Anthropicは、モデルがオペレーティングシステム、Webブラウザ、その他のソフトウェアにわたって数千件の重大な脆弱性を表面化させた後、Claude Mythos Previewを選ばれた企業パートナーの限定的なテスト段階へ移行させました。その開示は、AIを活用したセキュリティツールの計り知れない可能性と、能力が野に増殖するにつれて伴って生じる新たなリスクの両方を浮き彫りにしています。
同社はMythos Previewを汎用モデルとして説明しており、社内評価の間に主要なプラットフォーム全体で高い重大度の弱点を特定しました。Anthropicは、適切に管理されなければこうした能力が急速に広がり得ると警告し、敵対者が安全策が整う前にこれらのツールを展開する可能性があると指摘しました。
「AIの進歩の速度を考えると、こうした能力が増殖して、これを安全に展開することにコミットしている行為者を超えて広がるのも、そう遠くないでしょう。」
セキュリティ研究者は長らく、AIが発見と悪用を自動化することでサイバー攻撃を加速し得ると警告してきました。AI駆動の脅威がますます一般的になりつつあるより広い状況の中で、Anthropicは憂慮すべき動向に言及しました。AllAboutAIは、AIを活用したサイバー攻撃が前年比72%増加しており、2025年には世界の組織の87%がAIによる攻撃を経験したと報告しています。その背景を踏まえ、Anthropicは、防御用のAIツールが悪意ある主体よりも先回りする必要性を強調しました。
防御を強化するために、Anthropicは同日Project Glasswingを発表しました。この取り組みは40社以上を結集し、Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft、Nvidiaなどが含まれます。目的は、Claude Mythos Previewの能力を活用してバグを見つけ、パートナーとデータを共有し、犯罪者がそれらを悪用する前に重大な脆弱性を修正することです。
重要なポイント
Claude Mythos Previewは、オペレーティングシステム、ブラウザ、暗号化ライブラリにわたって数千件の重大な脆弱性を特定しており、潜在的な悪用のための幅広い攻撃面を裏づけています。
これらの欠陥の大半は依然として未パッチであり、Anthropicは、同社が見つけた脆弱性の約99%がまだ修正されていないと述べています。
Project Glasswingは、ソフトウェアスタック全体でバグの発見、開示、修復を加速することを狙い、産業横断のギャップを埋める形でAI駆動の防御を実務化するために動員します。
脆弱性は数十年に及ぶ範囲に広がっており、広く使われているソフトウェアの長年の脆弱さと、重要インフラおよび暗号(crypto)エコシステムへの継続的なリスクを示唆しています。
AI駆動の脆弱性発見と、何十年も前からある弱点
Anthropicの初期の調査結果は、深刻な現実を明らかにしています。何年、あるいは何十年も放置されてきた欠陥でも、今日において重大な脅威になり得るのです。挙げられた例には、現在は修正済みだが歴史的に重要なOpenBSDのバグが含まれていました。そこでは、27年前の脆弱性がテストで再浮上しました。さらに、FFmpegライブラリの16年前の欠陥、そしてFreeBSDオペレーティングシステムにおける17年前のリモートコード実行の脆弱性が取り上げられています。開示はLinuxカーネル内の複数の脆弱性にまで及び、よく整備されたオープンソースプロジェクトであっても、潜在的なリスクが免れないことを示しています。
オペレーティングシステムを超えて、Mythos Previewは暗号化の領域における弱点も指摘しました。そこは、安全な通信や取引の基盤となる領域です。同モデルは、TLS、AES-GCM、SSHを含む広く使われているライブラリやプロトコルにおける欠陥を特定したと報じられています。Webアプリケーションは、特に脆弱性発見のための格好の土壌として浮かび上がりました。問題の幅は、クロスサイトスクリプティングからSQLインジェクション、そしてクロスサイトリクエストフォージェリまでに及びます。後者は、しばしばフィッシング型のキャンペーンで悪用されます。
Anthropicは、これらの問題の多くが微妙で、状況に依存しており、複雑なコードパスに深く埋め込まれているため、従来の監査だけでは表面化しにくいと強調しました。開発者や運用者にとっての含意は明確です。成熟したソフトウェアスタックであっても、AIが従来の方法よりずっと速く明らかにできる重大な欠陥を隠している可能性があります。
同社はまた、調査結果に付随する際立った統計も示しました。これらの脆弱性の大半はまだパッチが当てられておらず、迅速に対処されない場合、日和見的な攻撃者が悪用できる露出の窓が生まれている、ということです。
Glasswing:先手の防御のための連合
Project Glasswingは、遡及的な分析イニシアチブではなく、先手の防御プログラムとして提示されています。クラウド提供者、ハードウェア開発者、金融機関、オープンソースのエコシステムにまたがる参加者からリソースと専門知識をプールすることで、GlasswingはAI駆動の脆弱性発見を学習ループに変え、パッチの作成と展開を加速することを目指します。協業の狙いは、新たに出現する脅威に関する洞察を共有し、ベンダーやサプライヤーとともに開示を調整し、悪用が広範に行き渡る前に迅速な修復を後押しすることです。
