AIがあなたをハッキングする

オリジナル記事「Your AI Will Hack You Now」

Anthropic社の最新AIモデル「Claude Mythos」には、ソフトウェアのゼロデイ脆弱性を自動的に発見し、悪用するという巧妙な仕掛けが隠されている。OpenAIも独自のAIスーパーハッカーを開発しており、オークリッジ国立研究所も同様のプロジェクトを進めていることから、AIの分野におけるこの危険な新たな局面が、いったいどのような結末を迎えるのか、懸念の声が上がっている。

Mythosは、すでに世界最高水準の汎用モデルの一つであったAnthropicのClaudeモデルの次世代版だ。しかし、まだ一般公開されていないMythosは、その性能を全く新しい次元へと引き上げている。

「このモデルは全般的に高い性能を発揮しますが、特にコンピュータセキュリティタスクにおいて際立った能力を発揮します」と、Anthropicは4月7日のブログ記事で述べている。

Anthropicが言及しているのは、ユーザを多要素認証に登録したり、最新のOSパッチを適用したりするようなありふれたセキュリティタスクではない。いや、Anthropicが「セキュリティタスク」と呼ぶものは、それとは全く異なるものだ。その真意は、「ユーザから指示を受けた際、あらゆる主要なOSや主要なWebブラウザにおけるゼロデイ脆弱性を特定し、悪用すること」にある。

	Claude Mythosは、他のモデルよりもはるかに速く脆弱性を悪用する手法を開発することができる（画像提供：Anthropic）

大規模言語モデル（LLM）は、人間の作業や能力を模倣する。現在、カスタマーサービス担当者、ソフトウェアエンジニア、さらには科学者など、多くの分野でAIが人間の労働者を補完したり代替したりするために活用されている。そして今、セキュリティの問題を特定・修正するために顧客のシステムへの侵入を試みるホワイトハットハッカーを含む、セキュリティ専門家を模倣するAIの開発が進められている。

したがって、AIが数百から数千ものハッキングエージェントを生み出し、数百万行に及ぶソースコードやバイナリをくまなく調べ、既知および未知のセキュリティ脆弱性を探し出し、それらが悪用可能かどうかを検証する「仮想の手」を作り出せる段階に至ったことは、驚くべきことではない。

Mythosは、どうやらかなりの腕前のハッカーのようだ。「[Mythosが]発見する脆弱性は、往々にして微妙で検出が困難なものだ」と、Anthropicのセキュリティチームは4月7日のブログ記事で記している。「その多くは10年や20年前のものだが、これまでに発見した中で最も古いものは、主にそのセキュリティで知られるオペレーティングシステムであるOpenBSDに存在した、現在は修正済みの27年前のバグだ。」

Mythosは「ありふれたスタック破壊型エクスプロイト」を作成するのではなく、複数の脆弱性を連鎖させた複雑なエクスプロイトを作成することができます。欠陥を発見して悪用するだけでなく、特定の設定を悪用することも可能です。サイバーセキュリティの専門家たちは、重なり合うセキュリティ保護の層を構築することで、リスクへの曝露を最小限に抑えようとしています。しかし、人間のコードを軽々と凌駕する能力を持つMythosにとっては、こうした対策は単に動作を遅らせるだけにとどまるようです。」

「Anthropicのエンジニアたちは、正式なセキュリティトレーニングを受けていないにもかかわらず、Mythos Previewにリモートコード実行の脆弱性を一晩で見つけてくるよう依頼し、翌朝には完成した動作するエクスプロイトが完成していた」とAnthropicは述べている。「また、研究者が骨組みを開発し、人間の介入なしにMythos Previewが脆弱性をエクスプロイトに変換できるようにしたケースもある。」

Anthropicは、Mythosがあまりにも強力であるため公開を見送ることを決定し、現在は開発を保留している。同社は、これらのハッキング機能をモデルに意図的に組み込んだわけではないとしつつも、「これらは、コード、推論、自律性の全般的な改善に伴う副次的な結果として現れた」と説明した。「脆弱性の修正においてモデルの有効性を大幅に向上させたのと同じ改善が、脆弱性の悪用においてもその有効性を大幅に向上させてしまったのだ。」

一方、Anthropicは「Project Glasswing」という業界団体を立ち上げた。その目的は、主要なコンピュータシステムおよびソフトウェアベンダーとMythosを共有し、各社のコードに潜む可能性のある未発見のセキュリティ脆弱性を洗い出すことにある。Project Glasswingの参加企業には、Amazon、Google、Microsoft、Nvidia、Apple、Broadcom、Cisco、CrowdStrike、JPMorganChase、Linux Foundation、Palo Alto Networksなどが名を連ねている。

