(ブルームバーグ):ベッセント米財務長官とパウエル米連邦準備制度理事会(FRB)議長はウォール街の経営トップを緊急招集し、アンソロピックの最新人工知能(AI)ツールは新たなサイバーセキュリティー時代の到来を告げると警告した。
4月7日にワシントンで開かれた同会合では、最新AIモデル「Mythos(ミトス)」が焦点となった。アンソロピックによると、ミトスはソフトウエアやコンピューターシステムの脆弱(ぜいじゃく)性を発見する能力が極めて高く、限られた相手にしか提供できないとしている。悪意ある主体の手に渡れば、データ窃取や重要インフラの混乱を引き起こす強力な武器になり得るためだという。
サイバーセキュリティー企業はここ数年、AIによってネットへの不正侵入を防ぐ作業の高速化・自動化が可能になると主張してきたが、同様にハッカーやサイバー工作員もAIの利点を見いだしている。ミトスのように、人間の介入なしで一般的なソフトウエアの隠れた欠陥を悪用できるモデルの登場は、サイバー軍拡競争がより速いスピードで進み、予測困難な段階に入ったことを示している。
ミトスとは何か
アンソロピックは最新AI「Claude Mythos Preview(クロード・ミトス・プレビュー)」について、汎用AIモデルで、コーディングや推論など幅広いベンチマークで従来モデルを大きく上回る性能を持つと説明している。同社はあまりに強力だとして、一般公開しない方針を決めた。AIモデルの一部はソフトウエアの脆弱性の特定や悪用において、最も熟練した人間を除き、ほぼ全てを上回る能力に達しているという。
同社によると、ミトス・プレビューはテスト段階ですでに、「ゼロデイ」と呼ばれる未知の脆弱性を数千件発見しており、これには主要なオペレーティングシステムやウェブブラウザーが含まれるとしている。ゼロデイの名称は問題を解決するためのパッチを作成する時間が「ゼロ」であることに由来する。ゼロデイは脆弱なシステムに自由に侵入できる余地を与えるため、ハッカーにとって格好の標的となる。
ミトスは従来モデルより一段と少ない人的介入で脆弱性を特定できたという。「ミトス・プレビューはこうしたサイバー能力の飛躍を示しており、発見された脆弱性の中には数十年にわたる人間による精査や、数百万回にわたる不具合検出テストをすり抜けてきたものもある」とアンソロピックは説明する。こうしたツールがランサムウエア(身代金要求型ウイルス)の犯罪集団や敵対国の政府の手に渡れば、一段と深刻かつ頻繁にサイバー攻撃が発生する恐れがある。
研究者らは、ミトスの性能に関するアンソロピックの主張を独自に検証するためのアクセスを得ていない。イリノイ大学のガン・ワン准教授(コンピューターサイエンス)は、実際に検証しない限りその重大性を評価するのは難しいと指摘した。
誰が利用できるのか
アンソロピックは選定された一握りのパートナーにアクセスを提供する計画を「プロジェクト・グラスウィング」と呼んでいる。透明な羽で周囲に溶け込むチョウの一種にちなむ名称だ。参加企業には、アマゾン・ドット・コム、アップル、アルファベット傘下のグーグル、マイクロソフト、エヌビディア、パロアルトネットワークス、クラウドストライク、ブロードコム、シスコシステムズ、JPモルガン・チェース、リナックス財団などが含まれる。アンソロピックはこの取り組みについて、防御目的でミトスの能力を活用するための喫緊の試みだと説明している。
提供対象となった組織は防御的なセキュリティー対策の一環としてミトスを活用する。アンソロピックはそこで得た知見を共有することで他の組織にも恩恵が及ぶようにする方針だ。多くの企業はすでに、専門家を雇ってシステムの欠陥を検出する「ペネトレーションテスト(侵入テスト)」を実施している。ミトスはこのプロセスを大幅に強化し、より多くの脆弱性を迅速に発見することで、攻撃されるリスクを低減する可能性がある。
なぜミトスは「転換点」なのか
アンソロピックはミトス・プレビューを「セキュリティーにとっての転換点」と位置付けている。ゼロデイ脆弱性は本来発見が難しく、その特定や政府の情報機関への販売を巡っては、数百万ドル規模の取引が行われる不透明な市場が存在してきた。同社によると、ミトス・プレビューが発見した脆弱性は「巧妙で検出が困難」なものが多く、世界でも極めてセキュリティー対策が強固とされる基本ソフト(OS)「オープンBSD」で27年間放置されていた欠陥も発見した。
