Anthropic、新AIモデル「Claude Mythos Preview」発表、自律的に脆弱性を発見可能に

Anthropicの研究チームによると、Mythos Previewはテストにおいて、OpenBSD、FreeBSD、Linuxカーネル、FFmpeg、主要Webブラウザーなど、広範なソフトウェアで未発見の脆弱性を特定しました。特に、27年前から存在したOpenBSDのバグや、16年前のFFmpegの脆弱性を発見した事例が紹介されています。

これらは単なるバグの発見に留まらず、実際にシステムを乗っ取るための「エクスプロイト」（攻撃コード）までを完全自律で生成します。例えば、FreeBSDのNFSサーバーにおける17年前の脆弱性を悪用し、未認証の攻撃者がルート権限を取得するリモートコード実行攻撃を構築しました。同社のNicholas Carlini氏らは、このような複雑なエクスプロイトの開発が、専門家でも数週間かかる作業を、Mythos Previewは数時間で完了させたと述べています。

脅威はその高度さだけではありません。Anthropicのセキュリティ訓練を受けていないエンジニアでも、Mythos Previewに「遠隔コード実行の脆弱性を探して」と依頼するだけで、翌朝には完成した攻撃コードを受け取ることができたといいます。これは、高度なサイバー攻撃の実行に必要な専門知識のハードルが、AIによって劇的に下がることを意味します。

同社は、昨月公開した「Opus 4.6」モデルが自律的なエクスプロイト開発でほぼ0%の成功率だったのに対し、Mythos Previewは同じテストで181回の成功を収めたと比較しており、能力の飛躍的進化を強調しています。

このような強力な能力が広く利用可能になる前に、防御側の態勢を強化する必要があるとして、Anthropicは「Project Glasswing」を開始しました。これは、重要な産業パートナーやオープンソース開発者に限ってMythos Previewへのアクセスを提供し、最も重要なシステムの保護を支援する取り組みです。

同時に同社は、一般の防御側に対しても、現在公開されている最先端モデル（Claude Opus 4.6等）を活用した脆弱性発見の実践を早急に始めること、パッチ適用サイクルの短縮、インシデント対応の自動化などを呼びかけています。Anthropicは、長期的にはこのようなAIが防御側により大きな利益をもたらすと期待しつつも、過渡期には混乱が生じうるとして、業界全体での協調行動の必要性を訴えています。

A. Anthropicが開発した新しいAI言語モデルで、ソフトウェアの未発見の脆弱性を自律的に探し出し、それを悪用する攻撃コードまで生成できる能力を持ちます。

A. 従来モデルが脆弱性の「発見」に留まっていたのに対し、Mythos Previewは発見した脆弱性を実際に攻撃に使える形の「エクスプロイト」まで自動生成できる点が大きく進化しています。

A. 重要な社会インフラを担う企業や、広く利用されるオープンソースソフトウェアの開発者など、特に防御が急がれる「重要な産業パートナー」を対象としています。

O!Productニュース編集部からのコメント

非専門家が「一晩で遠隔コード実行攻撃を作れる」という記述が最も現実味を感じます。社内の情シス担当は、従来の「専門家による攻撃」を想定した対策の見直しが必要になるかもしれません。

引用元：Anthropic