Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。
Anthropicの新型AI(人工知能)モデルが、長年放置されてきた脆弱(ぜいじゃく)性を続々と検知しているというニュースが飛び込んできた。Anthropicが2026年4月7日(米国時間)、公式ブログで発表した。AIモデルの名称は「Claude Mythos Preview」。この報道を受けて、米国や英国の政府関係機関が緊急協議を始めている。
Claude Mythos Previewは、従来のセキュリティツールとは一線を画す能力を持つ。最大の特徴は、人間や既存ツールが見逃してきた脆弱性を発見できる点にある。
実際に同モデルは、主要なOSやWebブラウザを含む広範なソフトウェアから、高深刻度の脆弱性を既に数千件発見したとされる。中には、数十年にわたり見過ごされてきたゼロデイ脆弱性も含まれる。
さらに特筆すべきは、脆弱性の「発見」にとどまらない点だ。同モデルは、それを悪用するための攻撃コード(エクスプロイト)まで自律的に生成できる。従来は専門家が数週間かけて実施してきた作業を、数時間で完了させる事例も報告されている。
この能力は、防御側にとっては強力な武器となる一方、攻撃者に渡れば深刻なリスクとなる。英国の金融機関が規制当局と協議を始めたのも、この「攻撃と防御の両面を持つAI」の登場が背景にある。
セキュリティ専門家の間では、「問題は技術の存在ではない。それに組織が適応できるかどうかだ」との指摘も出ている。AIが金融やインフラの基盤を攻撃・防御の両面で揺るがす時代が現実になりつつある。
こうしたリスクを踏まえ、Anthropicは「Project Glasswing」を立ち上げた。これは、Claude Mythos Previewの能力を防御目的に活用するための取り組みである。
同プロジェクトでは、限られた企業や組織のみがモデルにアクセスできる。参加企業には、Amazon Web ServicesやApple、Microsoft、Google、Cisco Systems、Palo Alto Networksなどが含まれる。金融機関ではJPMorgan Chaseも名を連ねる。
これらの組織は、同モデルを用いて自社システムやソフトウェアの脆弱性を洗い出し、防御強化に役立てる。いわば「攻撃可能なAI」をあえて防御側に先行配備する試みである。
Anthropicはこの取り組みを「緊急の防御強化策」と位置付ける。AIの進化速度を踏まえると、同様の能力は近い将来に広く拡散する可能性が高いためだ。
その前に、防御側が運用やプロセスを整備できるかが鍵となる。Project Glasswingは、そのための時間を稼ぐと同時に、業界全体で知見を共有する枠組みでもある。
短期的には攻撃優位に傾く可能性がある一方で、長期的にはAIを使いこなす組織が防御面で優位に立つ。Project Glasswingは、その転換点を見据えた取り組みだといえる。Anthropicは「得られた知見を共有し、業界全体の利益につなげる」との見解を示した。
FinTech(金融とITの融合)業界の専門家でThe Finanser代表のクリス・スキナー氏は、自身のブログでこの事態を「早期警報」だと表現した。同氏は「AnthropicがClaude Mythos Previewを厳格に制限しても、同様の能力は別の場所で早々に出現する恐れがある」と警鐘を鳴らす。
「真の課題は技術の存在そのものではない。AIが金融の基盤を防御し、同時に攻撃もできる世界で、組織が迅速に適応できるかどうかだ」とスキナー氏は付け加えた。
専門家ですら存在を知らなかった、数十年前からのゼロデイ脆弱性をAIが特定したという事実は極めて重い。
匿名を条件に取材に応じた英国銀行部門のITセキュリティ専門家は、次のように語った。
「脆弱性の発見と修正は常に可能だった。しかし、AIの検出スピードは桁違いだ。悪用されれば、ソフトウェアの開発者が問題を修正する前に、欠陥を突かれてしまう」
この状況を踏まえて、イングランド銀行(BoE:Bank of England)や金融行為監督機構(FCA:Financial Conduct Authority)、英国政府が国家サイバーセキュリティセンター(NCSC)と連携し、主要ITシステムの潜在的な脆弱性について協議を進めている。
米国のスコット・ベセント財務長官も、国内の大手銀行を招集した。AIモデルによるサイバーセキュリティ脆弱性の検出能力と、それが悪用されるリスクについて議論するためだという。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
