AnthropicのAIモデル「ミトス」が数千件規模のソフトウェア脆弱性を発見したとされる中、セキュリティ専門家の間では、既存の公開モデルでも同様のゼロデイ脆弱性検知は再現可能だとの見方が出ている。CNBCが8日報じた。

サイバーセキュリティ企業watchTowr LabsのCEO、ベン・ハリス氏は、業界全体で公開モデルを適切に組み合わせて調整すれば、ミトスが見つけた脆弱性にかなり近い水準の成果を再現できると述べた。

また、サイバーセキュリティ企業VDOの研究者は、複数のモデルやツールを連携させ、コードを細かく分割して解析するオーケストレーション手法を使うことで、OpenAIとAnthropicの既存モデルでも、ミトスに近い脆弱性検知に成功したという。

VDOのCEO、クラウディア・クロック氏は、手元にあるモデルでも大量のゼロデイ脆弱性を見つけ出せるだけの性能があり、そうした状態はここ数カ月、長ければ1年ほど前から続いていたと語った。

セキュリティ企業AISLEの創業者スタニスラフ・ポルト氏は、「平凡な探偵が1000人いて手当たり次第に捜索すれば、当たりを付ける必要がある優秀な探偵1人よりも多くのバグを見つけられる」と例えた。

同氏は、重要なのは最新モデルそのものよりも、運用規模と調整だと指摘した。専門家の間では、北朝鮮、中国、ロシアのハッカーがすでに同様の能力を備えているとの見方も出ている。

ハリス氏は、最近の銀行や保険会社、規制当局との対話について、「集団ヒステリー」と言える水準だと表現した。その上で、問題はミトスの一般公開前から、脆弱性を十分な速さで修正できていなかった点にあると述べた。

ミトスは現在、一部の機関や企業に限定して公開されている。初期公開の対象となった少数の企業は脆弱性パッチを適用できる一方、独立系のAI研究者はアクセスできず、Anthropicの主張の検証や防御策の構築に加われないとの批判もある。

サイバーセキュリティスタートアップTenzaiのCEO、パベル・グルビッチ氏は、こうした限定公開が、使える側と使えない側の格差を生み、サイバーセキュリティ分野の技術革新のスピードを鈍らせかねないと指摘した。