7月4日、Matthias Bastianが「Security vulnerability reports have exploded since AI models started hunting for bugs」と題した記事を公開した。AIモデルによるバグハンティングが本格化して以降、セキュリティ脆弱性の報告件数が過去最高水準に急増している実態について詳しく紹介されている。
月間記録の3.5倍超——2026年6月に何が起きたか
Epoch AIが公開したデータによると、2026年6月、21の組織が約1,500件の高深刻度・クリティカルな脆弱性(CVE)を報告した。これは従来の月間記録の3.5倍以上に相当する数字だ。
月間の高深刻度・クリティカルCVE報告数。2026年4月からの急増は、AnthropicのClaude Mythos Previewのリリース時期と一致している | 画像: Epoch AI
グラフを見ると、急増の起点は2026年4月だ。この時期はAnthropicが「Claude Mythos Preview」のリリースを発表した月と一致する。
AnthropicとOpenAIのプログラムが牽引
急増の背景には、大手AI企業による組織的なバグハンティングプログラムがある。
Anthropicは2026年4月、コードの脆弱性発見に特化して強化されたAIモデル「Claude Mythos Preview」を発表した。同モデルは単独でソフトウェアの脆弱性を自律的に発見できるとされており、リリース前から信頼パートナー企業がこのモデルを使ってバグの発見・修正に活用していたという。
Anthropicが運営するバグハンティング専用プログラム「Glasswing」は、Claude Mythos Previewをはじめとするモデルを活用して脆弱性を体系的に探索する取り組みだ。15カ国150社以上のパートナー企業に展開されており、これまでに1万件以上の高深刻度またはクリティカルな脆弱性を発見したと報告されている。
一方、OpenAIも「Daybreak」と呼ばれるサイバーセキュリティ特化のバグハンティングプログラムを展開しており、今回の件数急増への寄与が指摘されている。Daybreakは、OpenAIがサイバーセキュリティ領域向けに開発した「GPT-5.5 Cyber」を中心に据えたプログラムだ。GPT-5.5 CyberはサイバーセキュリティベンチマークでAnthropicのMythosを上回ったとの報告もあり、両社の競争がバグ発見の量を押し上げている構図だ。
Epoch AIはこの急増について、AIによる発見の波を反映したものと分析している。
エンジニアが知っておくべき含意
CVE(Common Vulnerabilities and Exposures)は、公開された脆弱性に割り当てられる標準的な識別子だ。「高深刻度・クリティカル」に分類されるものは、悪用されると重大な被害をもたらしうる。
従来、脆弱性の発見は人間のセキュリティ研究者やバグバウンティプログラムに依存していた。今回のデータが示すのは、AIが発見のスループットを桁違いに引き上げる段階に入ったという事実だ。
問題の核心は、発見速度とパッチ適用速度の非対称性にある。「開発者がパッチを当てるより速くバグを見つける」とAnthropicが自ら警告していた通り、AIは人間の対応能力を超えるペースで脆弱性を掘り起こしつつある。パッチが適用されるまでには、開発チームへの通知・再現確認・修正実装・テスト・リリースというプロセスを踏む必要があり、発見から公開までに数週間から数カ月を要するケースも珍しくない。Glasswingで発見された脆弱性の一部がまだ非公開である点も、こうした開示調整やパッチ未適用の状況を反映しているとみられる。
攻撃者側も同様のAIツールを利用できる以上、発見された脆弱性が修正される前に悪用されるリスクは従来より高まっている。ディフェンダー側にとっては、AI支援による発見能力の向上が必ずしも防御強化に直結しない点が最大の課題だ。パッチ適用のスピードアップ・脆弱なコンポーネントの優先度付け・未公開CVEへの対応体制など、組織としての運用プロセスそのものを見直す必要性が増している。
業界全体の観点では、1カ月で1,500件規模の高深刻度CVEが継続的に報告される状況が続けば、NVD(国立脆弱性データベース)などの管理基盤やセキュリティベンダーのトリアージ能力にも負荷がかかりうる。AIによる発見の加速は、セキュリティエコシステム全体の処理能力を問い直している。
詳細はSecurity vulnerability reports have exploded since AI models started hunting for bugsを参照していただきたい。