さらにミトスは、知られているが修正が広く行き届いていない脆弱性についてネットワークの不正侵入に利用可能な「エクスプロイト」へと転換できたとされる。例えば、OSの中核であり世界のインターネットサーバーの大半で使われるLinuxカーネルの複数の欠陥を組み合わせ、攻撃者がシステムを完全に制御できる状態を作り出した。
また、専門家ではない人物が遠隔でコンピューターを乗っ取る方法の発見をミトス・プレビューに依頼すると、翌朝には実際に機能するエクスプロイトが提示されたケースがあったと、アンソロピックは話している。
ミトスはゼロデイの発見やエクスプロイト構築が可能な新AIツール群の一つだ。オープンAIの「コーデックス・セキュリティー」やグーグルの「ビッグ・スリープ・エージェント」も脆弱性の発見を目的に開発されている。
さらにオープンAIは、高度なサイバーセキュリティー機能を備えた製品を選定されたパートナーに限定公開する最終段階にあると、ニュースサイトのアクシオスが報じた。イスラエルのサイバーセキュリティー新興企業バズ(Buzz)の研究者は、5つのAIエージェントを組み合わせた自律型ツールを開発し、98%の成功率で既知の脆弱性を突いたと明らかにした。
講じられている安全対策は
安全対策の整備はなお途上にあると、アンソロピックは説明している。「これまでにない信頼性とアライメント(人間の意図に沿うこと)の水準に達している」と指摘する一方で、「まれに不具合や異常な振る舞いが見られる場合には、非常に懸念される行動を取ることも確認されている」とも述べている。
ある事例では、研究者が初期版のミトスに対し、外部から隔離された安全な実験環境である「サンドボックス」からの脱出を試み、その研究者にメッセージを送信する方法を見つけるよう指示した。このツールはそれを成功させた後も、「さらに懸念される追加の行動」を取り、インターネット接続を得るため複数の段階にわたるエクスプロイトを構築した。
アンソロピックは悪用されるリスクを踏まえ、ミトス・プレビューを一般公開する計画はないとしている。一方で将来的には、サイバーセキュリティーなどの用途で「ミトス級モデル」を大規模に活用できるよう目指している。「そのためには、最も危険な出力を検知・遮断するサイバーセキュリティー(およびその他の)安全対策の開発を進める必要がある」としている。
アンソロピックによると、ミトスが発見した重大度の高いバグについては人間が関与する。専門家が内容を検証した上でコードの管理者に情報を伝えるという。イリノイ大学のワン氏は、こうしたプロセスは不可欠だが時間を要するものであり、モデルの性能向上に伴い、将来的には不要になる可能性もあると指摘した。
ミトスは防御側に優位性をもたらすか
可能性はあるが、実現には時間を要する可能性がある。アンソロピックがソフトウエアやシステムの管理者に脆弱性を開示するプロセスは時間がかかるとみられる。これまでにミトス・プレビューが発見した潜在的な脆弱性のうち、完全に修正されたのは1%未満にとどまるという。
一方でハッカーはAIを活用することで、脆弱性が公表された後の発見から悪用までの時間を劇的に短縮している(脆弱性は発見された後に開発元が公表し、理想的には修正策を提供することが推奨され、場合によっては義務付けられている)。
その結果、防御側がネットワークを修正するための時間はますます短くなっている。パロアルトネットワークスのニケシュ・アローラ最高経営責任者(CEO)は3月30日のブログで、今後6カ月で高度な攻撃の参入障壁は一段と低下すると警告。「悪意ある主体は、これまでチーム全体を要したような攻撃を単独でも実行できるようになる」と述べた。
イスラエル軍のサイバー部隊8200部隊出身で、バズのヤイル・サバンCEOは、自社のAI型ハッキングツールの開発に6人のエンジニアで3週間を要したと説明。国家主体のサイバー工作員やハッカーも同様のことを実現できるはずだと指摘した。
アンソロピックは、最終的にはミトス・プレビューのようなAIツールは防御側に有利に働くとの見方を維持している。「長期的には防御能力が優勢となる。これらのモデルが書くコードによってソフトウエアは一段と強固になり、世界はより安全になるだろう」と4月7日のブログ投稿で述べた。「ただ、移行期は困難を伴う」という。
原題:Why Anthropic Won’t Release Mythos to the Public: Explainer(抜粋)
もっと読むにはこちら bloomberg.com/jp
©2026 Bloomberg L.P.
