Anthropic、Apple・Google・Microsoftと連携しAIサイバーセキュリティ対策プロジェクトを開始

投稿日: 投稿者: Takahashi_Akihiro

AnthropicがApple、Google、Microsoftなど45以上の組織と協力し、AI技術の進化がもたらすサイバーセキュリティへの影響に対処するプロジェクトを発表。新モデル「Claude Mythos Preview」を使い、システムの脆弱性を事前に発見・修正する取り組みを開始しました。

Anthropic、Apple・Google・Microsoftと連携しAIサイバーセキュリティ対策プロジェクトを開始

AI開発企業のAnthropicは2025年4月1日、新しいAIモデル「Claude Mythos Preview」と、業界横断的なサイバーセキュリティ対策プロジェクト「Project Glasswing」を正式に発表しました。このプロジェクトには、Apple、Google、Microsoftといった競合企業を含む45以上の組織が参加しています。Claude Mythos Previewは、コード解析能力が非常に高く、その副産物としてシステムの脆弱性を発見する能力も優れています。Anthropicは、このような高度なAI能力が6ヶ月から24ヶ月以内に広く利用可能になると予測しており、現在のセキュリティ対策の前提が崩れる可能性があると警告しています。そのため、主要なテクノロジー企業が事前に自社システムの脆弱性を発見し、修正する時間を確保することが重要だと考え、このプロジェクトを立ち上げました。

Claude Mythos Previewとは何か

Claude Mythos Previewは、Anthropicが開発した最新のAIモデルです。このモデルは、プログラムのコードを理解し、分析する能力に優れています。AnthropicのCEOであるDario Amodei氏によると、「サイバーセキュリティに特化した訓練は行っていませんが、コード理解能力が高いため、結果的にサイバーセキュリティの分野でも優れた性能を発揮します」とのことです。

具体的には、このモデルは熟練したセキュリティ研究者が行うような作業を実行できます。システムの脆弱性を発見するだけでなく、攻撃の連鎖を組み立てたり、実証コードを作成したりすることも可能です。さらに、ソースコードにアクセスできない状態でもソフトウェアのバイナリファイルを評価できるなど、高度な分析能力を持っています。

現時点では、このモデルは一般公開されておらず、Project Glasswingに参加する組織のみが限定的にアクセスできます。これは、悪意ある攻撃者に利用される前に、防御側が準備する時間を確保するための措置です。

Project Glasswingの目的と参加組織

Project Glasswingは、AI技術の進化がもたらすサイバーセキュリティへの影響に、業界全体で対処するための取り組みです。参加組織には、Microsoft、Apple、Google、Amazon Web Services、Linux Foundation、Cisco、Nvidia、Broadcomなど、テクノロジー、サイバーセキュリティ、重要インフラ、金融分野の40以上の企業や組織が含まれています。

AnthropicのフロンティアレッドチームリーダーであるLogan Graham氏は、「本当のメッセージは、これが特定のモデルやAnthropicだけの問題ではないということです。6ヶ月、12ヶ月、24ヶ月後には、これらの能力が広く利用可能になる世界に備える必要があります。セキュリティに関する多くのことが変わり、現代のセキュリティパラダイムの前提の多くが崩れるかもしれません」と述べています。

参加企業は、Claude Mythos Previewを自社のシステムに対して使用し、脆弱性を発見して修正することができます。これは、ソフトウェアの脆弱性が公開される前に開発者に修正の時間を与える「協調的脆弱性開示」という考え方を応用したものです。

背景と経緯

2025年3月末、Anthropicが強力な新しいClaudeモデルを開発したという情報がリークされました。これを受けて、同社は4月1日に正式発表を行いました。近年、複数の企業が開発したAIモデルが、コード内の脆弱性を発見し、その修正方法や悪用方法を提案できるようになってきています。

これは、セキュリティ分野における古典的な「いたちごっこ」の新しい段階を意味します。同じツールが防御側を助ける一方で、悪意ある攻撃者にも利用され、以前は費用や複雑さの面で実行困難だった攻撃を容易にする可能性があるのです。

