Key Takeaways:
強力なAIモデル「Mythos」に関するAnthropicの方針転換は、協調的防衛の新たな時代の到来を告げるものであり、人間主導の対応を追い越すAI駆動型の脅威に直面する脆弱なサイバーセキュリティセクターに再考を迫っています。
Anthropicは、強力なAIモデル「Mythos」に関する主要な方針を撤回し、独占的な「プロジェクト・グラスウィング」に参加する約50社に対し、外部機関との脅威インテリジェンスの共有を許可しました。当初の守秘義務契約からの大きな転換となるこの動きは、AIが発見した脆弱性を秘匿することが重要インフラを危険にさらしかねないと懸念する米議員らからの圧力を受けたものです。
ウォール・ストリート・ジャーナル紙によると、下院民主党のAI委員会共同議長であるジョシュ・ゴットハイマー議員(ニュージャージー州選出)は、Anthropicへの書簡の中で、「いかなる主体も、他者に警告を発したり、緩和策を調整したり、信頼できる関係者に緊急のサイバーリスクを通知したりすることを、契約によって制限されるべきではない」と述べました。
当初の方針では、Mythosを使用する大企業や重要インフラ運営者は、その発見内容を機密として保持することが求められていました。先週、Anthropicはこれらのパートナーに対し、サイバー脅威やMythosの発見に関する情報を責任を持って共有できるようになったとの通知を開始しました。この変化は、パロアルトネットワークスやモジラなどの企業が同モデルの有効性を公表し始めた時期と重なっており、モジラはMythosがFirefoxブラウザの1回の実行で271件の脆弱性を発見したと指摘しています。
Anthropicの方針をめぐる議論は、テクノロジーセクター全体が直面している核心的な課題を浮き彫りにしています。それは、前例のない規模でデジタルシステムを構築し、かつ破壊することもできるAIツールの展開をいかに管理するかという点です。Mythosのようなモデルの能力は、一部のサイバーセキュリティ専門家が「バグマゲドン(Bugmageddon)」と呼ぶ事態、つまりAIによる脆弱性発見の洪水を引き起こしており、人間主導のパッチ適用やネットワーク防御のプロセスを圧倒する恐れがあります。
複雑なソフトウェアのバグを悪用するのは希少なスキルであるという前提が崩れつつあります。Googleの最新レポートによると、攻撃チェーン全体が「ますますソフトウェアによって定義されるようになり、かつてないほど迅速かつ安価に実行されるようになっている」とのことです。この傾向は単にハッキングを増やすだけでなく、ハッキングの産業化を招いています。クラウドストライクは、2025年におけるAIを活用した敵対的活動が前年比89%増加したと記録しており、これはAIの助けなしには不可能なテンポです。
この変化のスピードは驚異的です。パッチのリリースから実際に機能するエクスプロイト(脆弱性悪用プログラム)が登場するまでの時間を追跡する「ゼロデイ・クロック」プロジェクトによると、その平均時間は2018年の2.3年から2026年にはわずか20時間へと短縮されました。AIが「パッチ・ディフ(修正前後の比較)」や修正プログラムのリバースエンジニアリングを行う能力によって引き起こされるこの加速は、組織が欠陥を修正するための時間をほとんど残しません。
外交評議会(CFR)による最近の分析によると、AIの普及は、過去30年間にわたりサイバーセキュリティを支えてきた3つの核心的な前提を試しています。第一は、巧妙な攻撃にはコストがかかるという点でしたが、AIはそれを安価にしました。第二は、人間用に構築されたアイデンティティ・システムが非人間のエージェントを管理できるという点でしたが、自動化されたエージェントが予期せぬ結果を伴う行動を開始したことで、それが誤りであることが証明されつつあります。
そして最後、かつ最も微妙な亀裂は、安全装置としての「人間の判断」が排除されていることです。かつてはアナリストが異常を察知して立ち止まっていた場面でも、現在、組織は機械的なスピードで運用するためにレビューや承認を自動化しています。これにより、最も必要とされる瞬間に、非公式ながらも極めて重要な防御層が取り除かれてしまうのです。
脅威情報の広範な共有を認めるというAnthropicの決定は、この新たな現実を暗に認めたものです。投資家にとって、この動きはサイバーセキュリティの展望が恒久的に変化したことを示唆しています。Mythosの能力が初めて発表された際、AIがセキュリティ業務をコモディティ化するとの懸念からサイバーセキュリティ関連株は下落しました。しかし現実はより複雑です。AIが攻撃を自動化する一方で、高度なAI駆動型の防御や堅牢なガバナンス枠組みへのニーズは、新たなハイステークスな市場を生み出しています。方針変更はAnthropicやOpenAIのようなAIリーダー企業のコンプライアンスコストを増大させる可能性がありますが、攻撃者と防御者の双方が機械的なスピードで活動する世界に適応しなければならないサイバーセキュリティセクター全体の価値を再確認させるものでもあります。
本記事は情報提供のみを目的としており、投資勧誘を目的としたものではありません。
