- Anthropicは、Mythos Previewが2ヶ月以内に10,000以上の高度またはクリティカルレベルの脆弱性を発見したことを報告しました。Cloudflareだけで2,000個のバグを発見しています
- 独立した検証により、評価された知見の90%が実在することが確認されましたが、批評家は、この飛躍は独自の推論ではなく、大規模な計算とワークフローから生じている可能性があると主張しています
- AIが現在、脆弱性を組織が修復できるより速く表面化させるため、ボトルネックは発見から検証、開示、およびパッチ適用へとシフトしました
2ヶ月未満で、Anthropicとその関係者は、有名なMythos Preview人工知能ツールを使用して、10,000以上のクリティカルおよび高度なセキュリティ脆弱性を発見したと見られます。
先週後半に公開されたプロジェクトの状況に関する簡潔な更新で、Anthropicは、ツールのリリース以来、それを使用する機会を得た約50の組織が各自「数百の」脆弱性を発見したと述べました。
「複数の組織が、バグ発見率が10倍以上に増加したと述べています」と同社は述べました。「例えば、Cloudflareは重要なパスシステム全体で2,000個のバグ(このうち400個は高度またはクリティカルレベル)を発見しており、誤検知率はCloudflareのチームが人間のテスターよりも優れていると考えています。」
Anthropicは、脆弱性の詳細を共有することは通常90日の遅延で行われ、ユーザーにパッチを適用する十分な時間を与え、誰にも侵害のリスクを与えないようにすることを説明しました。したがって、ツールがいかに強力であるかを再度証明するために、一般的な「説明的な例」のみを共有しました。
これを念頭に置いて、Mythosはこれらのプロジェクトで推定6,202の高度またはクリティカルレベルの脆弱性を発見したと述べました(中程度または低度レベルと推定されるものを含む合計23,019のうち)。
懸念は残存
このうち、1,752個は独立したセキュリティ研究者によって評価され、90%が有効なポジティブとして確認されましたが、62.4%は高度またはクリティカルレベルとして確認されました。
しかし、Mythos Previewに対する全体的な反応は非常に肯定的ですが、誇大宣伝が過度であるかもしれないと言う声もあります。Techzine分析は、例えば、AI支援脆弱性発見はすでにGoogle’s Big Sleepのようなシステムを通じて存在し、実際の課題は依然として人間の運用セキュリティであると主張しています。
最近の学術論文「Benchmarking Mythos-Linked Bug Rediscovery」は、管理された条件下で、GPT-5.5のような公開フロンティアモデルがMythosに属するいくつかの同じ脆弱性を再発見することができたこと、そしてReddit上では、異なるコミュニティがさらに懐疑的であったことを発見しました。重要な要点は、Mythosが独自の推論能力を持つのではなく、単に膨大な量の計算と長時間実行されるエージェントワークフローを使用している可能性があるということです。
いずれにせよ、Anthropicは現在、ソフトウェア脆弱性の進展は発見の速度によって制限されるのではなく、検証、開示、およびパッチ適用の速度によって制限されていると述べています。
