あなたが今日使ったAIツールは、本当に安全でしょうか。その「安全」を裏側で支えているのは、弱点を探し続ける研究者たちです。GMO Flatt SecurityのRyotaKがAnthropicのバグバウンティプログラムで世界1位を記録しました。この出来事が映し出すものを読み解きます。
GMOインターネットグループのGMO Flatt Security株式会社に所属するセキュリティリサーチャーのRyotaKが、2026年5月7日に公開された「Anthropic バグバウンティプログラム」の順位表で1位を記録した。同プログラムは、Anthropicが自社製品の脆弱性報告を受け付け、報告したリサーチャーに金銭的な報酬を提供する取り組みである。対象範囲には、AI「Claude」のWebサイトや「Claude Desktop」、コーディングエージェント「Claude Code」などが含まれる。
2026年5月13日時点で、RyotaKの受理された脆弱性報告数は45件であり、2位のリサーチャーの15件を上回った。本取り組みは、GMO Flatt Securityが進める「脆弱性リサーチプロジェクト」の一環である。RyotaKは過去に、Claude Codeに8個の脆弱性を報告したほか、「Meta Bug Bounty Researcher Conference 2025」で世界1位を獲得している。GMO Flatt Securityの本社は東京都渋谷区、代表取締役社長は井手 康貴である。
From: 
GMO Flatt Securityのセキュリティリサーチャー RyotaKが 「Anthropic バグバウンティプログラム」で1位を記録
【編集部解説】
このニュースを「日本企業がまた一つ表彰された」という話として読むのは、少しもったいないかもしれません。注目したいのは、舞台が「AIそのもの」ではなく「AIを動かす道具のセキュリティ」だという点です。
まず前提を整理します。Anthropicのバグバウンティプログラムは、もともと招待制でひっそりと運用されてきました。それが一般公開されたのは2026年5月7日のこと。つまりRyotaKが1位を記録した順位表は、世界中の誰もが参加できるようになって、ほんの数日後のものです。公開直後の地点で受理報告45件という数字は、その速さと精度の両面で際立っています。
ここで「バグバウンティ」という言葉を補足しておきます。これは、企業が自社製品の欠陥(脆弱性)を外部の専門家に探してもらい、見つけた人に報酬を払う仕組みです。発想はシンプルで、悪意ある攻撃者に先回りされる前に、善意の研究者に弱点を教えてもらおうというものです。いわば「合法的に攻める専門家」を味方につける制度と言えます。
では、なぜ「Claude Code」のような対象が重要なのでしょうか。チャット型のAIであれば、最悪のケースでも「不適切な回答が出る」ことが問題の中心です。しかしClaude Codeは、開発者のパソコン上でコマンドを実際に実行できるAIエージェントです。ここに穴があると、被害は「変な回答」では済みません。利用者の端末が乗っ取られたり、認証情報が盗まれたりする恐れが生じます。
実際、RyotaK自身が今年初めに公開した調査では、利用者の承認を回避してコマンドを実行できる8個の脆弱性がClaude Codeで見つかっています。これらはCVE-2025-66032として整理され、Anthropicは「危険なものを拒否する方式」から「安全なものだけを許可する方式」へ設計を切り替えることで対処しました。同種の問題は他社の研究機関からも相次いで報告されており、AIコーディングエージェントが新しい攻撃対象として注目されている状況がうかがえます。
ポジティブな側面は明快です。こうした地道な指摘の積み重ねが、世界中の開発者が使うツールを少しずつ堅牢にしていきます。AIに任せる仕事が増えるほど、その足場の安全性は私たち全員の利益に直結します。日本の研究者がその最前線で存在感を示した意義は小さくありません。
一方で、見落としてはならない論点もあります。公開からわずか数日で45件もの報告が積み上がったという事実は、裏を返せば「AIエージェントの安全性検証が、まだ始まったばかりの領域」であることを示しています。便利さを優先して急速に普及した道具が、検証の網を十分にくぐっていない——その現実を、この順位表は静かに物語っているのです。
規制や業界ルールへの影響も、これから本格化していくでしょう。従来のソフトウェアを前提に作られたセキュリティ基準は、自律的に動くAIエージェントを必ずしも想定していません。CVE(共通脆弱性識別子)のような既存の枠組みでAIエージェント特有のリスクをどう捉えるかは、業界全体の課題になりつつあります。
長期的に見れば、今回の出来事は「AIに任せる時代の信頼の作り方」を考える材料になります。AIが賢くなることと、AIを安心して使えることは、別の努力を必要とします。Anthropic自身、AIで脆弱性を探す技術の開発を進める一方で、今回のように人間の研究者の力も借り続けています。この二本立ての姿勢こそ、過渡期である現在を象徴しているのかもしれません。
私たちがこのニュースを今お伝えするのは、表彰の華やかさよりも、その背後にある「未来の道具を安全に使うために、誰かが地道に穴を塞いでいる」という事実を共有したいからです。新しい一歩を安心して踏み出すための土台は、こうした人々の手で築かれています。
【用語解説】
バグバウンティプログラム
