ClearwingのPodcast
下記のPodcastは、Geminiで作成しました。
はじめに:AIがセキュリティの主役になる時代
現代のデジタル社会において、ソフトウェアの安全性を守ることは最も重要な課題の一つとなっています。しかし、日々新しく生み出される膨大なプログラムの中から、隠れた不具合や攻撃の隙間(脆弱性)を見つけ出すのは、専門家であっても非常に困難な作業です。そこで今、世界中で注目されているのが、人工知能(AI)を活用した自律型のセキュリティツールです 。
今回ご紹介する「Clearwing(クリアウィング)」は、最新のAI技術を駆使して、まるでプロのハッカーのように自律的にシステムの弱点を探し出し、修正のヒントまで提示してくれる画期的なツールです 。このツールは、Lazarus AIという専門家集団によって開発され、誰でも無料で利用できるオープンソースとして公開されています 。
本レポートでは、Clearwingがどのような背景で生まれ、どのような仕組みで動いているのか、そして初心者の方がどのように使い始めればよいのかを、専門的な視点から丁寧に解説していきます。AIがどのようにして複雑なプログラムを理解し、私たちのデジタルな世界を守る盾になるのか、その驚きの内幕を一緒に見ていきましょう。
Clearwing誕生の物語:誰もが使える最強の盾を求めて
Clearwingの物語は、AI大手のAnthropic社が発表した「Project Glasswing(プロジェクト・グラスウィング)」という取り組みから始まります 。Glasswingは、非常に高性能なAIモデルを用いて、OS(オペレーティングシステム)などの極めて重要なソフトウェアの脆弱性を自動で見つけ出し、修正することを目的としたプロジェクトでした 。
しかし、Glasswingで使われているような最先端のAIモデルは非常に強力である一方、その強力さゆえに、一般の人々が自由に使えるものではありませんでした 。AIが攻撃に悪用されるリスクを考慮し、Anthropic社はモデルの公開を制限したのです。
そこで、Lazarus AIのチーフサイエンティストであるエリック・ハートフォード(Eric Hartford)氏は、「特定の超高性能モデルがなくても、優れた『手順(ワークフロー)』があれば、誰でもアクセス可能な一般的なAIモデルを使ってGlasswingと同じような素晴らしい成果を出せるはずだ」と考えました 。この「技術の民主化」への挑戦が、Clearwingの開発のきっかけです 。
Clearwingという名前は、モデルとなったGlasswingへの敬意を表して付けられました 。Lazarus AIは、2017年に設立された米国マサチューセッツ州ケンブリッジに拠点を置く企業で、保険や医療、政府機関などの非常に厳しい基準が求められる分野でAIを活用してきた実績があります 。彼らの「難しい問題をAIで解決する」という使命が、このClearwingというツールに凝縮されているのです。
Clearwingの「脳」の仕組み:なぜAIに脆弱性が見つかるのか
Clearwingが従来のセキュリティ診断ツールと決定的に違うのは、単にプログラムの怪しい部分を検索するだけでなく、AIが「状況を判断し、考えながら」作業を進める点にあります 。
自律的に動く「エージェント」
この「考える力」を支えているのが、LangGraph(ランググラフ)という技術を用いた「エージェント」の仕組みです 。従来のスキャナーは、あらかじめ決められた手順に従って機械的にチェックを行うだけでしたが、Clearwingのエージェントは、「推論(Reasoning)」と「行動(Acting)」を繰り返す、いわゆる「ReActループ」という高度なプロセスを実行します 。
例えば、あるプログラムに不審な点を見つけると、エージェントは「ここが怪しいかもしれない。では、このツールを使って詳しく調べてみよう」と考え、実際にツールを動かします。その結果を見て、「なるほど、やはりここが弱点だ。次は攻撃が本当に成功するか試してみよう」といった具合に、次の一手を自律的に判断していくのです 。
どんなAIでも使える「モデル・アグノスティック」
また、Clearwingは「モデル・アグノスティック(特定のAIモデルに依存しない)」という大きな特徴を持っています 。OpenAIのGPT-4やAnthropicのClaude 3といった有名なクラウド型AIだけでなく、自分のパソコンで動かせるローカルなAIモデル(Llama 3など)を自由に組み合わせて使うことが可能です 。
これにより、大切なプログラムの内容をインターネットに送信したくない企業や個人でも、自分の管理下の安全な環境でチェックを行うことができます。これは、プライバシーとセキュリティを両立させるための非常に重要な設計です。
驚異的な性能を追い越すための工夫
Clearwingが目標としたGlasswingで使われている「Claude Mythos Preview」というモデルの性能は凄まじく、多くのベンチマークで従来のモデルを圧倒しています 。以下の表は、セキュリティ関連のタスクにおける性能差を示したものです。
| ベンチマーク項目 | Claude Mythos Preview (Glasswing) | Claude Opus 4.6 (従来モデル) |
| CyberGym (脆弱性再現) | 83.1% | 66.6% |
| SWE-bench Verified (コード修正) | 93.9% | 80.8% |
| Terminal-Bench 2.0 (端末操作) | 82.0% | 65.4% |
| GPQA Diamond (難関科学問題) | 94.6% | 91.3% |
Clearwingは、これほど高性能な特定のモデルが手元になくても、AIに与える指示や情報の整理方法(ワークフロー)を工夫することで、一般的なモデルを使って同等レベルの結果を引き出そうとしています 。
2つの顔を持つClearwing:ネットワークとソースコードの守護者
