AnthropicのProject Glasswingは、同社のClaude AIシステムを活用して1万以上のソフトウェア脆弱性を特定したと明らかにした。この結果は、次第に拡大する乖離を示している:AIは人間のチームが修正できる速度をはるかに上回る速さで脆弱性を検出できるのだ。
Project Glasswingが発見した内容
プロジェクト内では、Claudeはコードベースを精査し、人間のレビューでは到底追いつかない速度でセキュリティ脆弱性を指摘した。1万以上の脆弱性はさまざまな深刻度にわたり、ただし同社はどれが致命的であったかを具体的に明らかにしていない。関係者によると、重要なのはその膨大な数である。この規模での自動検出は新しいものであり、対応の仕方を問う必要がある。
パッチ適用のギャップ
これらの数字はボトルネックを明らかにしている。AI駆動の発見は、開発およびセキュリティチームが各問題をパッチ適用または緩和する能力をはるかに上回っている。単一の脆弱性の修正には、その複雑さや影響を受けるシステムによって数日から数週間かかる場合がある。これを1万倍すると、現行の人員とツールでは計算が合わない。その結果、組織は脅威にさらされたままの状態が続く。
サイバーセキュリティチームはすでにアラート疲労とリソース不足に苦労している。Project Glasswingは、AIが問題の検出部分を飛躍的に強化できる一方、対処部分は依然として手動のワークフローにとどまっていることを示している。自動パッチ適用または優先順位付けの分野で同等の進歩がない限り、このギャップはますます広がるだろう。Anthropicは具体的な解決策を提案していないが、プロジェクトの発見はこの不均衡を無視できなくしている。
同社は今後数週間で発見された脆弱性に関するより詳細な技術情報を公開する予定だ。現時点では、業界は簡単だが難しい問いに直面している:AIが見つけるより速くパッチを適用するにはどうすればよいか。
