7月4日、Epoch AIが「Disclosed CVEs: 3.5× Spike After Claude Mythos」と題した記事を公開した。AnthropicのAIモデル「Claude Mythos」のリリース後、高深刻度・重大(Critical)に分類されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)の月次開示件数が前例のない水準で急増しており、セキュリティ業界における脆弱性管理の在り方に根本的な問いを投げかけている。
AIが脆弱性を「自律発見」する時代が始まった
2026年6月、サイバーセキュリティ業界で異例の事態が起きた。高深刻度(High)および重大(Critical)に分類されるCVEの月次開示件数が約1,500件に達し、これはClaude Mythos登場以前の月次記録の3.5倍超に相当する。
この急増の直接的な契機は、Anthropicが2026年4月に行った発表だ。同社のモデル「Claude Mythos Preview」がソフトウェア脆弱性を自律的に発見できると公表し、同時にMicrosoft、Google、Apple、AWSを含むパートナー企業が参加する「Project Glasswing」において、モデルの一般公開前からバグの発見・修正に活用していたことを明らかにした。
Project Glasswingは現時点で高深刻度または重大な脆弱性を1万件以上発見したと主張しており、そのうち多くはまだ個別に開示されていない。
注目すべきは時系列だ。Claude Mythosのリリースは2026年4月であり、CVEの急増が確認された2026年6月まではわずか2ヶ月の間隔しかない。これは、AIによる脆弱性探索がリリース直後から大規模に稼働し、責任ある開示プロセスを経た結果が数週間〜数ヶ月のラグを経て統計に表れ始めたことを示唆している。元記事はこの因果関係を明示しており、急増がProject Glasswingの活動と直接対応していると分析している。
CVE開示「1万件」の重さ
CVEとは、公開されたセキュリティ脆弱性に付与される識別番号のことで、MITREが管理し、NVD(National Vulnerability Database)で公開されている。
CVEの開示には通常、以下のような「責任ある開示(Coordinated Vulnerability Disclosure)」のプロセスが伴う。
- ベンダーへの事前通知:発見者がベンダーに非公開で脆弱性を報告する
- 修正パッチの準備:ベンダーが修正を開発・テストする
- 公開タイミングの調整:パッチ準備完了後、CVEを正式に公開する
つまり、1万件という数字は単なる発見件数ではなく、それぞれが修正・調整フローを必要とする案件を意味する。ベンダー側の対応リソースが追いつかなければ、修正未完のまま開示が遅延したり、パッチ適用前に悪用されるリスクが高まったりする。
月次1,500件という開示数が示すのは、AIによる脆弱性探索が従来の人力ペネトレーションテストや静的解析とは桁違いのスループットを持つ可能性だ。NIST NVDの統計によれば、近年のCVE年間開示件数は2万〜2万5,000件前後で推移してきた。月次1,500件という数字はこの水準と比較しても突出しており、年換算すると従来比で大幅な増加を意味する。セキュリティエンジニアリングの観点からは、パッチ適用の優先度付けやトリアージにかかる負荷が急増することを意味する。
OpenAIも同様の動きを展開
同様の取り組みはAnthropicだけではない。OpenAIも「Daybreak」という製品でAIを活用した脆弱性の自律発見に取り組んでいる。元記事での言及は限定的であり、詳細な比較データは示されていないが、AIを使ったセキュリティ研究の競争が複数の主要プレイヤーの間で同時進行していることは確認できる。
※編集部の考察:AnthropicとOpenAIが相次いでAI駆動のセキュリティ研究基盤を構築していることは、脆弱性発見の「工業化」が業界全体のトレンドになりつつあることを示している。今後、他のAIベンダーや専業セキュリティ企業も同様のアプローチを採用すれば、CVE開示件数の増加はさらに加速する可能性がある。
「開示の波」はこれから本格化する
Project Glasswingが発見した1万件超の脆弱性のうち、多くはまだ個別に開示されていない。責任ある開示プロセスでは、ベンダーが修正パッチを準備し終えてから順次公表するのが原則であるため、発見から開示までに数週間から数ヶ月のラグが生じる。すでに発見済みの案件が順次公表されるとすれば、CVE開示件数の高水準はしばらく続く可能性が高い。
セキュリティチームにとっては、パッチ管理の計画を見直す必要性が現実のものになりつつある。月次数百件を前提に組まれた対応フローは、月次1,000件超の世界では機能しなくなる。優先度付けの自動化、リスクベースのトリアージ、ベンダーとの連携体制の強化など、運用面での対応が求められる局面が近づいている。
詳細はDisclosed CVEs: 3.5× Spike After Claude Mythosを参照していただきたい。