攻撃するAI、防御するAI――Project GlasswingとTrivyサプライチェーン事件が同じ週に発生した理由

「同じ週にAnthropicは『人間以上の精度で脆弱性を発見するAI』を発表し、開発者たちが防御用にインストールしていたTrivyはクラウドシークレットを窃取されていた。この二つの事件は本当に偶然だろうか？」

2026年4月7日、AnthropicはProject GlasswingとClaude Mythos Previewを公開した。「最も熟練した人間以外には発見できないレベルのソフトウェア脆弱性を検出する」という文言で。翌4月8日、まったく異なる分析レポートがHacker Newsのフロントページに浮上した。How the Trivy supply chain attack harvested credentials from secrets managers――CNCFの静的解析ツールTrivyが、サプライチェーン攻撃の経路となり、侵害されたバージョンがAWS Secrets ManagerやHashiCorp Vaultをポーリングしてクレデンシャルを流出させていたという内容だった。

本稿のthesisはシンプルだ。GlasswingとTrivy事件は偶然同じ週に発生したのではなく、同じ構造的な力が生み出した双子の事件である。AIエージェントの普及が攻撃対象領域を指数関数的に拡大しており、同時に攻撃者が利用できる自動化能力も同じ曲線上で上昇している。Glasswingは「防御側がこの非対称をどう追いつくか」に対する解答であり、Trivy事件は「実際にどれほど遅れているか」を映す鏡である。

1. Project Glasswingとは何か――Anthropicの防御カード

TechCrunchの4月7日の報道によれば、Project Glasswingは少数の有力企業が防御的サイバーセキュリティ業務に活用するプレビュープログラムであり、その中核にあるのがClaude Mythos Previewである。一般公開しない理由は単純だ。「安全なスケール展開には、まず危険な出力をブロックするセーフガードが必要だ」ということである。

GIGAZINEの解説によれば、Claude Mythos PreviewはFirefoxの機能的エクスプロイト生成で72.4%の成功率を記録した。前世代モデルはこのタスクでほぼ失敗していた。事例として挙げられたのはOpenBSDカーネルで27年間誰も発見できなかったクラッシュ脆弱性、FFmpegで500万件以上の自動スキャンが見逃した16年来の欠陥——いずれも「multi-file reasoning」を要する、人間のワーキングメモリを超える類の脆弱性だ。

Glasswingのポジショニングはこう要約できる。「人間が発見できない脆弱性を人間の代わりに発見するAIを、選別した少数のパートナーにのみ先行提供する。」モデルを少数のパートナーに限定するのは、モデルの能力がそのまま攻撃力に転換し得るという二重性の認識からだ。Anthropic自身が公式文書で認めている。「AIの開発速度は、悪用リスクの高いモデルが最終的には広範に利用可能になることを意味する」と。

2. Trivyサプライチェーン攻撃――分析レポートの核心

TrivyはCNCF傘下のオープンソース静的解析スキャナーで、CIパイプラインの基本構成要素として無数の企業のデプロイゲートに組み込まれている。開発者にとってTrivyは「セキュリティを味方にしてくれるツール」という心理的位置を占めていた。

vaultproof.devの分析レポートが描く構図は、まさにその心理的位置を逆手に取るものだ。侵害されたTrivyバイナリは正常なスキャンを遂行しながら、同時に実行環境のシークレットストアを静かにポーリングする。CIランナーのAWSクレデンシャルでSecrets Managerを閲覧し、VaultトークンがあればVaultのKVエンジンをスクレイピングする。検出が特に困難なのは、Trivyがもともとネットワーク経由で脆弱性データベースを更新するツールであるため、外部通信自体が異常な兆候として捕捉されないという点だ。

この攻撃の特徴は信頼の連鎖が逆方向に作用した点にある。過去の典型的なサプライチェーン攻撃は「よく知らないライブラリ」を狙った。今回は「最も信頼してきたセキュリティツール」を標的とした。TrivyがCNCFプロジェクトであり、公式署名済みバイナリが存在し、数千のパイプラインに組み込まれているという信頼のシグナル全体が、攻撃者の配布チャネルを開く役割を果たしたのだ。

3. 攻撃者の自動化と防御者の自動化が同じ曲線上にある

Glasswingが解決しようとする問題とTrivy事件が示す問題は、同じ曲線上の異なる点である。「自動化非対称曲線」と呼ぼう。

崩壊の理由は二つある。第一に、AIコーディングツールの普及がコード生産量を爆増させた。コードが増えれば脆弱性も増え、サプライチェーンのグラフが複雑化する。攻撃対象領域は生産量の関数だ。第二に、同じAI能力が攻撃者にも与えられた。AnthropicがMythosについて「人間が発見できない脆弱性を発見する」と主張できるということは、その同一の能力が攻撃者の手に渡ったとき何ができるかをも同時に語っているのだ。

