Anthropicは、1ヶ月前に始まったProject Glasswingイニシアチブが、システム的に重要なコード全体で10,000を超える高度または重大レベルのソフトウェア脆弱性を発見したと述べています。同社は、この発見がサイバーセキュリティの中心的な問題を欠陥の発見から検証とパッチ適用へとシフトさせたと述べています。
パートナー報告書および独立した評価から引き出されたこの発見は、広く使用されているコードに向けられたとき、最先端のAIモデルが何ができるかについての最初の大規模な説明の1つであり、それが起こると出現するボトルネックを示しています。
複数のパートナーが、バグ発見率が10倍以上に増加したと報告しました。Cloudflareはクリティカルパスシステム全体で2,000のバグを特定し、そのうち400は高度または重大と評価され、同社は誤検知率が人間のテスターよりも優れていると述べています。あるパートナー銀行では、顧客のメールアカウントが侵害され、なりすましの電話で続いた後、詐欺的な150万ドルの送金を検出・防止するのに役立つクレジットがモデルに与えられました。
アップデートで引用された外部評価はAnthropicが公開した結果と一致しました。英国のAIセキュリティ研究所は、Mythos Previewが複数ステップのサイバー攻撃のシミュレーション「サイバーレンジ」の両方をエンドツーエンドで解決した最初のモデルであることを発見しました。Mozillaは、モデルをテスト中にFirefox 150で271の脆弱性を発見・修正したと述べており、これは以前のAnthropicモデルを使用してFirefox 148で発見された数の10倍以上です。AI搭載セキュリティプラットフォームXBOWはモデルをWebエクスプロイトベンチマークで既存システムよりも大きな進歩と呼びました。
Anthropicはまた、Mythosを使用して1,000を超えるオープンソースプロジェクトをスキャンしました。モデルは23,019の潜在的な脆弱性にフラグを立てており、そのうち6,202は高度または重大と推定されています。6つの独立したセキュリティ研究企業またはAnthropicそのものによってレビューされた1,752の高度または重大と評価された発見のうち、90%以上が有効であると確認され、62%以上が高度または重大であると確認されました。
同社は、脆弱性の発見は得意だが、すべての問題を人々に修正させることにはまだギャップがあると述べました。
「このようなバグを修正する際のボトルネックは、人間がそれらをトリアージ、報告、設計、デプロイするための容量である」とレポートは述べています。
オープンソースメンテナーは、低品質のAI生成バグレポートの波に対処してきており、Anthropicは報告する前に各問題を再現・評価しようとしていると述べています。メンテナーの要求に応じて、さらなる精査なしにバグを開示することがあり、1,129件のそのようなケースを報告しており、そのうちモデルは175を高度または重大と推定しています。
Anthropicは、Mythosクラスのモデルを公式にリリースしていないと述べています。なぜなら、自社を含むどの企業も、深刻な悪用を防ぐためのセーフガードを開発していないからです。その間に、エンタープライズ顧客向けにパブリックベータでClaude Securityをリリースし、公開利用可能なClaude Opus 4.7を使用して3週間で2,100を超える脆弱性をパッチするために使用されたと述べており、セキュリティプロフェッショナル向けのCyber Verification Programを開始しています。
同社は、基盤となるモデルのより広範なリリース前に、米国および同盟国政府を含む追加パートナーとともにProject Glasswingを拡張する計画があると述べています。
「Glasswingは、システム的に最も重要なサイバー防御者が非対称的なアドバンテージを得るのを支援しています。しかし、できるだけ多くの組織がサイバー防御を強化する必要があります」とレポートは述べています。「私たちが一般的に利用可能なモデルと、それらに伴う新しいツール、リソース、および研究が、これらの組織がサイバーセキュリティの態勢を改善するのを支援することを望んでいます。」
翻訳元: https://cyberscoop.com/anthropic-mythos-software-flaws-glasswing/
