セキュリティ実務家たちは、Anthropic の未公開 Mythos AI モデルがハッキングの大波を引き起こすとの警鐘に反論しており、ローンチから1カ月後の今、その反応は過度だと評している。
実務家は Mythos パニックを冷静化
Mythos に関連したハッキングリスクは、各国政府が当初恐れていたほど大きくはないと、Reuters が報じたのは水曜日のことだ。4月のローンチ時、Anthropic は、このモデルが主要なあらゆるオペレーティングシステムとブラウザにまたがって数千件のソフトウェア脆弱性を発見したと説明していた。
いくつかの国では当局が銀行と会合を開き、影響度を測ろうとしたほか、ホワイトハウスも5月初旬までには、安全性テスト後の新モデル公開方法に関するルール策定を検討していた。
一方で、サイバーセキュリティ業界内部の反応はより落ち着いている。ソフトウェアセキュリティ企業 Semgrep の創業者兼CEOである Isaac Evans 氏は、Reuters に対し、「実務家と政策立案者の間には非常に大きなコミュニケーションギャップがあると思う」と語った。同氏は、このモデルを「真の技術的前進」と評価しつつも、世間の反応は「我々が実際に把握している事実によって裏付けられてはいない」と付け加えた。
関連記事: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
専門家が見る「抑制されたリスク」
より大きな問題は、バグを見つけることではなく、その優先度付けだ。早期アクセスを持つある脆弱性研究者は、AI によってチームが数カ月では処理しきれないほど多くの欠陥が表面化しており、実際のボトルネックは検証とパッチ適用だと述べている。
Mythos は、以前のモデルより弱いプロンプトからでも結果を出せるため、参入障壁を下げている。
Cisco のシニアバイスプレジデント兼最高セキュリティ & トラスト責任者である Anthony Grieco 氏は、コードスキャンの高速化や誤検知の削減によって、防御側が最も差し迫ったリスクに集中しやすくなる点を指摘した。一方で、Mythos は以前のリリースよりガードレールが少ない側面もある。
元 FBI 上級サイバーセキュリティ担当官で、現在はセキュリティ企業 Halcyon に所属する Cynthia Kaiser 氏は、多くの攻撃はいまだにAIに依存していないと述べる。「敵対勢力は、AI がなくても十分に腕を上げてきました」と同氏は語り、ランサムウェア集団が現在では1時間以内に被害者を攻撃している状況を指摘した。
プロジェクト「Glasswing」の背景
Anthropic は4月7日に Project Glasswing を始動し、選定された組織に対して、防御的サイバーセキュリティ用途で Claude Mythos プレビューへのアクセスを提供した。パートナーには Apple、Microsoft、Google、AWS、CrowdStrike などが含まれる。国防総省は3月、Anthropic をサプライチェーンリスクに分類した一方で、NSA は引き続き Mythos Preview を利用していると報じられた。ホワイトハウスは4月末、パートナー企業リストを約50社から約120社へと拡大する計画を却下した。
次に読む: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain