Claude Mythosの成果に着想を得た、ワークフロー主導の脆弱性検証OSS「ClearWing」のご紹介 NRI OSSソリューションマガジン 2026.7.8発行 Vol.235
1. Claude Mythosの成果に着想を得た、ワークフロー主導の脆弱性検証OSS「ClearWing」のご紹介
今回は「AIが自動でソフトウェアの脆弱性を発見する」を実現する、注目の新しいOSSツール「ClearWing」をご紹介します。
ClearWingは、Anthropic社のAIモデル『Claude Mythos』によって多数のソフトウェアゼロデイ脆弱性が発見されたことに端を発しています。
この脆弱性発見プロジェクトは社内で「GlassWing」と呼ばれていましたが、セキュリティコミュニティでは「発見の本質はモデルの性能よりも、モデルを動かすワークフローの設計にあるのではないか」という議論が起こりました。
そこでEric Hartford氏(Lazarus AI)が、そのワークフロー部分を参考にOSSとして開発したのがClearWingです。
2026年4月にMITライセンスでリリースされたばかりの最先端ツールです。
ClearWingはソースコードの脆弱性ハンティングからペネトレーションテスト、CI/CD統合まで幅広く対応しますが、特筆すべきは単なる「疑わしい箇所の指摘」にとどまらず、クラッシュの再現やエクスプロイトの実証までを自動確認する、以下の「6段階のエビデンスレベル」による厳密な検証プロセスです。
・suspicion:脆弱性の疑い
・static_corroboration:静的解析による裏付け
・crash_reproduced:クラッシュの再現
・root_cause_explained:根本原因の特定
・exploit_demonstrated:エクスプロイトの実証
・patch_validated:修正パッチの有効性検証
さらに、検証時は以下の「4軸バリデーション」でフィルタリングを行います。
・REAL:脆弱性が実際に存在するか
・TRIGGERABLE:実際に悪用可能か
・IMPACTFUL:ビジネスやシステムへの深刻度
・GENERAL:特定の環境に依存しないか
これにより、従来の静的解析ツールで大きな課題だった「大量の誤検知」を大幅に抑え、開発者が本当に修正すべき脆弱性のみを効率的にあぶり出すことが可能です。
LLMについては特定モデルに依存しない設計になっており、OllamaやLM Studioを使えばローカル環境のOSSモデルでも動作します。
ただし、高い推論能力を持つモデルが推奨され、高性能なオープンウェイトモデルが有力な選択肢となるでしょう。
AIによる脆弱性発見は、研究段階から実用段階へ急速に移行しつつある領域です。
セキュリティ運用の自動化や、シフトレフトの強力な推進役として、今後の発展から目が離せません。
ご興味のある方は、ぜひGitHub上のClearWingリポジトリを覗いてみてください。
https://github.com/Lazarus-AI/clearwing
OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは、下記OpenStandiaサイトからご確認いただけます。
◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist
2.OSS紹介ページ 今月のアップデート(新規:1件)
(新規)
DeepEval (https://openstandia.jp/oss_info/deepeval/)
3.OSS紹介ページ 先月のアクセスランキングTOP10
オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介
→ 1位 (1位) Ollama (https://openstandia.jp/oss_info/ollama/)
→ 2位 (2位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 3位 (3位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
→ 4位 (4位) Spring Boot (https://openstandia.jp/oss_info/springboot/)
→ 5位 (5位) Nginx (https://openstandia.jp/oss_info/nginx/)
↑ 6位 (9位) MarkItDown (https://openstandia.jp/oss_info/markitdown/)
→ 7位 (7位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↓ 8位 (6位) MySQL (https://openstandia.jp/oss_info/mysql/)
↓ 9位 (8位) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
→ 10位 (10位) PHP (https://openstandia.jp/oss_info/php/)
※( )内は前月の順位
◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/
4.今月注目のバグ&セキュリティ情報
【Apache HTTP Server】 細工された正規表現による DoS (CVE-2026-44631)
Apache HTTP Server の設定ファイル内の正規表現を細工することで、バッファアンダーライトの脆弱性が発生します。
この問題は、Apache HTTP Server のバージョン 2.4.0 ~ 2.4.67 に影響します。
ユーザーは、この問題を修正したバージョン 2.4.68 にアップグレードすることをお勧めします。
本脆弱性の影響を受ける環境は下記となります。
・Red Hat Enterprise Linux 6
httpd(*)
・Red Hat Enterprise Linux 7
httpd(*)
・Red Hat Enterprise Linux 8 / CentOS 8
httpd(*)
・Red Hat Enterprise Linux 9
httpd(*)
・Red Hat Enterprise Linux 10
httpd(*)
*詳細バージョンについては、Red Hat 社の今後のアナウンスをご確認ください。
・Apache HTTP Server
2.4.0 ~ 2.4.68 より前
関連情報
・National Vulnerability Database
https://nvd.nist.gov/vuln/detail/CVE-2026-44631
・Common Vulnerabilities and Exposures (CVE)
https://www.cve.org/CVERecord?id=CVE-2026-44631
OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、およびバグFIXに関する情報を提供しています。
◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

