セキュリティ実務家たちは、Anthropic の未公開 Mythos AI モデルがハッキングの大波を引き起こすという警鐘に反論し、ローンチから1カ月が経った今、その反応は過剰だと述べている。
実務家が Mythos パニックを冷静化
Mythos に結び付けられたハッキングリスクは、政府が当初恐れていたほど大きくはないと Reuters が報じたのは水曜日のことだ。4月のローンチ時、Anthropic は、このモデルが主要なあらゆるオペレーティングシステムとブラウザにまたがる数千のソフトウェア欠陥を発見したと説明していた。
複数の国の当局者が銀行と会合してエクスポージャーを確認し、ホワイトハウスは5月初旬までに、安全性テスト後に研究所が新モデルをどのように公開するかについて規制を検討していた。
しかしサイバーセキュリティ分野の内側では、反応はより落ち着いている。「実務家と政策立案者の間には非常に大きなコミュニケーションギャップがあると思います」と、ソフトウェアセキュリティ企業 Semgrep の創業者兼 CEO の Isaac Evans 氏は Reuters に語った。このモデルは「真の技術的進歩」だとしながらも、世間の反応は「我々が実際に知っていることによって裏付けられてはいない」と付け加えた。
関連記事: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
専門家は「慎重なリスク」と評価
より大きな問題はバグを見つけることではなく、それらをトリアージすることだ。早期アクセスを持つある脆弱性研究者は、AI によって数カ月分の対応能力を超える量の欠陥が表面化しており、真のボトルネックは検証とパッチ適用にあると述べた。
Mythos は、以前のモデルが必要としたより弱いプロンプトからでも結果を出せるため、参入障壁を下げている。
Anthony Grieco 氏(Cisco のシニアバイスプレジデント兼最高セキュリティ・トラスト責任者)は、コードスキャンの高速化と誤検知の減少により、防御側が最も重大なリスクに集中できるようになると指摘した。一方で、Mythos は以前のリリースよりガードレールが少ないことも明らかになっている。
元 FBI の上級サイバーセキュリティ担当官で、現在はセキュリティ企業 Halcyon に所属する Cynthia Kaiser 氏は、依然としてほとんどの攻撃は AI に依存していないと語る。「敵対者たちは、AI がなくても本当にうまくやれるようになっています」と述べ、ランサムウェア集団が被害者を1時間以内に攻撃するケースが増えていると指摘した。
プロジェクト Glasswing の背景
Anthropic は 4 月7日に Project Glasswing を開始し、防御的なサイバーセキュリティ業務向けに Claude Mythos プレビューへのアクセスを特定組織に提供した。パートナーには Apple、Microsoft、Google、AWS、CrowdStrike などが含まれる。国防総省は3月に Anthropic をサプライチェーンリスクと位置付けたが、その一方で NSA は Mythos プレビューの利用を続けていると報じられている。ホワイトハウスは4月末、パートナー企業を約50社から約120社へと拡大する計画を退けた。
次に読む: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain