AnthropicがGlasswing拡大、課題は検出から修正運用へ

Anthropicは2026年6月2日、Project Glasswingを15カ国超の約150組織へ広げると発表した。対象には電力、水道、医療、通信、ハードウェアなどの重要インフラに関わる組織が含まれる。ALTOS LABが注目するのは、AIによる脆弱性発見の速さより、その後の検証、開示、修正デプロイを運用できるかだ。

何が変わったのか：重要インフラへ広がるGlasswing

Project GlasswingはAWS、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどの協力から始まった。今回の拡大では、多くの企業や公共機関が依存するコードベースを保守する組織が加わる。

Anthropicは、これらのコードベースが攻撃された場合、1億人を超える人々に影響する可能性があると説明している。これは単なる製品発表ではなく、防御AIが実運用のインフラに近づいているという市場シグナルだ。

リスクframework：検出できるだけでは足りない

5月22日の初期更新では、約50の初期パートナーが1万件超の高リスクまたは重要な脆弱性を発見したとされる。だが、発見数が増えるほど、企業の課題はトリアージ、検証、責任ある開示、修正担当、デプロイ確認へ移る。

修正フローを先に整え、その後でAIセキュリティツールを広げる。 これがALTOS LABの読みだ。運用設計がないまま検出能力だけを増やすと、未処理リスクの backlog が増える。

48時間checklist

• 脆弱性報告から修正デプロイまでの承認ステップを可視化し、最も待ち時間が長い場所を記録する。
• 高リスク判定時の責任者を決める。
• 直近10件の重要修正を見直し、部門間の引き継ぎで止まった理由を確認する。
• 人が確認する案件、自動的に修正予定へ進める案件、顧客通知が必要な案件を分ける。

次に見るべき点

今後見るべきなのは、さらに多くの脆弱性を見つけられるかだけではない。Project Glasswingのような取り組みが、検証、開示、修正デプロイまでを再現可能な運用モデルにできるかが重要になる。日本や台湾のチームも、ツール導入の前に修正責任とデプロイ証跡を確認したい。