セキュリティ研究者がAnthropicのAIモデル「Mythos」を使用し、AppleのmacOSオペレーティングシステムにおける重大なセキュリティ上の欠陥を明らかにした [1]。
この発見は、生成AIが脆弱性の発見とそれらを連鎖させるプロセスの自動化に利用可能であることを示しており、高度なサイバー攻撃へのハードルを下げる可能性がある。
2026年4月に行われたテストにおいて [2]、研究チームはMythosを用いて2つの軽微なソフトウェア上の欠陥を特定し、それらを関連付けた [1]。個々のバグは単体では重要ではないが、AIの支援によりこれらを組み合わせることでメモリ破損を可能にした。このプロセスにより、攻撃者がターゲットシステムを完全に制御できる可能性を持つ概念実証(PoC)エクスプロイトが作成された [1]。
Mythosモデルの活用は、脆弱性発見の手法の転換を浮き彫りにしている。手動のコードレビューのみに頼るのではなく、研究者はAIを用いて、人間のアナリストが多大な時間を要する「離散したバグ間の関係性のマッピング」を行っている。
Appleは現在、研究者から提供された調査結果を検討中である [1]。チームは、本プロジェクトの目的はAI支援による脆弱性発見を実証し、世界のサイバーセキュリティに対する新たな脅威を強調することであったと述べている [1]。
今回の事例は、セキュリティ専門家が大規模言語モデル(LLM)を用いてソフトウェアのストレステストを行うという、拡大しつつあるトレンドに沿ったものである。攻撃者の思考プロセスをシミュレートすることで、悪意のある者が利用する前にセキュリティアーキテクチャの不備を特定できる。macOSでの発見は、AIを用いて複数の軽微なエラーを単一の重大な故障点へと統合した場合、極めて安全とされるシステムであっても脆弱である可能性を示唆している [3]。
“AIの支援により、チームはそれらを組み合わせてメモリ破損を可能にした。”
AIが軽微なバグを「連鎖」させて重大なエクスプロイトに変える能力は、AIの用途が単純なコード分析から複雑な戦略的攻撃へと移行したことを意味する。これにより、ソフトウェアベンダーは個別のバグ修正にとどまらず、複数の低リスクな脆弱性がどのように組み合わさってシステム全体を侵害し得るかという点に注力せざるを得なくなり、圧力が強まっている。
