Palo Alto Networksが、AnthropicとOpenAIのサイバーセキュリティ向けAIモデルを導入してから1カ月で、自社製品の脆弱性75件を発見した。米Axiosが13日(現地時間)に報じた。件数は通常の月間5〜10件を大きく上回ったという。
同社は、Anthropicの「Mythos」プレビューとOpenAIの「GPT-5.5-Cyber」の両モデルを利用できる数少ない企業の一つとされる。
この1カ月で130以上の製品をスキャンし、見つかった75件の脆弱性にはすべてパッチを適用した。これらの脆弱性が実際の攻撃に悪用された事例は確認されなかったとしている。
Palo Alto Networksの最高製品責任者(CPO)、リー・クラリク氏は、2つのモデルについて「複数の脆弱性を関連付け、成立する攻撃経路を導き出す能力に特に優れていた」と説明した。単独では公表対象にならない水準の不具合でも、組み合わせることで高リスクの脆弱性となるケースが複数あったという。内部テストでは、モデルが成功率70%超で有効なエクスプロイトを生成し、「これまで見てきたものよりはるかに優れた形でエクスプロイトを書いた」と述べた。
一方で、AIモデルによる脆弱性検出には、専門家による調整や評価がなお欠かせないという。Axiosによると、誤検知率は平均で約30%で、研究者がモデルをどう学習させ、どのような文脈情報を与えるかによって結果が大きく変わった。クラリク氏は「モデルは魔法ではない」と述べ、モデルをスキャン対象に接続する「AIスキャニングハーネス」の構築に相当な時間を費やしたと語った。
著者について
Chi-gyu Hwang
delight@d-today.co.kr