AnthropicはClaude Opus 4.6をリリースし、人工知能の防御的活用において大きな飛躍を示しました。
昨日リリースされたこのモデルは、オープンソースソフトウェアにおける高深刻度の「ゼロデイ」脆弱性をすでに500件以上特定し、検証しています。
この進展はサイバーセキュリティにおける大きな転換を示しており、従来の総当たりテストを超えて、人間のセキュリティ研究者を模倣する知的で理由に基づく分析へと移行しています。
Claude Opus 4.6のセキュリティ機能
数十年にわたり、セキュリティチームは「ファジング(fuzzing)」という、ソフトウェアにランダムデータを大量に投入してクラッシュを見つける手法に依存してきました。
表層的なバグには有効である一方、ファジングは、特定で複雑な入力シーケンスを必要とする深いロジックエラーを見逃しがちです。
Claude Opus 4.6は異なる方法で動作します。入力を推測するのではなく、コードを読み、バージョン管理の履歴を分析し、プログラマーの意図を推論します。
さらに詳しく
ノートパソコン
脅威インテリジェンス・プラットフォーム
セキュリティ監査サービス
サイバーセキュリティ
コンピュータセキュリティ
ペネトレーションテストサービス
コンピュータセキュリティ
エクスプロイト
Metasploit Frameworkへのアクセス
サイバーセキュリティ
テストでは、モデルは標準的な仮想マシンに配置され、基本的なツール(デバッガなど)はあるものの、専門的な指示は与えられませんでした。
それでも、複雑なコードベースを推論しながら解析し、何年も検出を免れてきた脆弱性を見つけ出すことに成功しました。
以下の表は、このアプローチが業界標準の手法とどのように異なるかを示しています:
発見された重大な脆弱性
このモデルの有効性は、広く利用されているプロジェクトで重大なバグを発見したことで実証されました:
- GhostScript: ClaudeはGitのコミット履歴を分析し、不完全なセキュリティパッチを見つけました。別の箇所で追加されていた「境界チェック(bounds checking)」が特定の関数に欠けていることを正しく推論し、クラッシュを予測して検証しました。
- OpenSC: モデルはバッファオーバーフローのリスクを
strcat操作において特定しました。ファザーは到達が難しいためこのコードを無視していましたが、Claudeは長さチェックなしで文字列を連結する危険性を認識し、そこに狙いを定めて解析しました。 - CGIF: おそらく最も印象的なのは、Claudeが基盤となるLZW圧縮アルゴリズムを理解することで、GIF処理における脆弱性を見つけた点です。特定の「リセット」シーケンスがシンボルテーブルをオーバーフローさせ得ることを認識しました。これは、カバレッジ誘導型ファザーでは統計的にほぼ決して発火しないロジックバグです。
大きな力には二重用途(デュアルユース)のリスクが伴います。これらの能力が脅威アクターに悪用され得ることを認識し、AnthropicはOpus 4.6に「プローブ」を統合しました。
これらの内部モニターはモデルの活性化を追跡し、悪意あるリクエストをリアルタイムで検知してブロックします。
さらに詳しく
ノートパソコン
オンライン安全講座
マルウェア
脅威インテリジェンス・プラットフォーム
サイバーセキュリティ
サイバーセキュリティ・ウェビナー
ランサムウェア
ネットワークセキュリティソリューション
コンピュータセキュリティ
安全なデータ管理
AI主導の発見が加速するにつれ、標準的な90日間のパッチ猶予期間は時代遅れになるかもしれません。
Opus 4.6のようなモデルが大規模にバグを発見できる能力は、業界がソフトウェアのトリアージとパッチ適用を行う方法についても、それに見合う加速を必要とします
翻訳元: https://gbhackers.com/claude-opus-4-6-launches-enhanced-security-capabilities/
