TokyoBlackHatNews

theregister.com 5分で読了

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

セキュリティ

一方、AnthropicはProject Glasswingのパートナーを150社追加

バグハンティングは近頃、俄然盛り上がりを見せています。AnthropicとOpenAIがそれぞれ最新モデルをアピールしており、これらは強力なエクスプロイトマシンとも評されています。火曜日、AnthropicがMythosプレビュープログラムの4倍規模への拡大を発表したのと同時に、CiscoもこのAIの変革的な力を称賛する声明を発表しました——ただし、最新フロンティアモデルが実際に発見したバグの数については明かしませんでした。

CiscoのSVPであるAnthony Griecoは火曜日のブログ投稿の中で、Anthropicの「Claude Mythos Preview」OpenAIの「GPT 5.5-Cyber」などの先進的なAIシステムが、Cisco製品の脆弱性を探すために8週間で18億行のコードをスキャンしたと述べました。この作業は、同社の先進セキュリティチームが手作業で取り組めば8年かかる規模に相当します。

しかしGriecoは、CiscoのセキュリティおよびTrust組織を率いる立場にありながら、Mythosをはじめとするフロンティアモデルがいくつの脆弱性を発見したのか、またそれらがすべて修正済みかどうかについては一切言及しませんでした。同社はThe Registerからの問い合わせにも回答しませんでした。

Griecoは「スピードは全体の半分に過ぎない」と述べ、真の「ブレークスルー」はモデルの発見内容の「規模・品質・インパクト」にあると強調しました。

スキャン対象となった18億行のコードは25以上のプログラミング言語で記述されており、Ciscoの全製品ポートフォリオにわたるものだといいます。Griecoによれば、同社はこれらのモデルに「人間が誘導するハーネス」を組み合わせることで、誤検知率を3%未満に抑えることに成功したとのことです。

「特定の範囲に絞って評価するのではなく、製品のコードベース全体をアセスメントできるようになりました。暗い部屋を照らすのに、懐中電灯から投光器に切り替えるようなイメージです」とGriecoは述べています。「個々の発見事項はAIと人間の専門知識によるハイブリッド検証を経ているため、エンジニアリングチームには警告の羅列ではなく、実際に対処可能なインテリジェンスが届いています。」

一方、Anthropicは火曜日、Project Glasswingを約150の追加組織に拡大したと発表し、パートナー総数を約200にまで引き上げました。

Project Glasswingは、選ばれた組織にのみClaude Mythos Previewへのアクセスを提供する、Anthropicの管理型パートナープログラムです。4月上旬に新モデルとパートナープログラムを発表した際、Anthropicはプレビューの対象を約50の組織に限定しました。その理由として、Mythosはセキュリティホールの発見と悪用において非常に優れているため、誤った手に渡れば制御不能な事態を招きかねないと主張していました。

4月以降、これらの選ばれた政府機関や企業パートナー(Ciscoを含む)は、自社製品のバグを発見・修正するためにMythosを活用してきました。

Project Glasswingの当初のパートナーの1社であるPalo Alto Networksは5月、AnthropicのMythosを含むフロンティアAIモデルを用いて1か月間、3つのプラットフォームにわたる130以上の製品をスキャンした結果、75件の根本的なセキュリティ問題を示す26件のCVEが発見されたと報告しました。

比較として同社が明かしたところによると、通常は月に5件未満のCVEしか開示していないとのことです。

当時、同社の幹部は「AIによるエクスプロイトが新たな常態となる前に、組織が攻撃者を上回るための猶予は3〜5か月という狭い時間しかない」と予測していました

新たに拡大されたProject Glasswingは15か国以上にまたがっています。Anthropicの広報担当者は国名や新パートナー企業の開示を拒否しましたが、西側諸国や「友好国」が中心とみて間違いないでしょう。中国やロシアは含まれていません。

データセキュリティおよび管理ベンダーのRubrikは、新たなGlasswingパートナーの1社であると発表しました。また、拡大されたパートナーリストには、韓国インターネット振興院(KISA)のほか、Samsung Electronics、SKハイニックス、SK Telecomなど複数の韓国企業も含まれていると報じられています

「今回のグループには、当初のコーホートでは十分に代表されていなかった電力・水道・医療・通信・ハードウェアなど複数の産業が含まれています」と、Anthropicは火曜日のブログに記しています。「新パートナーの多くはベンダー——世界中の多くの組織(政府機関を含む)が依存するコードベースを管理する企業や非営利団体——です。」

同社はまた、新パートナーはMythosへのアクセスが認められる前にAnthropicのセキュリティ要件を満たす必要があると付け加えました。®


翻訳元: https://www.theregister.com/ai-and-ml/2026/06/02/cisco-praises-ai-bug-hunt-wont-reveal-flaw-tally/5250291

ソース: theregister.com
#AIセキュリティ #Anthropic #Cisco #Claude Mythos #OpenAI #Palo Alto Networks #Project Glasswing #サイバーセキュリティ #バグハンティング #脆弱性診断

関連記事

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張

Microsoftが0day研究者との公開対立後に和解の手を差し伸べる

AnthropicのIPO申請翌日、Claudeが大規模障害——最悪のタイミングで