Anthropicの最高性能モデル「Claude Mythos」が、Windowsなどの主要OS、Chrome・Safariといった主要ブラウザを含む広範なソフトウェアで、数千件に及ぶ高度な脆弱性を自動発見したことをAnthropicが公表しました。なかには数十年にわたって人間のセキュリティ研究者が見逃してきた脆弱性も含まれており、AIによる脆弱性発見が人間の能力を超えるフェーズに突入したことを示す事例として大きな注目を集めています。
Anthropicによると、Claude MythosはProject Glasswingという限定コンソーシアムを通じてAmazon、Apple、Cisco、Google、Microsoft、NVIDIAに提供されており、各社が自社製品の脆弱性診断に活用しています。発見された脆弱性の多くはすでにベンダー側に通知・修正が行われているとされますが、Mythosが一般公開されていないのはこの能力が悪用された場合の破壊的な影響を懸念したためです。人間のペンテスター(侵入テスト専門家)が数カ月かけて発見するような脆弱性を、AIが数時間〜数日で自動的に発見できるとすれば、それはセキュリティ業界全体の構造を揺るがすインパクトを持ちます。
Hacker Newsでは476件のコメントが集まり、「AI駆動のサイバーセキュリティは防御側と攻撃側の非対称を根本的に変える」という議論が展開されています。r/netsecでは「防御側が優位を持てるかどうかは、こうしたツールが誰に先にわたるかにかかっている」という冷静な分析が注目を集め、セキュリティ研究者の職業的将来についての考察も行われています。
AIが脆弱性発見において人間を超える能力を持つことが現実となった今、問われているのはその能力をどう管理・制御するかという問題です。Anthropicの対応はひとつの答えを示しますが、同様の能力を持つモデルが他組織から生まれたとき、同じ枠組みが機能するかどうかは不確かです。AIセキュリティツールのガバナンスは、今後数年で業界・政府レベルの最重要課題のひとつとなるでしょう。