CloudflareがAnthropicのセキュリティ重視型AIモデル「Mythos Preview」を自社インフラで実機テストした結果をまとめたブログ「Project Glasswing」を公開しました。注目すべきは、Mythos Previewが従来のフロンティアモデルが見落とした複雑な脆弱性チェーンを検出できたという点です。

テスト概要

CloudflareはMythos Previewを50以上の自社コードリポジトリに対してテストを実施しました。一部の汎用LLMは個別の脆弱性は検出できても、複数の小さなバグを結合して実際に機能する攻撃チェーンを構築できていません。一方、Mythos Previewはそうしたチェーンを正確に特定できました。

Mythos Previewの優位性

1. エクスプロイトチェーン構築

Mythos は個別の脆弱性をつなぎ合わせて、実際に動作する攻撃シナリオを証明できます。コードの自動コンパイル・実行・仮説調整といったサイクルを自力で回すことが可能です。

2. ノイズ削減と精度向上

Cloudflare CSO Grant Bourzikas は「早期のモデルは同様の個別バグを検出しましたが、複数要素の結合に失敗しました」と述べています。Mythos Previewは以下の点で優れています:

  • 推測的な指摘が少ない(誤検出率が低い)
  • 明確な再現手順を提供(セキュリティチームの検証負担が少ない)
  • 修正または却下の判断に必要な作業が最小化

3. 多段階検証フレームワーク

Cloudflareは単一エージェントではなく、最大50並列エージェント + 対立的レビュー機能を備えた多段階ハーネスを構築してテストを実施。第二エージェントが各発見の反論を試みることで、検出結果の信頼性を高めています。

警告と制限事項

Cloudflareは重要な警告を明示しています:「これらの機能は攻撃者にも利用可能になる」。つまり、Mythos Previewが脆弱性チェーンを検出できるということは、同じ能力が悪意ある用途にも転用可能ということです。

開発者向けへの含意

Mythos Previewの高い検出精度は、セキュリティ重視の企業にとって脅威モデリングの価値を高めます。ただし同時に、AIが発見できる複雑な脆弱性チェーンに対する防御策の急速な進化が不可欠になったことを示唆しています。

開発チームは単なるペネトレーションテストではなく、AI駆動のセキュリティ検証を組織のプロセスに組み込む必要が出てきました。