Anthropicが「数十年放置された脆弱性500件」を発見した日、サイバーセキュリティ株が一斉に崩れた

この株価暴落で見落とされている構造がある。市場は「AIがセキュリティ専門家を代替する」という物語に反応したが、Anthropicが実際に発表したのは「限定リサーチプレビュー」——つまり、研究段階の試作品であり、企業のセキュリティ体制を即座に置き換える完成品ではない。しかし市場は、製品の成熟度ではなく「能力の証明」に反応した。

その「能力の証明」が具体的だったことが大きい。Anthropicの技術報告によると、Claude Opus 4.6はPDFの処理に使われるソフト（GhostScript）の中に、以前修正されたはずのセキュリティ上の穴が別の場所に残っていることを見つけた。また、ICカードの読み取りに使われるソフト（OpenSC）の中にも、データを詰め込みすぎると壊れる欠陥を発見した。いずれも何年も専門家の目をすり抜けてきたものだ。

従来のセキュリティツールは「既知のパターンに一致するか」をチェックする——いわば答え合わせの仕組みだ。一方、Claude Code Securityはコード全体の文脈を読み、「この部品とあの部品の組み合わせが危険だ」と推論する。人間のセキュリティ研究者が頭の中でやっている作業に近い。CrowdStrikeやCloudflareが売っているのは製品であり、Anthropicが示したのは「その製品の仕事をAIがこなせる可能性」だ。

先日配信した「SaaS株が年初から15%下落、Anthropic『Claude Cowork』発表で破壊的競争への懸念再燃」で、Anthropicの新機能発表がSaaS全般の代替不安を引き起こす構造を指摘した。今回はその構造がサイバーセキュリティという特定セクターに集中して現れた。2月だけで2度、Anthropicの発表がソフトウェア株を動かしている。これはもはや個別製品の競合ではなく、「AI企業の発表そのものが、ソフトウェア産業の価格を決める力を持ち始めている」という力学の変化だ。

ただし、この物語には見落とされている反転がある。Claude Code Securityが500件の脆弱性を見つけたということは、同じ能力を持つAIを攻撃する側も使えるということを意味する。

セキュリティの本質は「弱点を見つける能力」そのものではなく、「攻める側と守る側の間に存在する情報の非対称性」にある。これまでは脆弱性を見つけるには専門知識が必要で、そのコストが防御側の時間を稼いでいた。AIが両者に同じ能力を提供したとき、この非対称性は解消されるのか、それとも新しい形の非対称性が生まれるのか。OpenAIも2025年10月に類似の脆弱性検出ツール「Aardvark」をリリースしており、「弱点を見つけること」自体の価値は急速に誰でも手に入るものになりつつある。

セキュリティ企業の価値は「バグを見つけること」から「バグが見つかった後の対応速度と、攻撃の文脈を理解する力」に移行する過渡期にある——市場はその過渡期をまだ織り込めていない。