一方、OpenAIはGPT-5.4-Cyberを用いて同様の機能を提供している。同社によると、このGPTのバリエーションは「サイバー許容型」であり、これは安全性の拒否閾値が引き下げられたモデル、つまりシステムやソフトウェアへのハッキングを指示できることを意味する。GPT-5.4-Cyberは、同社の「Trusted Access for Cyber（TAC）」プログラムを通じて利用可能となっている。「私たちの目標は、悪用を防ぎつつ、これらのツールを可能な限り広く利用可能にすることです」と同社は述べた。

	Photonは、Frontierのエクサスケール級の処理速度を活用し、複数のAI脆弱性シナリオを同時に実行する。提供：ORNL、米国エネルギー省

「これは、正当なサイバーセキュリティ業務における拒否閾値を引き下げ、高度な防御ワークフローのための新機能を実現したGPT-5.4のバージョンです。これには、セキュリティ専門家がソースコードにアクセスすることなく、コンパイル済みソフトウェアのマルウェアの可能性、脆弱性、およびセキュリティの堅牢性を分析できるようにするバイナリ逆アセンブル機能も含まれています」とOpenAIは述べた。

オークリッジ国立研究所（ORNL）もこの分野で研究を進めている。先月、ORNLの人工知能セキュリティ研究センター（CAISR）は、「エクサスケールでAIモデルの脆弱性を迅速に検出するように設計された」新しいAIフレームワーク「Photon」を発表した。Photonは、AIモデル内で発生する悪意のある活動を検出するために使用されるORNLの技術「DeepHyper」をベースにしたものである。その目的を逆転させることで、PhotonはAIモデルに対する最も効率的な攻撃パラメータを検出できるようになりました。

「悪知恵のように聞こえるかもしれませんが、非常にうまく機能しています」と、ORNLのCAISER所長であるエドモン・ベゴリ氏は述べている。「Photonは設計・開発プロセスを加速させ、脆弱性を探索・悪用するための最も効果的な手法を再利用します。」

ORNLによると、Frontierノード上で実行することでPhotonの性能が大幅に向上し、1時間あたり6万件の「脱獄」プロンプトを実行できるようになった。これは、セキュリティ研究者が手作業で行う場合、数年を要する量に相当する。

サイバー犯罪者がこれらのツールを使い始めるのは時間の問題だ。だからこそ、善意のユーザーにこれらのツールを提供し、サイバー犯罪者、スクリプトキディ、悪意ある国家、国家機関による予想される攻撃の猛攻に先立ち、脆弱性を検出してソフトウェアを強化できるようにするという、切迫感が生まれているのである。

Ivantiのプロダクトマネジメント担当バイスプレジデントであるクリス・ゲトル氏によると、残念ながら、こうした強力な脆弱性検出AIツールを利用できないオープンソースソフトウェアプロジェクトは数多く存在するだろうという。

「オープンソースプロジェクトには、貢献者が1人しかいない場合もあれば、50人もいる場合もあります」とゲトル氏は述べた。「MicrosoftのようなベンダーがWindowsに対して行っているように、常にエンジニアが継続的に取り組んでいるという状況ではありません。そのため、こうした技術にとっては、多数の欠陥を探し出すことができる理想的なターゲットとなるでしょう。」

小規模な開発グループがAIによる脆弱性チェックをDevOpsパイプラインに組み込む方法は存在するが、それには熟練した実務家が必要となる。しかし、AnthropicがMythosで提供しているのはその正反対であり、大規模かつ完全に自律的に欠陥を検出できるとゴットル氏は述べた。

セキュリティは常に猫とネズミの追いかけっこのようなものだった。しかし、åその能力とリスクがこれほど高まっている今、それは勝者総取りのゲームへと変貌する可能性がある。

「脅威の研究者と脅威アクターが、同じレベルの高度な技術を使い始めたらどうなるでしょうか？」とゲトル氏は述べた。「Mythosは、いわゆる『スクリプトキディ』のような初心者には利用できないでしょうが、十分な資金を持つ国家レベルの脅威アクターには利用可能になるでしょう。」

Anthropicは国家レベルの脅威アクターには販売しない、と彼は付け加えた。「私が言いたいのは、同様の技術が存在し、市場でより入手しやすくなるだろうということだ」と彼は述べた。「Mythosはほんの始まりに過ぎない。」