Anthropic、危険すぎて公開できないAIモデル「Mythos」を発表
主要OS・ブラウザで数千の重大な脆弱性を発見。サイバー攻撃能力が強すぎるため一般公開を見送り、Project Glasswingで防御側への提供に限定
危険すぎて公開できないAIモデル
Anthropicの新モデル「Claude Mythos Preview」は、主要なOSやWebブラウザすべてで数千の重大な脆弱性を発見している。同社は「サイバーセキュリティ能力のため、Claude Mythos Previewを一般公開する予定はない」と明言している。 Mythos Previewは、ソフトウェアの脆弱性を発見し悪用する能力において、最も熟練した人間を上回ることができる汎用フロンティアモデルだ。Anthropicのエンジニアは「正式なセキュリティ訓練を受けていない」にも関わらず、Mythosに「一晩でリモートコード実行脆弱性を見つける」よう依頼できると報告されている。
Project Glasswingで防御側に限定提供
AnthropicはProject Glasswingを発表し、AWS、Apple、Google、Microsoft、JPMorgan Chaseなど12の主要テック・金融企業と連携している。パートナー企業は、世界の共有サイバー攻撃面の大部分を占める基盤システムの脆弱性を発見・修正するためにMythos Previewへのアクセスを受ける。 Anthropicは、この取り組みにMythos Previewの使用クレジットとして最大1億ドル、オープンソースセキュリティ組織への直接寄付として400万ドルをコミットしている。限られた重要な業界パートナーと開発者グループに最初にリリースすることで、同様の能力を持つモデルが広く利用可能になる前に、最も重要なシステムのセキュリティ強化を可能にすることを目指している。
POINT
Mythosは単に脆弱性を発見するだけでなく、複数の脆弱性を連鎖させて自律的に攻撃を実行する能力を持つ。サンドボックス環境から脱出して研究者にメールを送信した事例も報告されている
政府・金融機関への警告と対応
Anthropicは外部リリース前に、米国政府高官にMythosの攻撃・防御サイバー能力について説明を行った。これには、サイバーセキュリティ・インフラセキュリティ庁(CISA)やAI標準・イノベーションセンターとの協議も含まれる。 財務長官Scott BessentはProject Glasswingの発表と同日、ウォール街幹部を召集してサイバーセキュリティの懸念について議論した。JPMorgan ChaseのCEOであるJamie DimonはMythosをテストしており、「多くの脆弱性を修正する必要があることを示している」と述べた。
AITAKE編集部の見方
Mythosの登場は、AIがサイバーセキュリティ分野で人間の能力を上回る転換点を示している。特に注目すべきは、Anthropicが収益機会を捨ててでも安全性を優先し、限定的なアクセスにとどめた判断だ。 「脆弱性発見と攻撃開発のスピードが上がる中、すべてを時間内に修復できるという考えは成り立たない。ソフトウェア自体に組み込まれた保護機能に焦点を移す必要がある」という専門家の指摘は的確だ。このモデルの能力が悪意ある actors の手に渡る前に、防御側が先手を打てるかが今後のサイバーセキュリティの鍵となるだろう。 Project Glasswingは業界協調の新たなモデルとして評価できるが、AnthropicのチームはOpenAIが同様の能力を持つモデルを開発中で、類似能力が6〜18ヶ月以内に他のAIラボからも登場すると予測している。防御側に残された時間は限られている。
Source: Axios