Depthfirstは、自社のAIモデルがAnthropicの「Mythos」で見逃された脆弱性を追加で発見したと明らかにした。検出にかかるコストはMythosの約10分の1に抑えられると主張している。

Forbesによると、Depthfirstは3月、評価額5億8000万ドルで8000万ドルを調達した。

同社のカシム・ミタニCEOは、単一タスク向けにモデルを最適化することで、Mythosが1万ドルかけて実行する作業を、1000ドルで処理できると説明した。

Depthfirstはあわせて、企業やオープンソース開発者を対象に、総額500万ドル分のクレジットを提供する「オープン・ディフェンス・イニシアチブ」を開始した。自社AIを使ったコードのバグ探索を支援する。

AnthropicがMythosを約50社に限定提供している取り組みに近いが、Depthfirstは対象を限定しない方針という。ただ、当初は重要インフラで利用されるオープンソースの開発者を優先する。

ミタニCEOは、技術へのアクセスを制限するのは「正しいアプローチではない」と指摘。「攻撃者がこのモデルを使えば、われわれと同じような結果を得られる」と述べた。

Depthfirstが見つけた脆弱性には、広く使われるWebサーバーソフト「NGINX」の欠陥も含まれる。NGINXはインターネット上の主要サイトの約3分の2で利用されているという。

ミタニCEOによると、この欠陥は2008年から存在しており、長期間にわたって悪用可能な状態にあった。NGINXを管理するF5 Networksはパッチを提供する予定だ。

また同社のモデルは、Linuxでもリモートコード実行を許す深刻な脆弱性を発見した。Forbesは、この欠陥にはまだパッチが適用されていないと報じている。

DepthfirstはChromeでもバグを見つけた。Googleはこれを確認し、2件とも修正したと発表した。

動画・音声処理向けのオープンソースソフトウェア「FFmpeg」では、Mythosが見逃した新たな脆弱性12件を追加で発見したという。

AIを使った攻撃の高度化が進む中、防御側でもAI活用の重要性を指摘する声は強まっている。一方で、AIがインターネットの安全性を大きく高めるとの見方に対しては、懐疑的な声もあるとForbesは伝えた。

FFmpegの管理者であるジャンバティスト・ケンプ氏は、「AIがなくてもバグを見つけることは難しくない」としたうえで、「脆弱性を見つけること自体は簡単だが、適切に修正するのは難しい」と述べた。