脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感:セキュリティニュースアラート
Anthropicは、AIモデル「Mythos Preview」で重要ソフトの多数の脆弱性を発見したと発表した。オープンソースを含む広範な調査で修正作業の負荷増大が課題となり、防御側の迅速な対応強化を訴えた。
Anthropicは2026年5月22日(現地時間)、AIを活用したサイバー防衛計画「Project Glasswing」の初期成果を公表した。高度なAIモデル「Claude Mythos Preview」(以下、Mythos Preview)を使い、重要インフラを支えるソフトウェア群から多数の重大脆弱(ぜいじゃく)性を発見したと発表した。
AIによる脆弱性発見が修正能力を上回る局面に
同計画は2026年4月に始動した。Anthropicと約50の協力組織が参加し、インターネット基盤や重要システムを対象に安全性検査を進めている。発表によれば、開始から約1カ月で1万件超の高深刻度または重大な脆弱性を検出した。AIによる脆弱性探索能力が急速に向上した結果、問題発見よりも、検証や修正、公表手続きの処理能力不足が新たな制約になっているという。
Anthropicは従来型の脆弱性の公表の在り方についても言及した。一般的には発見後90日程度の猶予期間を設け、利用者側が更新を完了する時間を確保する。現時点では詳細な技術情報を伏せ、統計や事例を中心に成果を説明した。
協力企業からは大幅な効率向上が報告されている。Cloudflareは重要システム群から約2000件の不具合を確認し、そのうち400件が高深刻度または重大区分に該当したと説明した。誤検知率についても、人間のテスターを上回る水準との評価を示した。
外部機関の評価も紹介された。英国AI Security Instituteは、Mythos Previewが複数段階の攻撃シミュレーションを最後まで完遂した初のモデルと報告した。Mozillaは「Firefox 150」の検査で271件の脆弱性を修正し、旧モデル利用時を大きく上回ったと説明した。独立系セキュリティプラットフォームXBOWも、既存モデル群を超える精度を示したと評価している。
1000以上のOSSを網羅、偽サイトのリスクも未然防止
オープンソース領域でも大規模調査が進んだ。Anthropicは1000件超のオープンソースプロジェクトを解析し、合計2万3019件の脆弱性候補を検出した。このうち6202件は高深刻度または重大な分類に該当すると推定された。外部研究機関などが1752件を精査した結果、約9割が実在する脆弱性だったという。
具体例として、暗号ライブラリ「wolfSSL」の問題が挙げられた。これには、攻撃者が偽の証明書を生成し、銀行やメールサービスを装う偽サイトを正規のWebサイトのように見せかける可能性があった。脆弱性は「CVE-2026-5194」として修正済みで、技術分析は後日公開予定としている。
発見数増加で修正作業が間に合わない
しかし、修正作業の負荷増大も深刻化している。Anthropicによれば、オープンソース保守担当者はAI生成による大量の低品質報告にも直面しており、処理能力不足が顕著になっている。一部保守担当者からは、脆弱性報告の速度を落としてほしいとの要請も寄せられたという。高深刻度の問題1件当たり平均2週間程度を修正に要すると説明した。
現時点で530件の高深刻度または重大脆弱性が報告され、75件が修正済みとなった。ただしAnthropicは、修正数の少なさは猶予期間中という点や、公表されない修正の存在も影響していると説明した。
同社は、Mythos級の能力を持つAIモデルが近い将来、広範囲に普及すると予測する。脆弱性探索や悪用に必要な時間とコストが低下するが、防御側の更新や修正の配布が追いつかなければ攻撃リスクが高まると警鐘を鳴らした。開発企業には更新周期短縮や迅速な修正配布を求め、利用企業には多要素認証やログ監視など基本対策の徹底を促した。
Anthropicは、防御用途用ツール群も公開している。企業用「Claude Security」はコード解析や修正案生成を支援し、公開後3週間で2100件超の脆弱性修正に利用されたとした。加えて、脅威分析や自動スキャン支援機能も提供する。
今後についてAnthropicは、米国や同盟国政府を含む重要組織との連携を拡大する方針を示した。他方で、Mythos級モデルは悪用時の危険性が高く、十分な安全対策が整うまで一般公開は見送るとしている。AIによる防御強化で将来的に安全性向上を実現できる可能性を示しつつ、現段階は移行期に当たるとの認識を示した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Windows+R」は絶対に押さないで! 新入社員に贈るセキュリティの新常識5選
学生時代と同じ感覚でPCやSNSを利用していると、気付かないうちに会社を大きなリスクにさらしてしまうかもしれません。特に最近は、不慣れな利用者につけ込んだ、巧妙なサイバー攻撃が急増しています。自分自身と会社を守るために身に付けておくべきセキュリティ対策を紹介します。
画像がだめなら文字で誘導 「アスキーアート」型フィッシングメールの実態
Kasperskyは、アスキーアートでQRコードを描き、画像解析を回避するフィッシングメールの増加を報告した。文字列で構成したコードを悪用し、認証情報入力へ誘導する手口で、同社は検知技術と教育強化の必要性を示した。
まずは「重要資産の棚卸し」を NISTが示す「個人事業主」レベルの防衛ライン
「NIST サイバーセキュリティフレームワーク」(CSF)に、従業員ゼロの組織を対象とした新文書「CSWP 50」が登場しました。2026年4月に公開された同ドラフトの内容をピックアップし、フリーランスが真っ先に取り組むべき資産管理の具体的なチェック項目や、ランサムウェア対策の勘所を紹介します。
ランサムウェア被害額は平均6.4億円、事業停滞54日――パロアルトの調査で分かった国内企業のセキュリティ実態
パロアルトネットワークスは、国内のセキュリティ実態調査「State of Cybersecurity Japan 2026」を公開した。ランサムウェア攻撃の被害総額が平均6.4億円に達し事業停滞が長期化する中、セキュリティ投資をIT予算から独立した経営基盤として再定義する動きが進んでいる。