アンソロピックが今回の取り組みに使うのは、「Claude Mythos Preview(クロード・ミュトス・プレビュー)」と名付けられた最新のAIモデルだ。
このモデルの力を示す発見がある。企業のファイアウォール(不正アクセスを防ぐ装置)やルーター(通信の中継装置)に広く使われているOS「OpenBSD」で、外部からの通信だけでコンピューターを停止させられる欠陥が見つかった。1998年から27年間、世界中の専門家やセキュリティ検査ツールの目をすり抜けていたものだ。
動画の再生や変換に広く使われるソフト「FFmpeg」でも、16年前から存在する欠陥が発見された。自動検査ツールが同じコードを500万回以上テストしていたにもかかわらず、一度も検出できなかったものだ。YouTubeやNetflixのような動画サービスの裏側でも使われているソフトだけに、影響範囲は広い。
こうした発見はこの2つにとどまらない。パソコンやスマートフォンの基本ソフト(OS)、インターネット閲覧ソフト(Webブラウザ)のすべてで未知の重大な欠陥が見つかり、その総数は数千件にのぼる。
弱点を見つけるだけでなく「攻撃手順」まで組み立てる
さらに深刻なのは、このAIが弱点を見つけるだけでなく、それを悪用する攻撃手順まで自力で組み立てられる点だ。
サーバー用OS「FreeBSD」のファイル共有機能には、17年前から欠陥が存在していた。Mythos Previewはこの欠陥を発見したうえで、認証なしにサーバーの最高権限を奪い取る攻撃コードまで自動で作成した。セキュリティの専門教育を受けていないエンジニアでも、夜間にこのAIへ調査を依頼すれば翌朝には攻撃コードを受け取れる。一握りの専門家にしかできなかったことが、AIを介せば誰でもできるようになりつつある。
能力の飛躍は数字にも表れている。Webブラウザ「Firefox」の脆弱性を攻撃コードに変換するテストでは、1つ前のモデルが数百回の試行で2回しか成功しなかったのに対し、Mythos Previewは181回成功した。
Linuxでは、単独では危険度が低い複数の欠陥を組み合わせ、一般利用者の権限からシステム全体を支配する攻撃手順を自力で構築した。1本の鍵では開かない金庫を、複数の弱点をつないで開けてしまうようなものだ。ある事例では、この攻撃コードの作成にかかったコストは約30万円だった。
無料会員登録はこちら
ログインはこちら