AnthropicのClaude Mythosシリーズと内部研究プロジェクト「Project Glasswing」が、従来は専門家チームが数週間かけて開発していた脆弱性の悪用コード(エクスプロイト)を数分で生成できることを実証しました。Airia.comの報告によると、このことはセキュリティ業界が長年頼りにしてきた「CVE公開からパッチ適用までの猶予期間」を事実上ゼロにする可能性があり、防御側の対応モデルそのものを根本から問い直す事態を引き起こしています。
従来のセキュリティ運用では、CVE(共通脆弱性識別子)の公開からエクスプロイトが実際に使われるまでに数日〜数週間の猶予があるとされてきました。この時間的余裕を使って、防御側はパッチの評価・テスト・展開を行います。セキュリティ企業Rapid7の調査では、公開CVEの悪用開始まで平均12日という数字が示されていましたが、熟練した攻撃者集団であれば72時間以内に高精度なエクスプロイトを開発できる場合もあります。
Claude MythosはAnthropicが正式リリースを控えているフロンティアモデルですが、Project Glasswingの研究者は内部テストにおいてCVEの概念実証コード(PoC)や脆弱性の技術的説明を入力として与えるだけで、実際に攻撃に転用可能なエクスプロイトを数分で生成できることを確認しました。特にメモリ安全性の欠陥やSQLインジェクション系の脆弱性では、コンテキスト理解能力の高い大規模言語モデルが従来のスクリプトキディレベルをはるかに超える精度のコードを生成できるとされています。
X上では「CVE公開と同時に0-dayになる世界が来た」という警戒感のある投稿が多数見られ、「防御より攻撃を加速するAIという皮肉——AI企業は責任を取れるのか」という問いも広がっています。r/cybersecurityでは「脆弱性開示プロセスそのものをAI時代に合わせて再設計する必要がある」という問題提起が多くのアップボートを集め、Hacker Newsではレスポンシブルディスクロージャー(責任ある開示)の慣行が成立しなくなるとする長文の考察がトップコメントを獲得しました。
現実的な対策として、Security Operations Center(SOC)への24時間体制の強化、CVE公開と同時に自動でパッチを展開できるシステム(自動化された脆弱性管理)の整備、そしてCVSSスコアが高い脆弱性については公開前にパッチを配布するプライベートディスクロージャーの活用が改めて注目されています。AIが攻撃側の参入障壁を下げた今、防御側も同じくAIを使った迅速な脅威分析と対応自動化で応じるしか選択肢がないという現実が、セキュリティ業界に突きつけられています。