脆弱性に関する歴史上最も高価な賭け
2026年4月7日、Anthropicは商業ソフトウェアの歴史における最大の防御情報操作を正式に発表しました。プロジェクト・グラスウィングでは、Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Microsoft、NVIDIA、Palo Alto Networks、Linux Foundationなど、約40の組織が一つの使命のもとに集まりました。それは、まだ一般には公開されていない最前線のモデル「Claude Mythos Preview」への独占的アクセスを与え、共有される重要なインフラの脆弱性を特定することです。数字が物語ります。Anthropicは、コンソーシアムのパートナーに1億ドルの利用クレジットをコミットし、400万ドルの直接寄付をオープンソースセキュリティ団体に提供しました。初期のテストでは、このモデルは以前は知られていなかった何千もの脆弱性を発見しました。その中には、27年前のOpenBSDのバグや、16年前のFFmpeg(数十億のデバイスに存在するビデオ処理ライブラリ)の脆弱性が含まれています。この2番目のバグは、500万回の自動実行の後でも見逃されていました。これは無視できる結果ではありません。これは一世代にわたる検出ツール全体への経験的な反証です。
AnthropicのLogan Grahamは、Wall Street Journalで鋭く要約しました。「基本的に我々は、発見と悪用の間に何の遅れもない世界に備える必要があります」。速度は新たな防御の境界です。Claude Mythos Previewは脆弱性を検出するだけでなく、それらを連鎖させて、ほとんどの人間のセキュリティ専門家を超える速度で高度な攻撃を構築できるのです。
2024年のグローバルサイバーセキュリティ市場は1,937.3億ドルで終了し、2032年には5,627.2億ドルに成長すると予測されています。CrowdStrikeは最新の会計年度で39億ドルの収入を報告し、成長率は29%でした。Palo Alto Networksは80億ドルに達し、MicrosoftはAzureのセキュリティだけで250億ドルを超えています。このコンソーシアムはアカデミックな演習ではなく、技術の急成長する市場における競争力の再構築なのです。
最も強力なネットワークが自己のバイアスを複製するとき
ここで私の本質的な診断が始まります。プロジェクト・グラスウィングは、社会的資本構造の観点から見ると、集中的な動きであり、拡大ではありません。コンソーシアムを構成する組織は、巨額のセキュリティ予算を共有するだけでなく、驚くほど均質な技術リーダーシップのプロフィール、数十年にわたる制度間の関係カレンダー、そして主に、何を最初に保護すべきかについての同じ盲点を共有しています。
これは悪意を非難する指摘ではありません。それは組織の構造の診断です。Sonatypeの2024年の報告によると、アプリケーションの96%がオープンソースコンポーネントを含んでおり、Linux Foundationは重要なプロジェクトの資金不足が25億ドルに上ると推定しています。このコンソーシアムがどのオープンソースプロジェクトを見ていないのか、そのプロジェクトは生産で使用されず、資金も提供されず、直接知ることがないため、プレスリリースに答えない重要な質問です。
AIモデルは中立的な鏡ではありません。それはトレーニングに使用されたデータのパターンや、その目標を定義した人々の優先順位を強化します。Claude Mythos PreviewはOpenBSDに27年の脆弱性を発見しました。それは驚くべき成果です。しかし、プレスリリースに答えない質問は、サブサハラアフリカ、東南アジア、ラテンアメリカの重要なプロジェクトを維持する担い手は何人相談されたのかです。このコンソーシアムが直接知らないプロジェクトは、統計的に見て最も脆弱です。それらは資源が少なく、目立たず、サンフランシスコの取締役会のリスクマップに現れる可能性が低いのです。
このコンソーシアムは、内部で90日間発見を共有した後にそれを発表します。この期間はメンテナがパッチを当てる時間を確保するためのものであり、この期間中はコンソーシアムのメンバーのみが情報的な利点を持つことになります。AnthropicのDianne Pennは、モデルへのアクセスを確保するために「厳しい管理」を設けていると述べています。その管理は、防御的なイニシアティブを非対称な競争力に変えることができるメカニズムです。参加者が悪意を持って行動するのではなく、高密度のクローズドネットワークは、利益が内側に流れる前に外側に流れ落ちる仕組みです。
周辺を持たない防御の構築の代償
JPMorganChaseは2025年に12億ドルのサイバーセキュリティ費用を吸収しました。NVIDIAはAIアーキテクチャをターゲットにした攻撃が400%増加したと報告しました。これらの数値は、これらのアクターが契約を交わした理由を説明しています。内部では、その財務論理は完璧です。構造的なリスクは別の層で動作します。世界の最も重要なシステム、支払いを処理し、エネルギーを配分し、新興市場の通信ネットワークを支えるシステムは、小型チームが維持するコードの上に構築されています。これらのチームは資金が乏しく、シリコンバレーの取締役会に代表されていません。これらの保守者は、Anthropicのパートナーとして声を持つことなく、400万ドルの寄付を受け取っています。せいぜい受取人として受け取るのです。この区別は意味のあるものではありません。それは、優先順位を決定する基準を誰が設計し、誰がその基準の結果を単に受け取るかを定義します。
Gartnerは、2028年までにAIによるサイバーセキュリティ支出が750億ドルに達すると予測しています。もし脆弱性の検出と報告の基準が技術業界の権力構造を反映したコンソーシアムによって定義されているなら、この750億ドルの市場は系統的に過小評価されたリスクの地図に基づいて構築されることになります。サイバーセキュリティの保険業者は、すでに年間150億ドルを超える市場で、その不完全なリスクマップに基づいて保険料を設定します。欧州連合の規制や米国の大統領令は、これらの標準の周りで交渉されることになるでしょう。この設計室内の均質性は、単なる象徴的な代表性の問題ではありません。それは、保険の価格、未カバーの攻撃面、周辺インフラに影響を及ぼす事故の応答速度において、測定可能な財務リスク要因です。
Anthropicは、グラスウィングを世界の共有ソフトウェアへの責任の動きとして位置づけています。その約束が堅固であり、単なる修辞でないためには、コンソーシアムはその知性を周辺に拡大させる必要があります。企業からの支援がない重要なプロジェクトの保守者を取り入れ、現在のメンバーの攻撃面に依存しない優先順位付け基準を設計し、Claude Mythosが何を最初にスキャンするかを決定する方法論を透明にすることが重要です。
