Claude Mythos、10,000件以上の欠陥の中からCVE-2026-5194を発見

Claude Mythos、10,000件以上の欠陥の中からCVE-2026-5194を発見

Anthropic の Project Glasswing が驚くべき成果を生み出した。その AI モデル「Claude Mythos」は、1か月で主要なソフトウェア インフラストラクチャ全体から 10,000 件以上の高深刻度または重大な脆弱性を特定した。その中には CVE-2026-5194 も含まれており、これは広く利用されている wolfSSL 暗号化ライブラリの重大な欠陥で、攻撃者が証明書を偽造し正規のサービスになりすますことを可能にするものだ。VPN や暗号化アプリケーションを利用している人にとって、この単一の発見が示す重要な点は、AI が発見する VPN 暗号の脆弱性はもはや理論上の懸念ではないということだ。それらは、ほとんどのパッチ サイクルが追いつけない速度で到来している。

CVE-2026-5194 の wolfSSL における意味：VPN および暗号化サービス利用者にとって

wolfSSL は、組み込みシステムや IoT デバイス、そして当然ながら多くの VPN 実装やセキュリティ上重要なアプリケーションで使用される軽量の TLS/SSL ライブラリである。その小さなフットプリントはリソース制約のある環境に魅力的だが、それはセキュリティレビューが最小限でアップデート サイクルが遅い場所で動作することが多い。

CVE-2026-5194 と特定されたこの欠陥は特に深刻だ。なぜなら、サーバーが主張する通りであることを確認するメカニズムである証明書検証を標的にしているからだ。そのプロセスが破壊されると、攻撃者は中間者攻撃を実行できる。つまり、クライアントが正規のものとして受け入れてしまう偽造証明書を提示することで、暗号化されたトラフィックを傍受する。VPN ユーザーにとって、これは小さな不便ではない。証明書チェーンが侵害されると、あなたの暗号化トンネルが意図したエンドポイントではなく攻撃者の制御するサーバーで終端し、送信したすべてが平文で相手側に丸見えになる可能性がある。

ここでの深刻度は、wolfSSL の展開の性質によってさらに高まる。ファームウェアやレガシーなネットワーク機器に組み込まれたライブラリは、エンドユーザー向けソフトウェアと同じ注意をめったに受けない。パッチは出荷されても、現場のデバイスに届くまでに数か月から数年かかる場合がある。

Claude Mythos はどのようにして1か月で10,000件以上の重大な欠陥を発見したか

Project Glasswing は、Anthropic による AI 支援型脆弱性研究への取り組みを表している。深い技術的推論のために設計された Claude Mythos モデルは、どの人間チームにも不可能な規模と速度でソフトウェア インフラストラクチャを体系的に分析するために使用された。30日間で 10,000 件以上の高深刻度または重大な脆弱性という結果は、単に数字が大きいだけではない。インターネット インフラの攻撃対象領域をどれだけ迅速にマッピングできるかという、根本的な変化を示している。

従来の脆弱性発見は、手動のコード レビュー、ファジング ツール、そしてセキュリティ研究者がコンポーネントをひとつずつコードベースを精査することに依存している。AI 支援分析は、複数のコードベースに同時に取り組み、自動スキャナーが見逃す微妙なロジック エラーを特定し、依存関係全体で発見を相関付けることができる。wolfSSL の発見は良い例だ。証明書検証のバグは、しばしば複数の関数にまたがる複雑なロジックの連鎖を理解する必要があり、これはコード理解能力を持つ大規模言語モデルが価値を付加できる種類の推論に他ならない。

この意味合いは表裏一体だ。Anthropic のモデルがこれらの脆弱性を発見できるなら、脅威アクターが操作する AI ツールも同様に発見できる。防御側と攻撃側の競争のクロック速度が上がったのだ。Anthropic 自身が自社の AI プラットフォームへのアクセス制御を強化していることは注目に値する。同社は最近、一部の Claude ユーザーに対して本人確認要件を導入した。これは、AI 展開における開放性とセキュリティの間の広範な緊張を反映している（Anthropic が Claude ユーザーに実名 ID 確認の展開を要求 で報道）。

