AnthropicのAIモデル「Mythos」が、主要なオペレーティングシステム(OS)やウェブブラウザにおいて、これまで未知であった数千件のゼロデイ脆弱性を発見した [1, 3]。
この発見は、サイバーセキュリティにおける決定的な転換点を浮き彫りにしている。AIが人間の研究者よりも速く、ソフトウェアの根深い欠陥を特定できるようになったためだ。こうした脆弱性を大規模に抽出できる能力は、防御側のAIツールと、同様の技術を用いて攻撃を仕掛けようとする悪意ある攻撃者との間の「競争」を加速させることになる。
Anthropicは、悪用される前に隠れた欠陥を見つけ出すための防御的リサーチツールとしてMythosを開発した [2, 5]。7週間のテスト期間中、同モデルは2,000件以上の未知のソフトウェア脆弱性を特定した [5]。これらの欠陥は、あらゆる主要OSやウェブブラウザ、およびその他の様々な不可欠なソフトウェアに及んでいる [3]。
今月初めの報告によると、同モデルは特にmacOS内の深刻なセキュリティ上の欠陥を uncovered したという [4]。この発見の規模に、政府機関や業界のリーダーたちは、アクセス権限の新たな構造や、自動検出の速度に対して懸念を表明している [2]。
このツールは保護を目的としているが、ソフトウェアベンダーにとって未知の欠陥である「ゼロデイ脆弱性」が数千件も存在することは、世界のデジタルインフラにとってシステム的なリスクとなる [1, 3]。今回の検出プロセスは、AIが複雑なコードベースを分析し、長年隠されていたエラーを見つけ出せることを証明した。
“Mythos AIは7週間のテストで、2,000件以上の未知のソフトウェア脆弱性を発見した。”
Mythos AIの登場は、脆弱性検出の自動化時代への移行を意味している。Anthropicはこの能力を防御に利用しているが、AIが前例のない速度で従来のセキュリティ監査をバイパスできることが証明された。これにより、ソフトウェア開発者は、自動化された攻撃の速度に対抗するため、AI主導のパッチ適用やリアルタイムの修復へと移行することを余儀なくされる。