Anthropicによると、Claude Mythos Previewの使用により、すでに数千件の重大な脆弱性が発見されています。その中には、最も精査されたコードにおいてさえ、何十年も見逃されてきた古いバグも含まれています。このことは、AI技術がセキュリティ分野に与える影響の大きさを示しています。

技術的な能力と特徴

Claude Mythos Previewは、従来のセキュリティツールと比べて、より包括的で高度な能力を持っています。Graham氏によると、このモデルは以下のような作業を実行できます。

まず、脆弱性の発見です。システムやソフトウェアの弱点を見つけ出し、攻撃の連鎖を組み立て、実証コードを作成できます。次に、より高度な攻撃手法の開発です。単に脆弱性を見つけるだけでなく、それを実際に悪用する方法を開発できます。

さらに、侵入テストの実施、エンドポイントセキュリティの評価、システムの設定ミスの探索なども可能です。特筆すべきは、ソースコードにアクセスできない状態でも、ソフトウェアのバイナリファイルを評価できる点です。これは、プログラムの実行ファイルだけを見て、その中の問題を見つけられるということを意味します。

Graham氏は「Claude Mythos Previewは、熟練したセキュリティ研究者が達成できることを実行できます」と述べています。これは、専門家レベルの分析能力をAIが持つようになったことを示しています。

できること・できないこと

この技術により、企業や組織は自社のシステムやソフトウェアの脆弱性を、これまでよりも迅速かつ包括的に発見できるようになります。例えば、新しいソフトウェアをリリースする前に、AIを使って徹底的にセキュリティチェックを行ったり、既存のシステムに潜む見逃されていた脆弱性を発見したりすることが可能です。また、人間のセキュリティ研究者が見落としがちな複雑な攻撃の連鎖や、設定ミスによる脆弱性も発見できます。

一方で、このモデルにも限界があります。現時点では、Project Glasswingに参加する組織のみが限定的にアクセスできる状態であり、一般には公開されていません。また、AIが発見した脆弱性を実際に修正するには、依然として人間の専門知識と判断が必要です。さらに、Graham氏が指摘するように、「慎重に扱わなければ、攻撃者にとって有意義な加速剤になる可能性がある」という懸念もあります。今後6ヶ月から24ヶ月の間に、業界全体でこの技術の適切な利用方法や規制の枠組みを確立する必要があるでしょう。

私たちへの影響

このニュースは、インターネットを利用するすべての人々に影響を与えます。短期的には、主要なテクノロジー企業がこのAIモデルを使って自社製品の脆弱性を発見し、修正することで、私たちが日常的に使用するソフトウェアやサービスの安全性が向上する可能性があります。

Googleのセキュリティエンジニアリング担当副社長であるHeather Adkins氏は、「AIはサイバー防御において新しい課題と新しい機会の両方をもたらすと長年信じてきました」と述べています。Microsoftのグローバル最高情報セキュリティ責任者であるIgor Tsyganskiy氏も、「サイバーセキュリティが純粋に人間の能力に縛られなくなる段階に入る中、AIを責任を持って使用してセキュリティを改善し、大規模にリスクを軽減する機会は前例がありません」とコメントしています。

中長期的には、セキュリティの専門家だけでなく、一般の開発者もAIの支援を受けながら、より安全なソフトウェアを開発できるようになるでしょう。これにより、サイバー攻撃による被害が減少し、個人情報の漏洩やシステムの停止といったリスクが低減される可能性があります。

ただし、同じ技術が悪意ある攻撃者の手に渡れば、攻撃の高度化や自動化が進む恐れもあります。Graham氏は「Project Glasswingは出発点です。少数の企業がモデルを使用するだけでは失敗します。さらに大きなものに成長しなければなりません」と述べており、業界全体での継続的な協力と対策が不可欠であることを強調しています。

出典:Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything(www.wired.com)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です