VPN のセキュリティが脆弱性のない暗号ライブラリに依存する理由

VPN はプライバシーとセキュリティのツールとしてしばしば説明されるが、その実際の安全性の保証は、それを支える暗号ライブラリの強度にのみ依拠する。VPN クライアントが完全な前方秘匿性を実装し、AES-256 暗号化を使い、ゼロログ ポリシーを採用していても、証明書検証を処理する TLS ライブラリに偽造可能な欠陥があれば、そのすべてがハンドシェイクの段階で台無しになる。

これはソフトウェア セキュリティにおける依存関係の問題だ。アプリケーションは単独では存在しない。あらゆる VPN クライアント、あらゆる暗号化メッセージング アプリ、あらゆる HTTPS 対応サーバーは、暗号処理にサードパーティ ライブラリに依存している。wolfSSL、OpenSSL、BoringSSL、mbedTLS：これらはすべて、過去に重大な脆弱性を抱えてきた。2014年に OpenSSL に影響を与えた Heartbleed は今なお最も有名な例だが、それは単独のインシデントではない。

Project Glasswing の調査結果は、これらの基盤となるライブラリ内部に眠る未発見の脆弱性の量が、セキュリティ コミュニティがこれまで想定していたよりもはるかに多い可能性を示唆している。AI 支援レビューの1か月で 10,000 件もの重大な欠陥が見つかったことは、手動レビュー プロセスが捕捉してこなかった問題の滞留を指し示している。

パッチが展開される間にユーザーと VPN プロバイダーが取るべき対策

個人ユーザーにとって最も実用的な措置は、定期的なサードパーティのセキュリティ監査に公にコミットし、自社ソフトウェアが使用する暗号ライブラリとパッチの適用速度について透明性を確保している VPN プロバイダーを選ぶことだ。監査結果を公開し、明確な脆弱性開示ポリシーを維持し、ライブラリのアップデートについて情報発信しているプロバイダーは、そうでないプロバイダーよりも実質的に優れた立場にある。

VPN プロバイダーや企業のセキュリティ チームにとって、当面の優先事項は明快だ。ソフトウェア部品表を監査して wolfSSL の依存関係を特定し、CVE-2026-5194 の開示情報からパッチの入手可能性を監視し、インターネット向けまたは証明書を扱うコンポーネントに優先的に展開すること。製品がファームウェアや組み込みコンポーネントで wolfSSL を使用しているなら、そのアップデートのスケジュールを前倒しする必要がある。

より広範には、Claude Mythos の調査結果は、AI 支援による脆弱性発見がセキュリティ研究のツールキットの標準的な一部になるというシグナルだ。これらのツールを使って自社のコードベースと依存関係をレビューしていないプロバイダーは、それらを利用する防御側にも、そして決定的に、待ったなしの攻撃者にも後れを取ることになる。

あなたにとっての意味

CVE-2026-5194 の発見は、プライバシー ツールがソフトウェアの階層の上に構築されており、最も弱い層が実際のセキュリティを決定することを具体的に思い起こさせる。暗号ライブラリの証明書偽造の脆弱性は抽象的な脅威ではない。それは、保護されていると信じているユーザーに対する監視や認証情報の窃取を可能にする種類の欠陥だ。

実用的な要点はこれだ。使用している VPN プロバイダーに、どのライブラリを使用しているか、直近のサードパーティ セキュリティ監査がいつだったのか、重要なライブラリ アップデートにどう対応しているかを尋ねること。これらの問いに対する透明性が、プロバイダーの実際のセキュリティ態勢を示す最も信頼できるシグナルのひとつだ。AI ツールが脆弱性の発見と悪用の両方を加速する中で、その透明性はこれまで以上に重要になっている。