Clearwingには、大きく分けて2つの強力なモードが用意されています 。
1. ネットワーク・ペネトテスト・エージェント
このモードは、実際に動いているサーバーやネットワークに対して、外側から攻撃者のような視点で調査を行うモードです 。
- 63種類のプロツールを操作: Clearwingは、ハッカーやセキュリティエンジニアが愛用する63種類もの専門ツール(ネットワーク調査のNmapや、攻撃検証のMetasploitなど)を、AIが状況に合わせて自在に使いこなします 。
- 自律的な探索: ターゲットとなるシステムでどのようなサービスが動いているかを自動で調べ、過去の膨大なデータベースと照らし合わせて脆弱性がないかを確認します 。
- 人間による承認(ガードレール): 実際にシステムを破壊したりデータを書き換えたりする可能性のある強力な操作を行う際には、必ず「人間による承認」を求める仕組みが備わっています 。これにより、AIが暴走してシステムを止めてしまう事故を防いでいます。
2. ソースコード・ハンター
このモードは、ソフトウェアの「設計図」であるソースコードを直接読み込み、プログラムの記述ミスを見つけ出すモードです 。
- 優先順位の決定: 膨大なプログラムの中から、攻撃を受けやすそうな重要な部分(パスワード処理や通信部分など)をAIが自動でランク付けし、効率的に調査します 。
- 並列処理の凄み: 数千というファイルがある大規模なシステムでも、ファイルごとに専用の「AIハンター」を並列に送り込み、同時進行で調査を行います。これは人間には不可能なスピードです 。
- 「真実」の検証: AIは時として、存在しない問題をあるかのように報告してしまう(ハルシネーション)ことがあります。Clearwingはこれを防ぐため、見つけた弱点が「実際にエラーを引き起こすか」を、ASanやUBSanといった動的な検証ツールを使って物理的に確認します 。これを「グラウンド・トゥルース(真実の基準)」と呼び、情報の正確性を担保しています。
初心者のためのClearwing導入ガイド
「自分でも動かしてみたい!」と思った方のために、Clearwingを使い始めるためのステップを分かりやすく整理しました。
準備するもの
- Python 3.10以上: プログラムを動かすための土台です 。
- Docker(ドッカー): セキュリティツールを安全な隔離環境(サンドボックス)で動かすために使われます。これがなくても一部機能は動きますが、導入を強く推奨します 。
- APIキー: OpenAIやAnthropicなどのAIを利用するための「鍵」です。OpenRouterなどを使えば、一つの鍵で多くのモデルを試せます 。
インストールの流れ
- プログラムを入手する: GitHubからソースコードを自分のパソコンにダウンロードします 。
Bashgit clone https://github.com/Lazarus-AI/clearwing.git cd clearwing - 必要な部品をインストール:
uvという最新の高速ツールを使って、必要なプログラムを一度にセットアップします 。
Bashuv sync --all-extras source.venv/bin/activate - セットアップウィザード: 初心者でも迷わないよう、対話形式の設定画面が用意されています。画面の指示に従ってAIの鍵を入力するだけです 。
Bashclearwing setup - 動作チェック: 正しく設定できたか、AIが自己診断してくれます 。
Bashclearwing doctor
実際にスキャンしてみる
例えば、自分のテスト用サーバーを調査するには以下のコマンドを実行します 。
Bash
clearwing scan 192.168.1.10 --detect-services
これだけで、AIエージェントが調査を開始し、結果を分かりやすいレポートとしてまとめてくれます。
安全と責任:強力なツールを正しく使うために
Clearwingは非常に強力なツールであるため、使い方には大きな責任が伴います 。Lazarus AIは、このツールを「認可された使用のみ(Authorized use only)」という厳格なルールの下で公開しています 。
他人のシステムを勝手に調査することは、法律で禁じられている場合があります。このツールは、あくまで自分自身のプログラムを強くするため、あるいは管理者から明確に許可を得た場合にのみ使用してください 。
もしClearwingを使って他人のソフトウェアに重大な欠陥を見つけた場合は、それを公表する前に開発者に報告し、修正の時間をあたえる「責任ある開示(Responsible Disclosure)」というマナーを守ることが大切です 。Clearwingには、こうした報告用の文書テンプレートを自動作成する機能も備わっており、善意のセキュリティ研究者をサポートしています 。
Clearwingを支えるLazarus AIの技術力
Clearwingを開発したLazarus AIは、複雑な情報をAIに「理解」させるための高度な独自技術を多数保有しています 。彼らの技術は、単なるテキスト生成を超えた、実社会の課題解決に特化しています 。
| 技術名称 | 特徴と役割 |
| RikAI | 文書や画像を人間のように深く「理解(Rikai)」し、必要な情報を抽出するAI |
| ATLS | 複数のAIやツールをオーケストラのように指揮し、複雑な問題を解決するシステム |
| VKG (Vector Knowledge Graph) | 膨大な知識を整理し、AIが「正しい基準」を持って判断できるようにする知識ベース |
| Applied Intelligence Engine (AIE) | 企業の実験的なAIを、実際の業務で使える安定したシステムに変える基盤 |
これらのプロフェッショナル向け技術のノウハウが、オープンソースであるClearwingにも注ぎ込まれているのです 。
AIセキュリティの未来:私たちの役割はどう変わる?
