Anthropicは、モデルがOS、Webブラウザ、その他のソフトウェアにわたって何千もの重大な脆弱性を明らかにしたことを受け、Claude Mythos Previewを限定的なテスト段階へ移し、選抜されたエンタープライズ・パートナーのみに提供している。今回の開示は、AIを活用したセキュリティツールが秘める計り知れない可能性と、能力が現実の世界へ拡散するにつれて伴って生じる新たなリスクの双方を浮き彫りにしている。
同社はMythos Previewを汎用モデルだと説明しており、社内評価の過程で主要なプラットフォーム全体における高い深刻度の弱点を特定したという。Anthropicは、こうした能力は責任をもって管理されなければ急速に広がり得ると警告しており、敵対者はセーフガードが整う前にこれらのツールを投入する可能性があると指摘した。
「AIの進歩の速さを考えると、こうした能力が拡散するのもそう遠くない。安全に導入することを約束している主体の範囲を、潜在的には超えるかもしれない。」
セキュリティ研究者は長年、AIが発見と悪用を自動化することでサイバー攻撃を加速し得ると警告してきた。AI主導の脅威がますます一般的になっている状況の中で、Anthropicは憂慮すべき傾向に言及した。AllAboutAIは、AIを活用したサイバー攻撃が前年比72%増加したと報告しており、また2025年には世界の組織の87%がAIによる攻撃を経験したという。そのような背景のもとでAnthropicは、不正な行為者に追いつき追い越すための防御用AIツールの必要性を強調した。
防御を強化するために、Anthropicは同日、Project Glasswingを発表した。この取り組みは40社超を結集し、Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft、Nvidiaなどが含まれる。狙いは、Claude Mythos Previewの能力を活用してバグを見つけ、パートナーとデータを共有し、不正な行為者が悪用する前に重大な脆弱性を修正することだ。
要点
Claude Mythos Previewは、OS、ブラウザ、暗号化ライブラリにわたって何千もの重大な脆弱性を特定しており、潜在的な悪用に向けた広範な攻撃面があることを示している。
これらの欠陥の大半は未だ修正されていない。Anthropicは、自社が見つけた脆弱性の約99%はまだ修正されていないと指摘している。
Project Glasswingは、AI主導の防御を実務として回すために業界横断の連合を動員し、ソフトウェア・スタック全体でのバグ発見、開示、復旧(リメディエーション)を加速することを目指している。
脆弱性は数十年にわたって及んでおり、広く使われているソフトウェアの長年にわたる脆さ、そして重要インフラやblockchainとcryptoエコシステムへの継続的なリスクが示唆されている。
AI主導の脆弱性発見と、何十年も前からの弱点
Anthropicの初期の調査結果は、憂うべき現実を明らかにしている。何年、あるいは何十年も放置されてきた欠陥であっても、今日においてなお重大な脅威になり得るということだ。挙げられた例には、すでにパッチが当たっているが歴史的に重要なOpenBSDのバグが含まれており、テストで再浮上した27年前の脆弱性が例として挙げられている。さらに、FFmpegライブラリの16年前の欠陥、FreeBSDオペレーティングシステムにおける17年前のリモートコード実行の脆弱性も示された。開示はLinuxカーネル内の複数の脆弱性にも及び、適切に保守されているオープンソース・プロジェクトであっても、潜在的なリスクから免れないことを示している。
OSの枠を超えて、Mythos Previewは暗号化の領域における弱点も指摘した。ここは、安全な通信や取引の基盤となる領域である。報道によれば、このモデルはTLS、AES-GCM、SSHを含む、広く使われているライブラリやプロトコルの不具合を特定したという。脆弱性発見の特に豊かな土壌として浮上したのはWebアプリケーションで、クロスサイトスクリプティングからSQLインジェクション、クロスサイトリクエストフォージェリまで、幅広い問題が見つかった。後者は、多くの場合、フィッシング型のキャンペーンで悪用される。
Anthropicは、これらの問題の多くが微妙であり、文脈に依存したり、複雑なコードパスの奥深くに埋め込まれていたりするため、従来の監査だけでは表面化させにくいと強調した。開発者や運用者にとっての示唆は明確だ。成熟したソフトウェア・スタックであっても、AIが従来の手法よりはるかに速く見つけ出し得る重大な欠陥を隠している可能性がある。
同社はまた、調査結果に伴う厳しい統計も挙げた。これらの脆弱性の大半はまだパッチが当てられておらず、対処が迅速でなければ、日和見的な攻撃者に悪用され得る露出(エクスポージャー)の“窓”が生まれている、というものだ。
Glasswing:先手を打つ防御のための連合
Project Glasswingは、事後的な分析を行う取り組みというより、先手を打つ防御プログラムとして打ち出されている。クラウド提供事業者、ハードウェア開発者、金融機関、オープンソース・エコシステムにまたがる参加者からリソースと専門知識を集めることで、GlasswingはAI主導の脆弱性発見を学習ループへと転換し、パッチの作成と展開を加速させることを目指している。協力により、新たに出現する脅威に関する洞察を共有し、ベンダーやサプライヤーとの開示を調整し、悪用が広く行き渡る前に迅速な是正を後押しすることを狙う。
