米サイバー当局、Anthropic社の「Mythos」で政府コードの脆弱性監査を実施

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、政府ソフトウェアの脆弱性を監査するため、Anthropic社の先進的AIモデル「Mythos」の活用を開始しました。

Hacking& Cracking

これは、AIを活用したサイバー防衛活動への大きな転換を示すものです。この取り組みに詳しい関係筋によると、CISAはMythosを展開し、連邦政府のコードリポジトリを体系的にスキャンして、海外の敵対勢力やサイバー犯罪集団に悪用されかねないセキュリティ上の欠陥を特定しているとのことです。

この動きは、ソフトウェアサプライチェーンのセキュリティを強化し、重要システムに存在する悪用可能な脆弱性を先回りして検出するために、政府がAI主導型ツールへの依存を強めていることを示しています。

米サイバー当局によるAnthropic社「Mythos」の活用

この監査を実施しているのは、CISA内でペネトレーションテストやレッドチーム演習、連邦インフラ全体にわたる包括的なセキュリティ評価を担う専門部隊、「攻撃対象領域評価(ASE)」チームであると伝えられています。

ASEチームはMythosをワークフローに組み込むことで、大規模なコード解析を自動化しており、安全性を欠いたコーディングパターンや設定ミス、潜在的なゼロデイの露出を含む脆弱性をより迅速に特定できるようになっています。

Reutersによると、2人の関係者は、AIを活用した監査によって既に相当数の脆弱性が発見されていると述べています。ただし、深刻度や影響を受けるシステム、修正のスケジュールといった具体的な詳細は明らかにされていません。

スキャン活動の正確な規模は不明ですが、Mythosの活用は、脆弱性発見や攻撃再現シミュレーションといった攻撃的なセキュリティ推論を行えるAIモデルの採用が広がっているという大きな潮流を裏付けています。

Mythosは、複雑な攻撃経路の特定や複数の脆弱性を連鎖させる手法の発見に特に優れていると評されています。こうした作業は従来、経験豊富なセキュリティ研究者による多大な手作業を必要としていました。この点で同ツールは、膨大かつ多岐にわたるコードベースを管理する連邦政府のサイバー防衛チームにとって、能力を大きく底上げする存在に位置付けられています。

今回の展開は、Anthropic社と米政府との関係が複雑な変遷を辿る中で起きています。今年の初め、Anthropic社が自社のAIモデルを自律型兵器システムや国内監視プログラムに使用されないようにするための安全策の撤廃を拒否したことで、両者の緊張が高まりました。

これを受けて国防総省は、コンプライアンスおよび運用管理上の懸念を理由に、同社に対して正式なサプライチェーンリスク指定を発動し、事実上その技術の利用を封じました。しかし、この指定はその後連邦判事によって差し止められ、Anthropic社のツールを限定的に利用できる状態に戻りました。

その後の展開は、両者の関係が徐々に正常化しつつあることを示唆しています。国家安全保障局(NSA)を含む情報機関は、少なくとも2026年4月以降、機密環境下でMythosの試験運用を行っていると伝えられており、初期の評価ではサイバーセキュリティ用途での高い性能が示されているとのことです。

当初の制限にもかかわらず、内部評価によって、脆弱性研究や脅威分析における同モデルの有用性への信頼が強まったようです。

さらに事態を複雑にしているのが、Anthropic社が一般向けにMythosの公開版「Fable」をリリースしたことです。これにより、海外の主体による悪用の可能性をめぐってホワイトハウス内で政策上の懸念が持ち上がりました。

これにより一時的な輸出規制とアクセス制限が導入され、同モデルの世界的な提供が一時停止に追い込まれましたが、6月下旬にこの制限は解除されました。この一件は、イノベーション、国家安全保障、AIガバナンスの間で続く緊張関係を浮き彫りにしています。

CISAによるMythosの採用は、最終的に、特に先回りした脆弱性発見のために、最先端のAIを連邦政府のサイバーセキュリティ活動に統合するという戦略的な方向転換を示すものです。脅威アクターがソフトウェアの弱点を大規模に悪用する動きを強める中、AIを活用した監査ツールの利用は、政府および重要インフラ部門全体における防衛的サイバー戦略の柱の一つになる可能性があります。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

ComputerSecurity

翻訳元: https://gbhackers.com/us-cyber-agency-uses-anthropic-mythos/

ソース: gbhackers.com