企業が自社の製品やサービスに潜む欠陥を、外部のセキュリティ専門家に探してもらい、報告した人へ報酬を支払う制度である。悪意ある攻撃者に先回りされる前に弱点を塞ぐことを目的とした、官民で広く採用されている仕組みだ。
脆弱性(ぜいじゃくせい)
ソフトウェアやシステムに存在する、設計や実装上の欠陥のこと。攻撃者に悪用されると、情報漏洩や不正操作といった被害につながる「弱点」を指す。
セキュリティリサーチャー
ソフトウェアやシステムを調査し、脆弱性を発見・報告することを専門とする技術者である。攻撃者の視点で弱点を探し、開発者へ改善を促す役割を担う。
AIコーディングエージェント/AIエージェント
AIコーディングエージェントは、人間の指示を受けてプログラムの記述や実行を自律的に行うAIツールを指す。より広く、与えられた目的のために自ら判断して操作を行うAIを「AIエージェント」と呼ぶ。Claude Codeはその代表例の一つだ。
CVE(共通脆弱性識別子)
発見された脆弱性に世界共通の番号を割り当てる仕組み。「CVE-2025-66032」のように表記され、同じ脆弱性を世界中の関係者が混乱なく参照できるようにするための国際的な管理体系である。
認証情報
利用者やシステムが本人であることを証明するための、IDやパスワード、アクセスキーなどのデータを指す。これが漏洩すると、第三者になりすまされる危険がある。
【参考リンク】
GMOインターネットグループ株式会社(外部)
インターネットインフラやセキュリティ、金融など多様な事業を展開する総合インターネットグループ。本ニュースの発表元の公式サイト。
GMO Flatt Security株式会社(外部)
「エンジニアの背中を預かる」を掲げる日本発のセキュリティ企業。RyotaKが所属し、脆弱性診断やペネトレーションテストを提供している。
GMO Flatt Security Research(外部)
脆弱性リサーチプロジェクトの成果を世界へ発信する英語の技術ブログ。RyotaKによるClaude Codeの調査記事も掲載。
Anthropic(外部)
対話型AI「Claude」や「Claude Code」を開発する米国のAI安全性・研究企業。今回のバグバウンティプログラムの主催者である。
Claude(外部)
Anthropicが提供する対話型AIの公式サービス。文章作成やコーディング支援など幅広い用途で世界中の利用者に使われている。
Claude Code(外部)
開発者の端末上でコマンド実行まで担うAIコーディングエージェント。今回のバグバウンティプログラムの対象範囲に含まれている。
Anthropic Bug Bounty Program(HackerOne)(外部)
HackerOne上に設けられたAnthropicのバグバウンティプログラム公式ページ。報告ルールや対象範囲が公開されている。
【参考動画】
GMO Flatt Security(公式YouTubeチャンネル)(外部)
プロダクトセキュリティの話題やAIセキュリティ製品「Takumi byGMO」の解説を発信するGMO Flatt Securityの公式チャンネル。
【参考記事】
Pwning Claude Code in 8 Different Ways(GMO Flatt Security Research)(外部)
RyotaK本人による技術調査記事。Claude Codeで利用者の承認を回避してコマンド実行できる8個の脆弱性を解説。
Anthropic opens bug bounty program to everyone(GIGAZINE)(外部)
招待制だったAnthropicのバグバウンティが2026年5月に一般公開され、登録者なら誰でも参加可能になったと報じる記事。
Cracks in the Foundation: Does Mythos Have Bugs?(VARINDIA)(外部)
報酬総額や報告429件の深刻度を伝え、AIで脆弱性を探すClaude Mythos発表1か月後の公開という背景を分析する記事。
Anthropic puts the “myth” in Mythos with its HackerOne bug bounty program(The New Stack)(外部)
Anthropicの公開バグバウンティを過去の脆弱性開示プログラムとの関係から読み解くThe New Stackの記事。
Untrusted repositories turn Claude Code into an attack vector(Security Affairs)(外部)
Check Point研究によるClaude Codeの脆弱性を報じ、AI開発ツールが攻撃経路になり得ると指摘する記事。
Arbitrary code execution and Claude Code CLI(Sonar)(外部)
Claude Codeの信頼ダイアログを回避できた重大な欠陥を解説し、従来型の欠陥の存在も示すセキュリティ企業Sonarの調査記事。
【編集部後記】
AIに仕事を任せる場面は、この数年で一気に増えました。コードを書き、コマンドを動かす——便利さの裏側で、その道具自体の安全性を私たちはどれだけ意識できているでしょうか。今回のニュースは、その問いを静かに投げかけてくれます。みなさんが日々使っているAIツールには、どんな「足場」があるのか。
一度、利用しているサービスの公式情報やセキュリティの考え方をのぞいてみると、新しい発見があるかもしれません。私自身も、便利さと安心の両方に目を向けながら、この変化を一緒に追いかけていけたらと思っています。