Clearwingの登場は、セキュリティの世界に大きな民主化をもたらします 。これまで一握りの天才的なハッカーにしかできなかった高度な調査が、AIの助けを借りることで、より多くのエンジニアが日常的に行えるようになります。
しかし、AIがすべてを代行してくれるわけではありません 。AIが見つけた結果が本当に修正が必要なものなのか、どのように対策を打つべきかを最終的に判断するのは、私たち人間の役割です 。Clearwingは、私たちの仕事を奪う「敵」ではなく、私たちをより賢く、より強くしてくれる「盾」であり「パートナー」なのです。
まとめ:あなたもAIセキュリティの第一歩を!
Clearwingは、難解なセキュリティの世界をAIの力で身近にしてくれる画期的なツールです 。プログラムの弱点を見つけるための鋭い「目」となり、複雑な調査を代行してくれる力強い「腕」となる。そんな心強いパートナーが、今や誰にでも開かれています。
もしあなたが、自分の作ったソフトウェアをもっと安全にしたい、あるいは最新のAI技術がどのように実社会を守るのかを体験したいと考えているなら、ぜひClearwingを触ってみてください。そこには、AIと共に歩む新しい安心の形が待っています。
参考資料
- Lazarus-AI/clearwing, https://github.com/Lazarus-AI/clearwing
- Lazarus-AI/clearwing - 在线工具, https://tool.lu/library/3V9
- Project Glasswing, https://www.anthropic.com/project/glasswing
- Clearwing — A Philosophical Declaration, https://note.com/betaitohuman/n/nf6ff3dd9bd23
- Anthropic says its most powerful AI cyber model is too dangerous to release, https://venturebeat.com/technology/anthropic-says-its-most-powerful-ai-cyber-model-is-too-dangerous-to-release
- Lazarus AI - AI Capabilities, https://www.lazarusai.com/
- Clearwing README, https://github.com/Lazarus-AI/clearwing/blob/main/README.md
- Glasswing and Mythos Cybersecurity, https://paddo.dev/blog/glasswing-mythos-cybersecurity/
- Releases · Lazarus-AI/clearwing, https://github.com/Lazarus-AI/clearwing/releases
- Clearwing Documentation, https://github.com/Lazarus-AI/clearwing/blob/main/docs/index.md
- Security Policy - Lazarus-AI/clearwing, https://github.com/Lazarus-AI/clearwing/security
- Lazarus AI - Technology, https://www.lazarusai.com/technology
- How Lazarus is solving the world's toughest problems with laser-targeted models, https://aws.amazon.com/startups/learn/how-lazarus-is-solving-the-worlds-toughest-problems-with-laser-targeted-models
- Lazarus AI - Multimodal AI, https://www.bygen-ai.com/ai-tools/lazarus-ai
- Why we invested in Lazarus AI, https://www.qbe.com/ventures/news/why-we-invested-in-lazarus-ai
- Lazarus AI debuts its Applied Intelligence Engine, https://siliconangle.com/2026/03/31/lazarus-ai-debuts-applied-intelligence-engine-help-enterprises-move-pilots-production/
- Lazarus AI Unveils Applied Intelligence Engine, https://www.morningstar.com/news/business-wire/20260331995119/lazarus-ai-unveils-applied-intelligence-engine-to-move-enterprises-beyond-pilot-purgatory
- installation steps and requirements for Clearwing, https://github.com/Lazarus-AI/clearwing
- 10 best AI security tools for enterprises in 2026, https://www.nudgesecurity.com/post/best-ai-security-tools
コメント