Anthropic が新型 AI モデル Claude Mythos をリリースしたことで、セキュリティ業界から警告の声が上がっている。Mythos がハッカーの「スーパーウェポン」と化す危険性が指摘される一方で、専門家たちはこうした脅威が、開発者のセキュリティに対する長年の軽視を浮き彫りにしていると述べている。

モデルの能力と懸念事項

Claude Mythos は従来の AI モデルを大きく上回る脆弱性発見能力を備えている。複数のセキュリティ専門家は、同モデルが攻撃者の手に渡った場合、大規模なサイバー攻撃の準備に利用される危険性を指摘している。

政府機関や大手企業の IT インフラをターゲットにした悪意のある利用は十分に考えられる。既に Mythos は数千件のゼロデイ脆弱性を発見しており、攻撃者がこうした情報を獲得すれば、防御側は深刻な脅威にさらされることになる。

開発慣行の問題

ただし、専門家が指摘する本質的な課題はセキュリティ一般に関する警告ではない。むしろ、Mythos の登場が明らかにしたのは、ソフトウェア開発業界全体がセキュリティを二次的な関心事として扱ってきたという現実である。

セキュリティ脅威の全体像は、強力な脆弱性検出ツールの出現よりも、開発段階でセキュリティを軽視してきた数十年の習慣にある。コード品質管理、ペネトレーションテスト、セキュリティレビューは、多くの企業では開発サイクルの後付けとされてきた。

必要な転換

Mythos の脅威は、業界全体に対する wake-up call となっている。強力な攻撃ツールが存在する世界では、セキュリティは製品設計と開発プロセスの中核に組み込まれる必要がある。

開発者、企業、そして政策立案者は、今後のセキュリティ基準を根本的に再評価し、防御的なセキュリティ文化を確立することが急務である。

アップデート

英国 AI セキュリティ研究所(UK AI Security Institute)の評価結果が公表され、Mythos の実戦能力が具体的に明らかになった。同研究所はシミュレートされた企業ネットワークへの侵入テストを実施し、Mythos が 10 回中 3 回の侵入に成功——「AI モデルが初めて同タスクを成功させた」と報告している。

ただし、セキュリティ研究者 Mohammad Ahmad は重要な指摘をしている。Mythos が発見した脆弱性の多くは「よく知られた脆弱性クラスの変種」であり、根本的に新しい脅威パターンではないという点だ。Mythos の真の価値は、経験不足の攻撃者が数週間要する複雑な多段階攻撃を 1 晩で実行可能にする自動化とスピードにある。つまり Mythos 自体が「パラダイムシフト」をもたらすのではなく、ソフトウェア業界全体に既存する脆弱性と防御の非対称性を加速させるツールという側面が強い。