Anthropicが提供する最高性能のAIモデルへのアクセスが、新たに150の組織に拡大されました。これにより、世界で最も重要なソフトウェアの脆弱性を最先端AIで発見するプログラムの対象が広がっています。
Anthropicは6月2日、Project Glasswingの拡大を発表しました。4月にClaude Mythos Previewへのアクセスを得た約50のパートナー企業から成る初期グループを基盤に、規模を拡充する形となります。
この初期グループはモデルを活用し、深刻度が「高」または「致命的」と評価される脆弱性を1万件以上発見したとされており、同社は そのように述べています。
Glasswingの対象拡大の背景
新たに参加するパートナーは15か国以上にわたり、電力・水道・医療・通信・ハードウェアなど、プログラム開始時には十分にカバーされていなかったセクターを担う企業が含まれています。その多くは、自社のコードが他組織のシステムに組み込まれているソフトウェアベンダーです。
Anthropicがこれらの組織を選定した理由は、そのコードベースへのサイバー攻撃が壊滅的な被害をもたらす可能性があるからです。同社の試算によれば、大半の組織において大規模な侵害が発生した場合、1億人以上が影響を受ける可能性があるとのことです。
Anthropicは今回の動きを、同社が繰り返し警鐘を鳴らしてきた変化への備えとして位置づけています。今後6〜12か月以内に、競合他社が同等のサイバー能力を持つモデルをリリースする可能性があり、悪用を防ぐセーフガードが不十分なまま公開されるリスクも懸念されています。
Mythosクラスのモデルへの一般公開は依然として見送られており、Anthropicは安全なリリースに必要なセーフガードが現時点では世界のどこにも存在しないと認めています。
発見が修正を上回る速度
この拡大は、業界がすでに直面している課題をより鮮明にしています。脆弱性の発見は、その修正よりもはるかに容易になってきているのです。Anthropic自身も、現在のボトルネックはモデルが発見した脆弱性の検証・開示・修正にあると述べています。
OWASPの創設者でContrast SecurityのCTOを務めるJeff Williams氏は、今回の発表がすでに業務過多の状態にあるチームにさらなるプレッシャーをかけると指摘しました。
「AIは脆弱性の発見を産業規模の活動に変えつつありますが、ほとんどの組織はいまだ人間のスピードで対応しています」と同氏は述べました。
より多くの脆弱性を見つけてもソフトウェアは安全にはならない、とWilliams氏は主張しています。組織が同じペースで検証・優先順位付け・修正・デプロイを実行できなければ意味がないというわけです。本当の機会は、従来のスキャン&パッチサイクルにAIを向けるのではなく、脅威モデリングやセキュアデザインに活用することにあると同氏は提案しています。
Project Glasswingについてさらに詳しく: AnthropicがAIでソフトウェアバグを修正するProject Glasswingを開始
CobaltのCTOであるGunter Ollmann氏は、今回の知見はSASTやDASTといった自動化ツールの限界を示しており、AIによる分析と熟練した人間の判断を組み合わせることで、従来のアプローチでは見逃していた脆弱性を発見できると述べました。
「これらの進歩から最も恩恵を受ける組織は、攻撃者に先んじて、発見された問題を迅速に検証・優先順位付け・修正できる組織でしょう」とOllmann氏は締めくくりました。
Image credits: JRdes / Samuel Boivin / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/anthropic-glasswing-expansion/
