Anthropicの「Mythos」でCloudflareがサイバー防衛テスト──脆弱性発見から悪用までが数分に短縮と警告

Cloudflareは、AnthropicのAIモデル「Mythos Preview」を用いた脆弱性テスト結果を公開した。同モデルはエクスプロイトチェーン構築やPoC生成で高い能力を示した一方、ガードレールの誤作動も確認された。同社はタスクを細分化するパイプラインの構築や防御層の再構築の必要性を指摘している。

[ITmedia]

　米CDN大手のCloudflareは5月18日（現地時間）、サイバーセキュリティの防衛を目的とした取り組み「Project Glasswing」の一環として、Anthropicのプレビュー版AIモデル「Mythos Preview」を自社の50以上のリポジトリでテストした結果を公開した。

　Project Glasswingは、Anthropicをはじめ、AWS、Google、Microsoft、CrowdStrikeなどのIT大手が結集し、世界の重要なソフトウェアインフラをAIの力で保護、強化することを目的とした共同プロジェクトだ。このプロジェクトの基盤となる「Mythos Preview」は、Anthropicが開発した最先端AIモデルのプレビュー版で、ソフトウェア脆弱性の発見と、それを実証（悪用）する能力を備えている。AIの進化によってサイバー攻撃の脅威が急速に高まる中、この能力を攻撃者より先に防御目的で活用することが同プロジェクトの狙いだ。

　Cloudflareは、テストの結果、Mythos Previewが従来の汎用AIモデルから飛躍的な進歩を遂げていることが確認できたとしている。特に、複数の軽微なバグを組み合わせて実際の攻撃経路を割り出すエクスプロイトチェーンの構築と、自らコードを書いて実行し脆弱性を実証する概念実証（PoC）の生成で、高い能力を発揮したという。PoCが実際に提示されることで、AIによる脆弱性スキャンで長年の課題であった誤検知（フォールスポジティブ）が劇的に減少し、人間によるトリアージの手間が大幅に削減されたとしている。一方で、正当なセキュリティ調査であっても、モデルのガードレールが断続的に作動してタスクの実行を拒否してしまうケースがあることも判明した。

　同社はこのテストから得られた重要な知見として、強力なAIでも汎用的なコーディングエージェントを単にコードベースに適用するだけでは機能しないことを挙げた。コンテキストの制限や処理能力の課題を克服するため、Cloudflareはタスクを細分化し、複数の特化型エージェントを並行して実行させる専用の実行パイプラインを構築することで、効果的な脆弱性調査を実現したとしている。

　さらにCloudflareは、AIの登場により、脆弱性の発見から悪用までの時間が、数カ月から数分へと短縮されていると警告した。これからのセキュリティチームは、単にパッチ適用を迅速化するだけでは対応しきれず、脆弱性が存在していても攻撃者がそこに到達できないような防御層を設けるなど、アプリケーションのアーキテクチャ全体を見直す必要があると結論付けている。