主要な参加者は、業界の大手と重要なセキュリティ・エコシステムに広がります。Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft、Nvidiaなどが含まれ、ほかにも多数あります。この取り組みは、技術者の大規模な連合がソフトウェア供給網を強化し、脆弱性の発見からパッチ適用までの期間を短縮しようとする動きが増えていることを反映しています。この目的は、特にブロックチェーンと暗号(crypto)インフラにとって重要であり、セキュリティインシデントがネットワークやエコシステム全体で連鎖的な障害を引き起こし得るためです。
暗号(crypto)とサイバーセキュリティ・エコシステムにとって、このシフトが意味するもの
暗号分野の投資家やビルダーにとって、Mythos Previewの調査結果とGlasswingの協調モデルは、リスクと回復力に対する、よりニュアンスのある見方をもたらします。ひとつには、AI支援による脆弱性発見が、検出に人間であればはるかに長い時間を要したはずの弱点を洗い出すことで、暗号プラットフォーム、ウォレット、ノードソフトウェア、スマートコントラクトのエコシステムのセキュリティ姿勢を大きく改善し得ることです。もうひとつには、こうした強力なツールへの早期アクセスにはガバナンスと安全性に関する問いが生じることです。つまり、誰が発見結果の開示をコントロールするのか、どれくらいの速さでパッチが発行されるのか、そして実時間の市場においてユーザーのリスクはどのように価格付けされるのか、という問題です。
市場の観点からは、AIを有効化したセキュリティツールを巡る活動が、暗号インフラ内でのセキュリティプリミティブ、監査スイート、形式的検証サービスの需要に影響を与える可能性があります。また、強固なサプライチェーンセキュリティの重要性も浮き彫りになります。広く使われているライブラリやOSにおける単一のゼロデイが、分散ネットワーク、取引所、カストディサービスにまで波及し得るためです。
アナリストは、防御を主導するAIへの移行期間は混乱しがちだと指摘しています。長期的には、防御の能力が優勢になり、より安全なソフトウェアエコシステムがもたらされると提唱(advocate)する人々は見込んでいます。しかし移行の当面の段階は、広範な誤設定、パッチの遅延、新しい防御技術に攻撃者が適応していく中で脅威戦術が進化する、といった特徴を帯びるでしょう。Anthropicの枠組みづけは、AI支援による防御へのシフトが一瞬で起きるわけではないことを示唆しています。悪用の露出期間を減らすには、継続的な協力、標準化された開示、迅速なパッチサイクルが必要になるからです。
直近の技術的な含意を超えて、業界の観測者は、これらの能力に対して政策やガバナンスの枠組みがどのように適応していくかを注視しています。脅威インテリジェンスを共有することと、機微な脆弱性データを保護することのバランスが、組織がAI駆動の防御からどれだけ早く恩恵を得られるかを左右します。とりわけ、責任の所在、透明性、そしてユーザーの信頼が最重要となる暗号(crypto)に焦点を当てた環境で、その傾向は強まります。
セキュリティ業界の報道が指摘するように、AIを有効化したコードセキュリティをめぐっては、また、AIを安全に規制し導入する方法をめぐるより広い議論の中で、同様の物語が登場しています。メディアと市場の反応には、サイバーセキュリティ関連株のボラティリティが含まれており、投資家が、AI駆動の防御の信頼性と、より能力の高い攻撃者を生み出すリスクを天秤にかけていることが示されています。
当面は、読者はGlasswingがモデルの調査結果をどのように具体的なパッチへ落とし込み、参加企業が共有インテリジェンスをどれくらい迅速に実務化できるかを注視すべきです。その結果は、従来のテックと暗号ネイティブの両方のエコシステムにまたがって、セキュリティ予算、開発者のワークフロー、インシデント対応の準備態勢に影響を与える可能性があります。
なお不確かなのは、業界が未発見ではなく、明らかになった膨大な種類の脆弱性についてパッチギャップをどれほど早く埋められるか、そしてAI支援による防御が、ますます巧妙化する悪用手法の先を維持できるかどうかです。今後数か月は、開発者、運用者、政策立案者にとって、大規模なAIを有効化した防御プログラムがシステミックリスクを減らすうえで、どれだけ実現可能で効果的かを判断する材料になるでしょう。
ひとまず、Anthropicの開示は重要な示唆を強めています。AI能力が成長するほど、強力な発見ツールと、規律ある協調的な防御を組み合わせる必要性も高まります。とりわけ、セキュリティが信頼と継続性から切り離せない領域では、その重要性が増します。
この記事はもともと、Crypto Breaking Newsの「暗号(crypto)に対するサイバー攻撃リスクが迫る中、AnthropicがAIアクセスを引き締める」に掲載されたものです。あなたの信頼できる暗号ニュース源、ビットコインニュース、そしてブロックチェーンの最新情報。
