Anthropic、サイバーセキュリティモデル「Mythos」の知見共有を解禁　AIによる集団防御へ

AIによる高度な脆弱性検知が、個別の企業の利益から「社会全体の防御力向上」へと舵を切ります。AI開発企業のAnthropicは、サイバーセキュリティ特化型モデル「Mythos」の利用パートナーに対し、発見した脅威情報を外部と共有することを認める方針に転換しました。

高度なコード生成能力を持つ「Mythos」とは

「Mythos」は、今年4月7日に発表された非常に強力なサイバーセキュリティモデルです。現在は「プロジェクト・グラスウィング（Project Glasswing）」という限定的な取り組みの一環として、Amazon、Microsoft、Nvidia、Appleといった主要テック企業に提供されています。

専門家によると、このモデルは極めて高いレベルでのコーディング能力を備えており、それが以下のような能力に直結していると指摘されています。

• 前例のない精度でのサイバー脆弱性の特定
• それらの脆弱性をどのように悪用（エクスプロイト）できるかの手法構築

つまり、攻撃者が使うような高度な手法を、防御側が先んじてシミュレーションできる能力を持っているということです。

「機密保持」から「最大効率の防御」へ

当初、プロジェクトに参加するパートナー企業は、機密保持を強く求めていました。これは、機密性の高い脆弱性を発見したことが漏れれば、逆に攻撃者の標的にされるリスクがあるためです。Anthropicもこれに応じ、契約に機密保持の保護策を組み込んでいました。

しかし、プログラムが成熟した現在、Anthropicは方針を転換しました。 spokespersonは、「重要な情報を広く共有することで、防御としてのインパクトを最大化させる」としています。これにより、パートナーは自らの判断で、以下の相手に知見やツール、コードを共有することが可能になります。

• 他社のセキュリティチームや業界団体
• 規制当局や政府機関
• オープンソースのメンテナー（開発維持者）
• メディアや一般公開（責任ある開示プロトコルに基づく）

国家レベルでの展開とAIの役割

この動きは民間企業にとどまりません。アメリカ国防総省（ペンタゴン）も、政府全体のソフトウェア脆弱性を発見し修正するためにMythosを導入しています。AIを用いてシステム上の穴を先に見つけ出し、先手を打ってパッチ（修正プログラム）を適用するという戦略的な運用が進んでいます。

AIが脆弱性を「見つける」能力を持つとき、それを独占するか、あるいは共有してエコシステム全体の安全性を高めるか。Anthropicの今回の判断は、サイバーセキュリティにおける「共同防御」の重要性を改めて提示したものと言えるでしょう。

Reference(s):

Anthropic to let partners share Mythos cybersecurity findings

cgtn.com