Anthropicのサイバーセキュリティ特化AIモデル「Claude Mythos」が、米政府の機密システムを対象とした統制下の試験で、数時間以内に脆弱性を特定したことが分かった。実際の攻撃ではないものの、国家安全保障レベルのシステムでも短時間で弱点を洗い出せる可能性を示した格好だ。

TechRadarが24日（現地時間）に報じたところによると、米バージニア州選出のマーク・ワーナー上院議員は、最近開かれた議会公聴会で、国家安全保障局（NSA）幹部のジョシュア・ラッド氏から、Claude Mythosに関する報告を受けたと明らかにした。

ただ、今回の検証は実際の侵入攻撃ではなく、Anthropicと米情報機関が共同で実施した統制下のセキュリティ訓練だった。匿名の米政府関係者は、Claude Mythosがシステムを乗っ取ったわけではなく、数時間で脆弱性を見つけたものだと説明した。機密システムに対し、攻撃に悪用され得る弱点を極めて短時間で特定したことになる。

Claude Mythosは、Anthropicが今年4月に公開したセキュリティ特化モデルだ。同社は、ソフトウェアの脆弱性検出や悪用に関する能力が強力すぎると判断し、一般公開は見送っている。現在は一部の主要企業・機関に限定して提供し、攻撃者に先んじた脆弱性の発見や防御強化に活用している。

導入先からの評価も高い。MozillaはClaude Mythosについて、世界最高水準のセキュリティ研究者に匹敵する水準だと評価。4月の1カ月間で、Firefoxで見つかった400件超の脆弱性を修正したと発表した。

Anthropicが公表した実績も、こうした評価を裏付ける内容だ。Claude Mythosを導入した50社は、約2カ月で致命的または高リスクの脆弱性を1万件超発見したという。複数の企業からは、従来に比べ検出速度が10倍以上に高まったとの評価も寄せられた。

Cloudflareの事例も公表された。Anthropicによると、CloudflareはClaude Mythosを活用し、中核システム全体で2000件のバグを発見。このうち400件は高リスクまたは致命的なレベルだった。Cloudflareのセキュリティチームは、誤検知率も人間のセキュリティ研究者より低い水準だったと評価しているという。

今回の事例は、生成AIがセキュリティ分野で攻撃と防御の両面に関わり得ることを改めて示した。AnthropicはClaude Mythosの一般公開を見送り、限定提供を続けているが、米政府の機密システムを対象にした検証結果が伝わったことで、AIセキュリティモデルの活用範囲や統制の在り方への関心は一段と高まりそうだ。