Cloudflareは、Anthropicのセキュリティ特化AIモデル「Mithos Preview」を自社のコードリポジトリで検証し、脆弱性の検出精度や攻撃可能性を示すPoCコードの生成能力が向上したと明らかにした。一方で、AIの進化によって脆弱性の発見から実際の悪用までの時間が急速に縮まりつつあるとして、セキュリティ環境の変化に警鐘を鳴らしている。

ITmediaが19日付で報じたところによると、Cloudflareは50超の社内コードリポジトリを対象にMithos Previewをテストした。今回の取り組みは、AIを活用したサイバー防御プロジェクト「Project Glasswing」の一環だという。

Project GlasswingにはAnthropicのほか、Amazon Web Services（AWS）、Google、Microsoft、CrowdStrikeなどが参加している。主要なソフトウェアインフラの保護と強化をAIで進めることを目的とする。

Mithos PreviewはAnthropicが開発したセキュリティ特化型のAIモデル。単なるコード解析にとどまらず、ソフトウェアの脆弱性を見つけ、その攻撃可能性を示すPoCコードまで生成できる点を特徴とする。

Cloudflareによると、今回の検証ではMithos Previewが従来の汎用AIモデルを上回る性能を示した。複数の軽微な脆弱性を組み合わせて攻撃経路を構成する「エクスプロイトチェーン」の生成や、攻撃検証用のコードを自ら作成・実行する能力で優位性が見られたという。

また、Mithos PreviewがPoCコードを併せて提示することで、従来のAIベースの脆弱性スキャンで課題となっていた誤検知が大幅に減少したとしている。これにより、人手による脆弱性の選別や検証の負担も大きく軽減できたと説明した。

一方で、課題も浮き彫りになった。Cloudflareは、正当なセキュリティ研究の過程であっても、モデルのガードレールが作動して処理を拒否する場面があったと説明する。攻撃可能性の検証が不可欠な研究では、防御目的の利用であっても制約が生じ得るとしている。

さらに、強力なAIモデルであっても、汎用コーディングエージェントをコードベースにそのまま適用しただけでは、十分な効果は得られにくかったという。コンテキスト処理の限界や性能面の課題を補うには、作業を細分化したうえで、複数の特化型AIエージェントを並列運用する専用の実行パイプラインが必要だったとしている。

Cloudflareは、AI時代のセキュリティ環境についても警告した。従来は脆弱性が見つかってから実際の攻撃に至るまで数カ月を要するケースが多かったが、AIの活用により、その時間は数カ月から数分まで短縮し得ると指摘した。

このため、セキュリティ組織にはパッチ適用の迅速化だけでなく、攻撃者が脆弱性に到達しにくいよう、アプリケーション構造や防御レイヤーそのものを見直す必要があると強調した。

業界では、今回の事例はAIベースのサイバーセキュリティ競争が持つ両面性を示したとの見方が出ている。AIは脆弱性の検出精度と防御効率を高める一方で、攻撃の自動化と悪用のスピードも押し上げるためだ。企業にとっての焦点は、AIセキュリティツールそのものよりも、それをどのような運用体制と防御構造の中で生かすかにある。