英国の銀行は、AnthropicのProject Glasswingの最新拡大から除外されたことを受け、OpenAIのGPT-5.5 Cyberへのアクセスを得る見通しです。
Project Glasswingは、Mythos Previewモデルへのアクセスとともに、高度なAIモデルが公開され攻撃者の手に渡った際に、重要インフラプロバイダーが生じる脅威に対処できるよう備えることを目的としています。
しかし、Glasswingパートナーが4倍に拡大する中、金融サービスが重要インフラに含まれるにもかかわらず、Mythos Previewへのアクセスを得る金融機関としてはJPMorganChaseのみが名指しされました。
この状況を受け、HSBC、ロイズ・バンキング・グループ、ナショナルワイドがGPT-5.5 Cyberへのアクセスを得る銀行の一つとなる見通しであるとBBCが報じました。なお、NatWestとサンタンデールはすでに別途の契約の一環として試験利用しているとのことです。
OpenAIは、Glasswingから締め出された英国の銀行合計9行に対し、Mythosの競合モデルへのアクセスを提供しました。
この数字にイングランド銀行が含まれるかどうかは不明です。同行のアンドリュー・ベイリー総裁は、Glasswingから除外されていることについて公然と発言しています。
ベイリー総裁は先週、ブルームバーグTVで、英国の金融システムを守るためにアクセスを求めてきたにもかかわらず、AnthropicはMythos Previewへのアクセスを付与していないと語りました。
TalionのアーキテクチャディレクターであるLiam Salsi氏は、英国の銀行を除外した決定は政治的なものだと疑っていると、The Register に語りました。
ベイリー総裁もかねてより、Anthropicが米国政権に関連するプロセスが影響してMythos Previewへのアクセスをまだ付与していないのではないかとの疑念を示唆していました。
「米国政府はプラットフォームへのアクセス権を持つ者をコントロールしたいと考えており、これは主に悪意ある者の手に渡る可能性を制限するためです」とSalsi氏は述べました。
「しかし、アクセスを制限することは、最終的には一部の銀行がサイバー脅威にさらされやすくなり、脆弱性管理に影響を与えて、攻撃者に大きな隙を与えることになりかねません。
「先進的なAIプラットフォーム間の競争により、こうしたギャップが長続きしないことを期待したいと思います。GPT-5.5はMythosのわずか数週間後にリリースされており、さらに高度なAIプラットフォームが間もなく登場し、ギャップを埋めてより多くの重要組織にこれらのシステムを届けると考えて差し支えないでしょう。」
同氏はまた、すべての機関が同じ製品を使用した場合、グローバルな銀行セクターに単一障害点を生じさせる可能性もあると付け加えました。
Anthropicは、どの金融機関がMythosへのアクセスを受けるかに関する同社のアプローチについて公式にはコメントしていませんが、同社の意思決定について思案しているのは金融関係者だけではありません。今週、EUのサイバーセキュリティ機関ENISAがMythos Previewへのアクセスを得ることが明らかになった一方、米国の相当機関であるCISAはまだ選定されていません。
Glasswingの大規模拡大
その他の動きとして、Anthropicは火曜日に、Project Glasswingイニシアチブにさらに多くの組織を加え、総メンバー数を約50から200に増やす方針であると発表しました。
新たに加わる約150の組織は15カ国から参加し、セキュリティ企業や大手テクノロジー企業、政府機関、オープンソースのメンテナーで構成される既存メンバーに合流します。
これらの組織は公式には発表されていませんが、報道によると韓国が15カ国の一つに含まれており、科学技術情報通信部、Samsung、SKハイニックス、SKテレコムが新たな参加者の中にいるとのことです。
Project Glasswingは一種の会員制クラブといえます。Anthropicが最も高度なMythos Previewモデルに早期アクセスできる、慎重に選定された組織の集まりであり、同モデルはサイバーセキュリティの状況を根本的に変えると同社は主張しています。
