Anthropic(アンソロピック)の最も強力なAIモデルであるClaude Mythos(クロード・ミュトス)は、ソフトウェアの不具合を素早く発見し、それが脆弱性として悪用可能かどうかを検証できる。さらには、かつては一流のサイバーセキュリティ研究者を必要とした攻撃経路を論理的にたどることも可能だ。
そのClaude Mythosは、現在限定された一部の利用者にのみ提供されているが、Anthropicはより広範な提供へと向かおうとしている。そのような強力なモデルが悪意ある利用者の手に渡ることを懸念していた業界は今、Anthropicがこれまで設けてきた厳格な境界の外にモデルが出たとき、何が起こるのかを見守っている。
Anthropicは米国時間5月28日、最新AI「Claude Opus 4.8」の公開・発表にあわせ、Claude Mythosを「今後数週間で、すべての顧客に」提供する計画だと明らかにした。ロイターが報じた。Anthropicはこれまで、Claude Mythosの広範な提供を避けてきた。攻撃者が同様のツールを大規模に手にする前に防御側にMythosを届けることで、銀行やクラウド企業、オープンソースのメンテナーが危険な穴をより速く塞げると考えたためである。AnthropicはClaude Mythosを制限付きの防御プログラム「Project Glasswing」の内側に置き、アマゾン、マイクロソフト、アップルなど大手テック企業がサイバーセキュリティ業務で同モデルを利用できるようにしてきた。
脆弱性の修正にも攻撃にも大きな力を与える、Claude Mythos
数十年にわたり、ソフトウェアのセキュリティは「希少性」によって成り立ってきた。熟練研究者はあまりに少なく、潜在的な脆弱性を抱えるコードリポジトリは多すぎ、レガシーシステムも多すぎる。さらに、フルタイムの仕事を抱える人々が維持するオープンソースプロジェクトも多い。Claude Mythosは一方で、問題を修正できる限られた人々の手にエキスパート級の指針を与えることで、こうした課題の解消に寄与し得る。しかし他方で、害をもたらす者にも同じ力を与えかねない。
AnthropicがClaude Mythosを発表して以来、パートナー各社は限定的なProject Glasswingの一環としてリサーチプレビュー版「Claude Mythos Preview」を利用してきたと同社は述べている。その目的は、世界の共有された攻撃対象領域の大部分を構成する基盤的システムの弱点を発見し修正することにある。作業には、ローカルでの脆弱性検出、ブラックボックステスト、エンドポイントセキュリティ、ペネトレーションテストが含まれた。Anthropicは、より広範な展開をめぐる議論が始まる前から、パートナーがMythos Previewをすでに数週間にわたり利用していたと述べた。AWSは、重要なコードベースに対する自社のセキュリティ運用でMythos Previewをテストしたと明らかにした。Microsoftは、同社のCTI-REALMセキュリティベンチマークで、従来モデルに比べて大幅な向上が見られたとした。
