Anthropic の最新 AI モデル「Mythos Preview」は、数千のゼロデイ脆弱性を自動発見し、それらを単独で悪用できる能力を備えている。その危険性の高さから、Anthropic は公開リリースを見送り、限定的な企業パートナーシップを通じてのみ展開することを決定した。

Mythos の実力:17年前の脆弱性も自動発見

Mythos Preview は FreeBSD に存在する17年前のリモートコード実行脆弱性を、人間の支援なしに発見・悪用した。NFS を実行するマシンに対してシステム管理者権限を奪取できる重大な欠陥だ。さらに同モデルは、ウェブブラウザの悪用コードを単独で開発。4つの脆弱性を組み合わせた複雑な JIT ヒープスプレイで、レンダラーと OS の両方のサンドボックスをバイパスした。

スケール:全主要OS と全主要ブラウザに脆弱性

テスト段階で Mythos Preview が発見した脆弱性は数千件に上る。その99%は、当時の人間による高度なセキュリティ監査をかいくぐって未防御状態にあった。発見対象は「全主要オペレーティングシステムとウェブブラウザ」に及び、中には数十年前から存在してきたバグも含まれていた。

Project Glasswing:秘密のセキュリティ支援

Anthropic は Mythos の潜在的脅威に対応するため、「Project Glasswing」と呼ぶ秘密の防御支援プログラムを立ち上げた。Amazon・Apple・Cisco・JPMorgan Chase・Nvidia といった主要企業に限定的にアクセスを提供し、ハッカーが Mythos 類似の AI を入手する前に防御態勢を整えるのをサポートしている。

修正速度との致命的なギャップ

このニュースの最大の懸念点は、AI が脆弱性を発見する速度が企業の修正速度をはるかに上回ることだ。仮にハッカーが Mythos と同等の能力を持つ AI にアクセスした場合、銀行システム、電力網、病院、水道インフラなどの重要インフラを標的にした破壊的なサイバー攻撃が現実化する可能性がある。

JPMorgan Chase の CEO Jamie Dimon は「Mythos は全コンピュータシステムのより多くの脆弱性を露呈させた」とコメント。政府と企業による早急な防御強化が不可欠な段階に入った。