懐疑的な人々の目には、こうした主張はAnthropicのマーケティング手法の延長線上にあるものとして映るかもしれません。恐怖心を煽ることで製品への期待を高める戦略だと見る向きもあります。
このAI企業が4月にMythosを発表した際、一般公開するには危険すぎると銘打ちました。
Mythosは、人間よりもはるかに効率的にコードの脆弱性を発見できる、熟練したバグハンターかつゼロデイの専門家として紹介されました。発表時に頻繁に引用されたのは、初期テストでMythosが発見した27年前のOpenBSDのバグです。ただAnthropicは、それ以外にも多数のゼロデイや独自の重大な脆弱性を同モデルが発見できるとしています。
Mythos Previewを実際に試した人たちの評価はまちまちです。CloudflareのCISOであるグラント・ブルジカス氏は5月、同モデルは「真の前進」であり、複数の低深刻度のバグを発見してそれらを連鎖させた動作可能なエクスプロイトを作成できたと記しました。
一方、cURLのダニエル・スタンバーグ氏など他の評価者は、データ転送ソフトウェアで脆弱性を1件しか発見できなかったことを受け、Mythos Previewを「驚くほど成功したマーケティングの演出」と呼びました。
同様に、セキュリティ専門家のケビン・ボーモン氏も同モデルは「大したものではない」と述べ、「本質的にはマーケティングだ」と断じました。Mythos Previewはバイブコーディングされたアプリケーションのバグ発見には長けているものの、それ以外では旧来のモデルが持つ能力をほとんど超えていないと指摘しました。
新たなGlasswingパートナーの受け入れに関して、AnthropicはMythos Previewへのアクセスを付与される前に、それぞれが独自のセキュリティ要件をクリアする必要があると述べるにとどめました。
また、新たに加わった組織はすべて重要インフラサービスを管理しており、そのシステムへの攻撃が成功すれば「壊滅的な」結果をもたらしかねないとも述べました。
「ほとんどのパートナーに対して、大規模な攻撃が実行された場合、1億人以上に影響を及ぼし、グローバルおよび国家安全保障に重大な影響をもたらすと推定しています」と同社は火曜日に述べました。
「この拡大は、AIがすべてのソフトウェアをより安全にし、AIがサイバーセキュリティの多くの根本的な前提をどのように変えうるかについて業界が適応するのを支援するという、私たちの長期目標に向けた次のステップです。」
一般公開はいつ?
Mythosモデルがいつ一般公開されるかについて、Anthropicはほとんど明らかにしておらず、近い将来に公開されるとは期待しないほうがよいでしょう。
最新のGlasswing発表において、同社は悪用を防ぐために必要なセーフガードはまだ整っていないと述べました。
「Mythosレベルの機能を安全に一般公開するため、できる限り速やかに取り組んでいます」と同社は述べました。「そのためには、モデルのサイバー能力が悪用されるのを防ぐ高度に堅牢なセーフガードが必要です。これは私たち(そして私たちの知る限り他のすべてのAI開発者)がまだ開発できていないものです。
「サイバーセキュリティには有益な用途と破壊的な用途の両方があるため、十分に強力かつ精密なセーフガードを作ることは大きな課題です。」
しかし、Anthropic自身の見立てでは、他のAI企業が6〜12カ月以内に自社モデルでMythosレベルの機能を実現するとしており、同社は今後1年で難しい判断を迫られる可能性があります。
混乱をさらに深めることに、同社は金曜日に、Mythosクラスのモデルを数週間以内にすべての顧客に向けてリリースすると述べました。
AnthropicはMythosをより広く展開する前に、Glasswingをさらに拡大し、より多くの重要インフラ組織、オープンソースのメンテナー、安全性テスターを加える予定だと述べました。
「今回と同様に、今後の拡大では米国内外の組織を対象とする予定です。また、特定のサイバー防衛タスクに向けてMythosクラスの機能をより多くの組織に付与するCyber Verification Programも拡充する予定です。」 ®