Trivy事件は攻撃側の曲線がすでにどこまで上昇しているかを示す。攻撃者は「最も広く使われているセキュリティツール」を選び、その配布チャネルに侵入し、実行環境のシークレット体系を構造的にポーリングするモジュールを内蔵した。相当な偵察とエンジニアリングを要する攻撃だ。そしてAnthropicが「緊急の取り組み」と呼んだことは、防御側が曲線上で後れを取っているという内部判断の公開宣言に近い。最も広く使われているセキュリティツールが最も効果的な攻撃ベクトルとなったTrivy事件は、「セキュリティツールの普及とセキュリティの向上は同義ではない」という厳しい教訓を残す。

4. 「最も熟練した人間以外には発見できない脆弱性」――この修辞の技術的意味

ソフトウェア脆弱性を層で整理すると、パターンマッチングで検出できる浅い層、単一ファイル内のロジックバグの層があり、その上に複数のファイルやモジュールにまたがるインタラクションからのみ発生する脆弱性の層がある。この第三の層は従来「熟練した人間のリサーチャー」の領域だった。人間がコードを読みながら頭の中でシステムのフローを構成し、そのフローの前提に疑問を抱くという方法で発見する。

OpenBSDの27年来のバグ、FFmpegの16年来の欠陥——これらは「誰も発見しなかった」のではなく「人間のワーキングメモリでは全体構造を一度に把握することが困難だった」という意味に近い。LLMベースの解析がこの層で有利なのは、1Mトークンのコンテキストウィンドウが中大規模コードベース全体を一つのワーキングメモリに載せ、「前提を発見し、その前提が崩れるシナリオを構成せよ」という推論と組み合わせられるからだ。

ただしAnthropicの主張には独立した検証がまだない。72.4%という数字はAnthropicの内部評価であり、評価セットの構成は公開されていない。主張の方向性は技術的に説得力があるが、正確な数値は独立検証が行われるまでは参考値だ。本稿の前提は「主張をそのまま信じよう」でも「マーケティングだから無視しよう」でもない。構造と限界を共に読もうということである。

5. サプライチェーン攻撃の新段階――開発ツール自体が標的になる

Trivy事件がサプライチェーン攻撃の歴史で特別な位置を占める理由は、標的が「アプリケーションの依存関係」ではなく「セキュリティツール自体」であるという点だ。

event-stream（2018）からXZ Utils backdoor（2024）まで、過去の攻撃の防御視点は一貫していた。「自分が依存するものを検証せよ」——SBOMを生成し、バイナリのハッシュを確認し、脆弱性スキャナーで定期検査する。その脆弱性スキャナーがまさにTrivyだったのだ。Trivy事件はこの防御モデルの循環依存性を露呈させる——依存関係を検証するために使うツール自体を、誰が検証するのか。

AIエージェント時代はこのジレンマをさらに極端へ押し進める。Claude CodeのようなエージェントがTrivyを含む複数のスキャナーを自動的に実行する。人間なら「このツールを実行する前にバイナリの完全性を確認すべきか？」と立ち止まれる瞬間が、エージェントのワークフローではそのまま通過する。整理するとこうなる——過去は「あなたが使うライブラリ」を狙い、現在は「セキュリティツール」を狙い、近い将来は「エージェントが自動的に実行するあらゆるツール」を狙う。各世代の標的面積は前世代の数倍に拡大する。

6. 防御者のジレンマ――Glasswingの選択と限界

AnthropicがMythos Previewを少数のパートナーにのみ提供することにした決定には、三つのジレンマがある。

第一に、選定されたパートナーの偏りだ。大手プラットフォーム事業者の製品は迅速に修正されるが、中小規模のオープンソースプロジェクトやロングテールのソフトウェアはこの防御能力にアクセスできない。攻撃者がMythos級の能力にいつか到達する際——Anthropic自身がそれを認めた——このロングテールが最初に直撃されるだろう。

第二に、オープンセキュリティコミュニティとの衝突だ。脆弱性発見能力がいくつかの企業に集中すれば、「いつどのように公開されるか」も集中した主体の決定に委ねられる。脆弱性情報の流通経路が構造的に狭まるという意味だ。

第三に、「防御力はそれ自体が攻撃力である」という二重性だ。Anthropicは「最終的には広範に利用可能になる」と認めた。であればGlasswingの先制防御は時間稼ぎという意味になる。その時間をどう使うかが真の問いとなる。

7. 問い――あなたのチームのセキュリティはどちらの曲線上にあるか

あなたのチームがCIパイプラインで実行しているセキュリティツールのバイナリ完全性を、誰がいつ最後に検証したか。「公式リポジトリからpullしているから問題ない」という答えは、2026年の基準では十分ではない。

あなたのAIエージェントが自動的に実行するコマンドのリストを管理しているのは誰か。エージェントのツール実行権限が露出させるシークレットのチェーン全体が誰かの頭の中に存在していなければならない。エージェント時代のセキュリティは「開発者の不注意」ではなく「エージェントの自動性」をアタックサーフェスとして捉えなければならない。

そして最も不快な問いを。あなたのコードベースには「最も熟練した人間以外には発見できない脆弱性」がどれほどあると思うか。Glasswingはその答えを少数のパートナーに先に伝えるだろう。Trivyサプライチェーン攻撃は、その答えを知らないチームのシークレットをすでに窃取している。二つの事件が同じ週に発生したのは偶然ではない。「自動化非対称の曲線上で、あなたは防御者か、それとも標的か？」