AnthropicのClaude Mythosモデルは、機密扱いの情報演習で、米政府の高度に機微なコンピューターシステムのセキュリティ上の欠陥をわずか数時間で暴き出したと、ある当局者が述べた。
主なポイント:
- AnthropicのMythos AIは、情報テストで数時間以内に米政府の機密システムの脆弱性を特定したと、ある当局者が述べた。
- 弱点を見つけることは、それを実際に悪用することと同じではない、と当局者は警告した。
- 100人を超えるサイバーセキュリティ専門家が、MythosとFable 5を停止させた輸出規制の撤回を政府に求めている。
Mythosのテストで機密政府システムの欠陥が露呈
機微な業務であることを理由に匿名を条件に語った米政府当局者によると、情報機関はProject Glasswing(グラスウィング計画)と呼ばれるプログラムの下で、同社とともにこの演習を実施したという。この取り組みは、重大な欠陥が公共の安全や経済に深刻な被害を及ぼす前に、それらを防ぐため、テック大手や他の企業を集めて重要なソフトウェアを強化することを目的としていた。AnthropicはMythosの一般公開を見送り、代わりに一部の企業にのみ早期アクセスを与え、攻撃者より先に重大なバグを見つけて修正できるようにしていた。
バージニア州選出の民主党上院議員マーク・ワーナーは6月11日、上院銀行・住宅・都市問題委員会の公聴会で初めてこのテストに言及した。彼は、このツールが政府のほぼすべての機密システムに数週間ではなく数時間で侵入したと述べ、その証言を国家安全保障局(NSA)および米サイバー軍を率いるジョシュア・ラッドに帰した。
当局者は、弱点を特定することは、それを実際に悪用することと同義ではないと警告した。
関連記事: Anthropic Perpの売り圧は、未公開株系クリプト投資への警告か?
サイバーセキュリティ専門家が輸出規制に異議
AdobeやNvidiaの関係者を含む100人以上のサイバーセキュリティ分野のリーダーたちが、政府に対し輸出規制を見直し、AIリスクを評価するための透明なプロセスを約束するよう求めている。彼らは、Mythosはソフトウェアの欠陥を発見し兵器化する能力を持つが、その点で特別に突出しているわけではなく、多くの専門家が競合やオープンソースのモデルを同様の目的で活用していると主張した。中国のシステムは、最高水準の米国モデルから数カ月遅れで追随しているに過ぎないとし、その意味で今回のタイミングは特にリスキーだと訴えた。
こうした反発は、Mythos 5およびFable 5といったMythos上位モデルの広範な提供について、外国籍の利用を禁じた6月12日の輸出指令を受けて起きたものだ。Anthropicは政府の要請に応じ、すべての顧客に対して両モデルを無効化したが、同社としては政府の措置に安全保障上の根拠は見いだせないとの立場を崩していない。
この指令は、ドナルド・トランプ大統領が署名した大統領令を受けて出されたものであり、その大統領令は、最先端AIシステムのリリース前に最長1カ月の連邦審査を行う枠組みを整備した。開発企業の参加は任意だと大統領令はうたっているものの、安全性を重視する同社と政府との間では緊張が高まっている。
対立以前からあったMythosのサイバー実績
このモデルは今春登場した際、ベテランの人間研究者でさえ見逃すソフトウェアの欠陥をあぶり出す能力があることが文書で示されていた。英国のAI Security Instituteは以前、専門家レベルのキャプチャ・ザ・フラッグ(CTF)チャレンジにおいて、これまでいかなるシステムも解けなかった課題群に対し、Mythosが73%を解決したとして、そのサイバー能力を確認した。Mozillaも別途、Firefoxの脆弱性271件を発見したとして、初期バージョンのMythosを評価しており、これらはブラウザーの150回目のリリースで修正された。