TokyoBlackHatNews

csoonline.com 5分で読了

セキュリティ専門家が警告する「Mythosの後継者」への備え

AnthropicとOpenAIによる脆弱性発見ツールへのアクセス拡大が進む中、Infosecurity Europeの登壇者たちは近い将来に迫るフロンティアAIモデルの次の波に警告を発しています。

ロンドン発 — AnthropicとOpenAIが脆弱性発見向けフロンティアAIモデルへのアクセスを拡大する中、Infosecurity Europeに登壇したセキュリティ専門家たちは、企業のセキュリティチームに対してその影響への備えを強く促しました。

特にAnthropicは、Project Glasswingを大幅に拡張しています。これは選ばれた組織にClaude Mythosへのアクセスを提供するプログラムであり、Claude MythosはAIを活用した脆弱性発見ツールとして、多くの業界関係者や実務者がサイバーセキュリティの構造的変革を示すものと捉えています。

4月に約50組織へのアクセスを最初に付与した後、Anthropicはさらに約150の審査済みパートナーをプログラムに追加しています

並行して、OpenAIは英国の大手銀行9行に対し、サイバーセキュリティAIツール「GPT-5.5 Cyber」へのアクセスを提供したと報じられています。

「Mythosの後継者」への備え

Infosecurity Europeに登壇したペネトレーションテスト・セキュリティサービス企業CobaltのCTOであるGunter Ollmann氏は、Googleのフロンティアモデルと中国からの2つのモデルが、その能力においてそれほど後れを取っていないと語りました。

「セキュリティチームは『Mythosの後継者』に備えるべきです」とOllmann氏は述べました。「これらのフロンティアAIツールへのアクセスはまだ制限されていますが、今後はコストが下がっていく一方です」

英国国家サイバーセキュリティセンター(NCSC)のオペレーション部門ディレクターであるPaul Chichester氏は、中国が8か月遅れているとの推計を引用してこの評価を支持しました。Chichester氏はInfosec Europeの出席者に対し、フロンティアAIモデルの悪用は脅威である一方、防御側が攻撃者にさらなるコストを課す機会ももたらすと述べました。

「組織はAIを活用してより良いコードを書いたり、脆弱性を探したりすることができます」とChichester氏は語り、フロンティアAIツールにはセキュリティ評価やペネトレーションテストを民主化する可能性があると付け加えました。

Chichester氏は、アクセス制御の強化とインシデントレスポンス演習の実施によってサイバーセキュリティを向上させるべきと助言しました。

マネージドセキュリティサービス企業TalionのThreat IntelligenceアナリストであるDaniel Wilcock氏は、高度なAIの活用を怠る組織は、テクノロジーを脆弱性発見やセキュリティオペレーションの加速に活用している組織に後れを取るリスクがあると警告しました。

「高度なAIプラットフォームはすでに悪意ある脅威アクターに使用されており、すべての組織がこれに備えなければなりません」とWilcock氏は警告しました。

エクスプロイトチェーン

Ollmann氏はCSOに対し、AIがペネトレーションテスターなどのセキュリティ専門家に取って代わるにはほど遠いと語りました。

「AIによる分析と人間の専門知識を組み合わせることで、どちらか単独で動作する場合よりもはるかに高い効果が得られることが証明されています」とOllmann氏は述べました。「こうした進歩から最も恩恵を受ける組織は、攻撃者に先んじて発見された問題を迅速に検証し、優先順位を付け、修正できる組織です」

Ollmann氏はさらにこう付け加えました。「Mythosは、多くの商業的セキュリティ研究者やテストプラットフォームが通常持っていないレベルのソフトウェアアクセスと分析の柔軟性で動作しているようです。ライセンスや利用規約によって制限される可能性のあるコードや動作を検査する能力も含まれています。これにより、従来のテスト手法では見逃されがちな脆弱性のクラスを特定する独自の機会が生まれます」

例えばMythosは、複数の中程度の深刻度を持つ脆弱性を連鎖させ、高い影響リスクを生み出すことを容易にします。

AIによる欠陥チェーニングのテーマは、最近米国で開催されたCSO Cybersecurity Awards and ConferenceのMythosに関するパネルでも中心的な議題となりました。

「脅威モデリングを行う際、私たちはモデル化の対象となる既知の脆弱性と自分たちの弱点をある程度把握しています。しかし複数の脆弱性を連鎖させることで、そうした前提が崩れてしまいます」と、Cloud Security Alliance(CSA)のCEO兼共同創設者であるJim Reavis氏は出席者に語りました。「CVSSスコアリングは、もはやそれほど意味を持たなくなってきているようです」

CSAのチーフサイエンティストオフィサーであるJon Yeoh氏も同意し、「Mythosの後継者」がもたらす脅威についても言及しました。

「これはAnthropicだけの話ではありません。次世代AIが何をするかということです」と同氏は述べました。「これはAIにできることにおける大きなステップチェンジです」

翻訳元: https://www.csoonline.com/article/4180920/beware-the-son-of-mythos-security-experts-warn.html

ソース: csoonline.com
#AIセキュリティ #Anthropic #Claude Mythos #Infosecurity Europe #OpenAI #Project Glasswing #エクスプロイトチェーン #フロンティアAI #ペネトレーションテスト #脆弱性発見

関連記事

CodexがHTTP/2の14年越しの盲点を研究者に気づかせた

OpenAI、AIガバナンスに関するホワイトハウス大統領令に応答

Hugging Face Transformers のRCE脆弱性、AIモデル設定ファイルを悪用したステルス侵害を可能に