主要な参加者は、業界の大手企業や、重要なセキュリティ・エコシステムに及ぶ。Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft、Nvidiaなどが含まれ、他にも多数ある。この取り組みは、ソフトウェア供給網(サプライチェーン)を強化し、脆弱性発見からパッチ適用までの“窓”を縮めるために、大規模な技術企業の連合が連携するという、拡大しつつある動きを反映している。この目的は特にblockchainや暗号資産(crypto)のインフラにとって重要であり、セキュリティ・インシデントがネットワークやエコシステム全体にわたる連鎖的な障害を引き起こす可能性があるからだ。
暗号資産とサイバーセキュリティ・エコシステムにとって、この変化が意味するもの
暗号資産分野の投資家やビルダーにとって、Mythos Previewの調査結果とGlasswingの協調モデルは、リスクとレジリエンスに関するより微妙な見方をもたらす。第一に、AI支援による脆弱性発見は、暗号プラットフォーム、ウォレット、ノードソフトウェア、スマートコントラクトのエコシステムのセキュリティ体制を大幅に改善し得る。人間が検知するまでにさらに長い時間を要したはずの弱点を見つけられる可能性があるからだ。第二に、こうした強力なツールへの早期アクセスにはガバナンスと安全性の問題が伴う。すなわち、調査結果の開示を誰が管理するのか、パッチがどれくらいの速さで発行されるのか、そしてリアルタイム市場においてユーザーのリスクがどのように価格に反映されるのか、という点である。
市場の観点からは、AIを有効化したセキュリティツールに関する動きが、暗号インフラ内でのセキュリティ・プリミティブ、監査スイート、形式検証サービスへの需要に影響を与える可能性がある。また、強固なサプライチェーン・セキュリティの重要性も浮き彫りにしている。広く使われているライブラリやOSの単一のゼロデイが、分散型ネットワーク、取引所、カストディサービスへと波及し得るからだ。
アナリストは、防御主導のAIへの移行期間は困難を伴う可能性が高いと指摘する。長期的には、防御能力が優勢になり、より安全なソフトウェア・エコシステムにつながることが期待されるが、中間のフェーズでは、攻撃者が新しい防御技術に適応するにつれて、設定ミスの蔓延、パッチの遅延、そして進化する脅威の戦術によって特徴づけられるだろう。Anthropicの見立ては、AI支援による防御への移行は即時には起こらず、悪用の“窓”を縮めるには、継続的な連携、標準化された開示、迅速なパッチサイクルが必要になることを示唆している。
直近の技術的な影響を超えても、業界の観測者は、政策やガバナンスの枠組みがこれらの能力にどのように適応していくのかを見守っている。脅威インテリジェンスを共有することと、機微な脆弱性データを保護することのバランスが、組織がAI主導の防御からどれくらい早く恩恵を得られるかを左右する。これは、責任(liability)、透明性、ユーザーの信頼が何よりも重要となる、暗号資産に重点を置いた環境では特に当てはまる。
セキュリティ分野での報道にもある通り、AIを有効化したコードセキュリティについては同様の物語が出てきており、またAIを安全に規制し導入する方法をめぐるより広い議論も進んでいる。メディアや市場の反応には、サイバーセキュリティ関連株のボラティリティも含まれており、投資家がAI主導の防御の信頼性を、より能力の高い攻撃者を生み出すリスクとの比較でどのように見積もっているかが示されている。
当面は、読者はGlasswingがモデルの調査結果を具体的なパッチへどう落とし込むのか、そして参加企業が共有されたインテリジェンスをどれほど迅速に運用化できるのかに注目すべきだ。その結果は、セキュリティ予算、開発者のワークフロー、インシデント対応の準備状況に影響を与える可能性が高い。対象は、従来型のテックと暗号ネイティブの両方のエコシステムに及ぶだろう。
不確かなままなのは、膨大な数の未発見・未特定の脆弱性について、業界がどれほど迅速にパッチのギャップを埋められるのか、そしてAI支援の防御がますます高度化する悪用手法の先行を維持できるのか、という点だ。今後数か月は、開発者、運用者、政策立案者にとって、大規模なAIを有効化した防御プログラムの実現可能性と有効性について示唆を与えることになるだろう。システム全体のリスクをどれほど減らせるのかが問われる。
ひとまず、Anthropicの開示は重要な示唆を補強している。AI能力が成長するにつれて、強力な発見ツールと、規律のある協調的な防御を組み合わせることの必要性も高まる—特に、セキュリティが信頼と継続性から切り離せない分野において。
この記事は元々、Crypto Breaking News にて「Anthropic tightens AI access as cyberattack risk looms for crypto」として公開されました—暗号資産ニュース、Bitcoinニュース、そしてblockchainのアップデートにおける信頼できる情報源です。
