TokyoBlackHatNews

theregister.com 5分で読了

Anthropicが一般向けにMythosクラスモデルをリリースへ

セキュリティ

AI脆弱性検出器は当面ガードレール整備中だが、政府を含むより多くのユーザーに提供開始

Anthropicは、バグ検出AI「Mythos」のパフォーマンスに匹敵するモデルを一般公開する計画を明かした。ただし、安全性が確保できた場合に限る。

4月初旬、Anthropicは、プログラミングコードのセキュリティ脆弱性発見に非常に優れたMythosというモデルを開発したと発表した。無制限のアクセスを許可すればサイバー犯罪者が急速にソフトウェアの欠陥を発見・悪用できるようになるため、同社は限定的なエンティティにのみ提供することを決定した。

このアクセスプログラムは「プロジェクト・グラスウイング」と呼ばれており、参加者は多数のバグを素早く発見できるが、人間が十分な時間とリソースをかければ発見できるバグばかりだと報告している。Mythosへのアクセス権を持つ者の中には、発見されるバグの量が修正能力を圧倒しているとも述べている者もいる。

Mythosの単なる存在だけで、若干のパニックが生じた。日本政府は包括的なセキュリティレビューを指示し、インド当局は金融機関での大規模パッチ適用を要求した。さらに、より劣ったAIモデルでさえ優れたバグ検出ツールであることが認識され、サイバー防御者は攻撃者がより多くの欠陥をより頻繁に兵器化することを予想しなければならないということが判明した。

Anthropicを含むいかなる企業も、このようなモデルの悪用を防ぐのに十分な強力なセーフガードを開発していない

Anthropicは先週、プロジェクト・グラスウイングに関する『初期アップデート』を発表した。その倒数2番目の段落で、同社の次のステップは『…米国および同盟国政府を含む重要なパートナーと協力して、プロジェクト・グラスウイングを追加のパートナーに拡大する。そして近い将来、より強力なセーフガードを開発した後、Mythosクラスモデルを一般公開で利用できるようにすることを楽しみにしている』ことが明かされている。

同社は『近い将来』が何を意味するかについては説明していないが、『現在のところ、Anthropicを含むいかなる企業も、このようなモデルの悪用と潜在的な深刻な害を防ぐのに十分な強力なセーフガードを開発していない』ことを認めている。

その主張をさらに示す例は同社の記事の前の部分で見つけることができ、Anthropicが1,000以上のオープンソースプロジェクトをスキャンするためにMythosを使用したことが明かされている。同社によれば、これらは『インターネットの大部分を支え、また私たち自身のインフラストラクチャの多くも支えている』という。

現在までに、Mythosはこれらのプロジェクト内で推定6,202個の高度または重大な重要度を持つ脆弱性を発見しており、全体では23,019個の欠陥を発見している。

投稿は、Mythosが欠陥を発見したとき、Anthropicとセキュリティコミュニティの仲間がMythosが発見した問題を再現し『その重大度を再評価する』ことを明かしている。

『脆弱性が実際に存在することが確認されたら、すでに修正が施されているかを確認し、ソフトウェアのメンテナーに詳細なレポートを作成します』とAnthropicは説明している。『ここで我々は相当な配慮を払っています。オープンソースソフトウェアの維持に関する通常の課題に加えて、メンテナーは低品質のAI生成バグレポートの大量流出に直面しており、複数のメンテナーは現在、容量が厳しく制限されていることを我々に伝えており、修正設計のためにより多くの時間が必要なため、開示速度を遅くするよう我々に要求した者さえいます。』

MythosがFOSSで発見した高度または重大度の脆弱性1,752個がこのプロセスを経ており、90.6%(1,587個)が有効な欠陥であることが判明した。そのうち62.4%(1,094個)が『高度または重大な重大度として確認された』と投稿は述べている。

重大な欠陥の1つは、世界中の数十億のデバイスで使用されているwolfSSL暗号化ライブラリに影響を与えた。

『Mythos Previewは、攻撃者が銀行やメールプロバイダーの偽のウェブサイトをホストするなどの証明書を偽造することを可能にする悪用を構築しました』とAnthropicは書いている。『ウェブサイトは攻撃者によって制御されているにもかかわらず、エンドユーザーには完全に正当であるように見えます。』幸いなことに、開発者はすでにwolfSSLをパッチしており、Anthropicは『今後数週間で』完全な技術分析を提供すると述べている。

詳細については、CVE-2026-5194に注目してください。

Mythosはすでに過負荷になっているセキュリティエコシステムに加わっている

『報告した530個の高度または重大な重要度のバグのうち75個がパッチされており、そのうち65個が公開アドバイザリーを与えられています』と投稿は述べており、その後、Anthropicが『我々の調整済み脆弱性開示ポリシーで定められた90日間のウィンドウはまだ初期段階にあり、より多くのパッチが間もなく予定されています』であることを明かして低い修正率を説明しています。同社は『一部の脆弱性は公開アドバイザリーなしでパッチされるため、パッチを過少計上している可能性が高い』とも考えています。最後に、Mythosが発見したバグの洪水は『すでに過負荷になっているセキュリティエコシステムに加わっています。』

AIが発見したバグの修正開発に苦労しているセキュリティチームに対するAnthropicの提案は、予想通り、スキルなど、Claude モデルの開発者支援能力を向上させるさらなるAIである。®


ロゴ

ITに食わせてもらっている手を噛む

翻訳元: https://www.theregister.com/security/2026/05/25/anthropic-to-release-mythos-class-models-to-the-public/5245596

ソース: theregister.com
#AI安全性 #AI脆弱性検出 #Anthropic #Mythos #オープンソースセキュリティ #サイバー脅威 #セキュリティ脆弱性 #バグ検出 #プログラミングセキュリティ #脆弱性管理

関連記事

専門家がフェアレッジのロシアン・ハック主張に異議を唱える

ロシア語話者と改ざんされたGeminiがハッキング狂乱を起こし、少なくとも1人のMAGA支持者の暗号資産ウォレットを空にした

メガロドンが5,500以上のGitHubリポジトリに毒を流す