出典:ricochet64 via Shutterstock
欧州連合(EU)が、AnthropicのフロンティアAIモデル「Mythos」へのアクセス獲得に向けて大きく前進しました。EUは数週間にわたり、Project Glasswingへの参加を求め続けてきました。Project Glasswingとは、厳格な管理のもと、選ばれた組織にサイバーセキュリティ研究や脆弱性発見を目的としたモデルへのアクセスを提供するイニシアチブです。
欧州委員会のデジタル主権担当報道官Thomas Regnierは、Dark Readingの取材に対し、AnthropicがEUのサイバーセキュリティ機関ENISAに脆弱性研究目的でMythosへのアクセスを許可することに合意したという今週のメディア報道を認めました。「欧州委員会がAnthropicと複数回にわたる生産的な会議を行ったことを確認できます。潜在的な将来のアクセスに関する最新の進展を歓迎します」と述べました。
背景として、Claude Mythos PreviewはAnthropicのAIモデルであり、ソフトウェアの脆弱性を検出するだけでなく、それに対するエクスプロイトチェーンを比類なきスピードとスケールで自律的に開発できる能力が大きな懸念を呼んでいます。Anthropicによれば、このモデルはOpenBSDにある27年前の欠陥やFreeBSDにある17年前の脆弱性など、広く使用されているソフトウェアにおいて数千件もの脆弱性を発見しているとのことです。多くの研究者は、Mythosのようなツールが脆弱性の発見と大規模な悪用に対する障壁を大幅に引き下げ、国家・非国家を問わずさまざまなアクターが洗練されたサイバー攻撃を自動化できるようになることで、大半の組織がパッチ適用や対応を行う速度を超えて攻撃が進むことを懸念しています。
EUにとって「最重要課題」のMythos
Regnierは今回の成果を「委員会によるAnthropicとの強力な二国間協力と関与の結果」と表現し、Mythosへのアクセスは「AIを活用した脆弱性の発見・悪用に伴う潜在的リスクの全体像を把握するうえで最重要だ」と強調しました。
Regnierはまた、AIツールのデュアルユース的性質をめぐる懸念は単一のモデルにとどまらないと訴えました。「Mythosは一過性のものではありません。強力な新世代モデルが次々と市場に登場しています」と述べました。「これは共通の課題であり、私たちは米国をはじめとする志を同じくするパートナーとの議論を強化しています。」
4月、Anthropicは厳格に審査された企業グループに対してMythosの機能を提供すると発表しました。それらの企業が自社製品の脆弱性を攻撃者に先んじて発見・修正するためです。いわゆるProject Glasswingイニシアチブには現在、Amazon、Apple、Microsoft、Google、Linux Foundation、JP Morgan Chase、NVIDIAなど40社以上が参加しています。参加組織には、重要なソフトウェアインフラを構築・維持する企業や、オープンソースソフトウェアのプロバイダーも含まれています。AnthropicはこれらのGlasswing参加組織に対し、Mythosの利用クレジットとして1億ドルを拠出する意向を示しています。
ENISA:Project Glasswingの初のEUパートナー
Anthropicの決定はブリュッセルにとって大きな成果であり、ENISAはMythosにアクセスする初のEU機関となりますが、協定はまだ完全には整っていません。AnthropicとEUは現在、ENISAが安全かつ相互に受け入れ可能な方法でモデルと関わるための条件について交渉を続けています。
ENISAは機能的には米国のサイバーセキュリティ・インフラストラクチャ安全保障局(CISA)と概ね類似していますが、オペレーション面での役割はより限定的です。ENISAはMythosにアクセスする最初のヨーロッパの機関となります。欧州委員会は、このアクセスはMythos自体を理解するためだけでなく、後続が見込まれる同様の高性能モデル群を評価するための制度的な能力を構築するためにも不可欠だと説明しています。
「ENISAがMythosにアクセスできることで、組織が大量に発生する脆弱性への対処を迫られる日に備えた全体的な取り組みに、真摯かつ信頼性の高いパートナーが加わります」と、ViakoのバイスプレジデントJohn Gallagherは述べます。サイバー攻撃者もまもなくMythosを手にするため、ENISAのようなサイバー防衛側の参加が不可欠だと付け加え、「ENISAは重要インフラへの深い注力をGlasswingにもたらし、そして何より、欧州全体の脅威に対する作戦的な対応を積極的に調整してきた実績を持ち込みます」と述べました。
しかし、CISAはなぜ蚊帳の外に置かれているのでしょうか。
CISA:Anthropic Mythosへのアクセスなし?
Action1のフィールドCTO(最高技術責任者)Gene Moodyは、CISAがProject Glasswingに参加していないように見えることは、自発的かどうかにかかわらず懸念だと述べます。
「アクセスが意図的に制限されているとはいえ、米国の主要な民間サイバーセキュリティ機関が除外されているということは、戦略的な優先事項における乖離が拡大していることを示唆しています」と同氏は説明します。「欧州の規制当局は管理されたAI展開を通じて防御態勢を強化することに注力しているように見えますが、米国の政策シグナルは健全な判断と攻撃的なサイバーの現実との境界線をますます曖昧にしています。」
さらに、その乖離は米国のサイバー脅威インテリジェンスが品質と信頼性の標準であるという地位を損なうリスクがあると警告します。「最先端の防御ツールへのアクセス減少と政策の重点の変化が重なることで、公共・民間双方の利害関係者が新興の脅威に対して著しく限られた可視性しか持てなくなる可能性があります。」
ただし、Anthropicはまだ、Project Glasswingに参加している組織の完全なリストを公表していません。そのため、CISAが実際には参加しているという可能性も否定できません。しかし、AnthropicもCISAも、Dark Readingによる確認の求めには応じませんでした。
翻訳元: https://www.darkreading.com/cyber-risk/anthropic-mythos-ai-eu-enisa
