Anthropicの新しいAIモデル「Mythos」はサイバーセキュリティの勢力図を塗り替えつつあるが、その脆弱性発見能力は重要インフラにとって諸刃の剣となっている。
戻る
戻る
AnthropicのAI「Mythos」が2000件の脆弱性を発見、インフラへの懸念強まる
Anthropicの新しいAIモデル「Mythos(ミトス)」は、わずか7週間のテストで2,000件以上のソフトウェア脆弱性を発見し、ソフトウェアパッチの急増を余儀なくさせるとともに、国家の重要インフラのセキュリティに対する警戒感を呼び起こしています。ソフトウェアのバグ特定において人間の専門家を凌駕するこのモデルは、現在、Amazon、Microsoft、JPMorgan Chaseを含む約40の機関で限定的な試行が行われています。この事実の発覚により、企業や政府の間で、このような強力なデュアルユース(軍民両用)技術のリスクをどのように管理すべきかという緊急の議論が巻き起こっています。
「私の理解では、Mythos以前の世界があり、Mythos以後の世界があるということです」と、Ciscoの最高製品責任者(CPO)であるジートゥ・パテル氏はフィナンシャル・タイムズのインタビューで語りました。
試行参加者への直接的な影響は、ソフトウェアアップデートの洪水でした。フィフス・サード・バンクの最高財務責任者(CFO)であるブライアン・プレストン氏は、テクノロジーサプライヤーであるMicrosoftがMythosのリリース以来、150近いアップデートを配信したと指摘しました。モデルは公開されていませんが、Anthropicは今週、サードパーティのチャネルを介した不正アクセスの報告を調査していることを明らかにし、モデルの拡散に対する懸念を強めています。
核心的な脅威は、セキュリティシステムをバイパスするために複数の脆弱性を「連鎖(チェーン)」させるモデルの高度な能力です。この能力が悪用された場合、従来のツールよりもはるかに危険なものとなります。これは、銀行、病院、公共インフラなど、大幅なサービス停止なしには更新が困難な古いソフトウェアに依存していることが多い重要セクターにとって、かつてないリスクとなります。
パッチの氾濫が運用上のプレッシャーを生む
隠れた欠陥を発見することの防御的価値は明らかですが、Mythosによって特定された膨大な数の脆弱性は、新たな運用上の課題を生み出しています。パロアルトネットワークスの最高セキュリティ責任者(CSO)であるハイダー・パシャ氏は、このモデルがビジネスシステムの安定性を損なうような大規模なパッチ適用を引き起こす可能性があると警告しました。この困難は、システムのダウンタイムを許容できないことが多い重要インフラ事業者にとって最も深刻です。「パッチ適用の難しい点は、時にシステムを停止させなければならないことです」とパテル氏は述べています。「ほとんどの組織はダウンタイムを許容できないため、予定されたメンテナンス時間枠で行います」。脆弱性の発見からパッチ適用までのこのタイムラグは、同じAI能力を備えた攻撃者にとって危険な隙(ウィンドウ)を生む可能性があります。
政府と銀行が対応に奔走
Mythosの登場は、世界中の政府や金融機関から迅速な反応を引き出しました。インドのニルマラ・シタラマン財務相は、銀行トップ、インド準備銀行(RBI)、およびインドコンピュータ緊急対応チーム(CERT-In)とのハイレベル会議を主催し、脅威の評価を行いました。銀行が行っているサイバーセキュリティの取り組みを評価しつつ、最新のAIモデルによる脅威は「前例のないもの」であり、高度な警戒と調整が必要であると指摘しました。政府は、銀行と関係機関の間でのリアルタイムの脅威インテリジェンス共有フレームワークの必要性を強調しました。中央銀行や金融機関はAnthropicに対しMythosへのアクセスを要求したと報じられていますが、同社は甚大なリスクを理由にタイムラインの提示を拒否しています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。