Anthropicの「Mythos」がサイバーセキュリティに危機をもたらす：新たな脅威と業界の対応

Anthropic社は今週、新しい「Claude Mythos Preview」モデルのデビューが、サイバーセキュリティの進化における極めて重要な岐路に立っていると発表しました。同社は、Mythos Previewが、あらゆるOS、ブラウザ、その他のソフトウェア製品の脆弱性を発見し、動作するエクスプロイトを自律的に開発できる能力の閾値を超えたと主張しています。このモデルは現在、「Project Glasswing」と名付けられたコンソーシアムの一環として、Microsoft、Apple、Google、Linux Foundationなど数十の組織に限定的にリリースされています。この発表は、生成AIがサイバーセキュリティに与える影響について長年憶測されてきた中で、大きな論争を巻き起こしています。

懐疑的な意見もあります。一部の専門家は、既存のAIエージェントがすでに脆弱性の発見と悪用を容易にしすぎているだけであり、パラダイムの根本的な変化は起こっていないと主張しています。また、Anthropicがこのモデルを神秘的で独占的なものとして位置づけ、金銭的な利益を得ようとしているという批判的な見方もあります。

しかし、多くの研究者や実務家はAnthropicの評価に同意しています。特に注目されているのは、生成AIが「エクスプロイトチェーン」の特定と開発に優れている点です。これは、複数の脆弱性を連続的に悪用して標的を深く侵害する、ルーブ・ゴールドバーグ式ハッキングに相当します。セキュリティエンジニアのNiels Provos氏は、Mythosが多段階の脆弱性を見つけ出し、その悪用証明を提供できる点を指摘し、必要なスキルレベルを引き上げると述べています。

この限定的なリリースは、防御側（ディフェンダー）に、攻撃者が広範囲にアクセスする前に、自社のシステムの弱点を見つけ出し、ソフトウェア開発やパッチ適用サイクルをより広範に再考するための猶予期間を与えることを目的としています。業界のリーダーたちはこの警告を真剣に受け止めており、米国財務省や連邦準備制度理事会（FRB）のトップが、Mythosのようなモデルがサイバーセキュリティに与える潜在的な影響について議論したことが報じられています。専門家は、この機会を、単に脆弱性から防御するのではなく、最初から安全な技術を構築する方向へ移行するための啓発点として捉えています。

---

背景

近年、生成AIの進化は、サイバーセキュリティの分野に革命的な変化をもたらす可能性が指摘されています。従来のセキュリティ対策は、既知の脆弱性へのパッチ適用に依存してきましたが、AIによる自動的な脆弱性発見・悪用は、この防御モデルそのものを脅かす存在となりつつあります。Mythosのようなモデルは、この脅威の最前線を示すものです。

重要用語解説

• エクスプロイトチェーン: 複数の脆弱性を連続的に悪用し、システムを深く侵害する一連の攻撃経路のこと。単一の欠陥ではなく、複数の欠陥を組み合わせる高度なハッキング手法を指します。
• Project Glasswing: AnthropicがMicrosoft、Apple、Googleなど主要企業と共同で実施しているコンソーシアム。Mythosのような高度なAIモデルを防御側（ディフェンダー）に限定的に提供し、防御側の能力向上を促す試みです。
• 自律的に開発するエクスプロイト: AIが、発見した脆弱性に対して、実際にシステムを侵害できる具体的なコードや手順（エクスプロイト）を自動的に生成する能力。従来のツールでは難しかった高度な自動化を意味します。
• 影響: MythosのようなAIの登場は、サイバーセキュリティのパラダイムシフトを加速させます。防御側は、単なるパッチ適用から脱却し、設計段階からセキュリティを組み込む「Secure by Design」の徹底や、機械レベルの防御システム構築が必須となります。企業は、AIを活用した防御体制への大規模な投資を迫られるでしょう。