対策を行ってきた。2011年には外部セキュリティ監査のためのクラウドファンディングキャンペーンを実施し、2019年には欧州委員会の支援のもとバグバウンティプログラムを開始している。

そして2025年、Claude Mythos PreviewやProject Glasswingのようなモデルと取り組みが、コードセキュリティ監査の手法に革命をもたらしている。今回の事例は、AIがセキュリティ専門家の作業を大幅に効率化し、かつ高い精度で脆弱性を発見できることを実証した。

Symfony公式は、今回の機会を提供したAnthropicへの感謝とともに、他のAIツールや手動レビューを通じてセキュリティ問題を報告してくれるすべてのセキュリティ研究者への謝意を表明している。

詳細はClaude Mythos Audited Symfony and Found 19 Vulnerabilities (Symfony Blog)を参照していただきたい。