長年にわたって、情報セキュリティコミュニティの最大の懸念は、量子コンピュータが古典的暗号を破り、世界の秘密を明かすことでした。今、彼らは新たな大きな脅威に直面しています。ゼロデイ脆弱性を生成できるAIモデルです。
Anthropicがモデルを開発し、Mythosと名付けました。幸いなことに、このAI企業はそれをリリースしないことを決めました。それはインターネットを破壊してしまうからです。そして、良い方法ではありません。
「AIモデルはコーディング能力のレベルに達し、ソフトウェアの脆弱性を発見・悪用する際に、最も熟練した人間以外のすべての人間を上回ることができます」と同社は述べています。
MythosはClaude Opus 4.6とは大きく異なります。Anthropicは最近、Opus 4.6は機能するエクスプロイトコードの開発にはあまり熟練していないと述べていました。Opus 4.6がわずか0パーセント強のエクスプロイト開発成功率だったのに対し、Mythos Previewは72.4パーセントの確率で機能するエクスプロイトを生成しました。
Anthropicが説明しているのは文字通りゼロデイエンジンです。「Anthropicの正式なセキュリティトレーニングを受けていないエンジニアはMythos Previewに一晩でリモートコード実行脆弱性を探させ、翌朝には完全に機能するエクスプロイトを手にしていました。」
幸いなことに、Mythosをリリースする代わりに、Anthropicは業界パートナーのグループにプレビュー版を提供することを選びました。パートナーは敵が発見する前に、自社システムの欠陥を見つけることができます。
このAI企業は限定リリースのイニシアチブをプロジェクト・グラスウィングと呼んでいます。参加者には、Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、およびPalo Alto Networksが含まれます。
このテック業界の錚々たる企業がMythosで独自のシステムをスキャンしている一方で、Anthropicは約40の他の組織をこの内省的なバグハントに参加するよう招待しました。Mythos Previewの利用クレジットで最大1億ドル、およびオープンソースセキュリティ組織への直接寄付400万ドルが補助されます。
放火犯が消火器を配っているようなものだと聞こえるなら、それはあなたが皮肉的だからです。
Mythosの情報は先月、Anthropicの下書きブログが流出した際にリークされました。火曜日に公開された詳細は、セキュリティコミュニティにとって厳しい状況を描いています。「テスト中に、Mythos Previewはユーザーの指示により、あらゆる主要なオペレーティングシステムおよびあらゆる主要なWebブラウザのゼロデイ脆弱性を特定し、悪用する能力があることが判明しました。」
火曜日の投稿の著者として記載されている22人のAnthropic研究者は、これらの脆弱性はしばしば微妙で検出が難しいと主張しています。現在パッチされているOpenBSDの27年前のバグのように、数十年前のものもあります。
「それが構成するエクスプロイトは、単なるスタックスマッシング攻撃ではありません(もっとも、それもできますが)。ある場合には、Mythos Previewは4つの脆弱性を連鎖させたWebブラウザエクスプロイトを作成し、複雑なJITヒープスプレーを実装してレンダラーとOSサンドボックスの両方をエスケープしました。Linuxおよびその他のオペレーティングシステムでは、微妙な競合状態とKASLRバイパスを悪用することでローカル権限昇格エクスプロイトを自律的に取得しました。また、FreeBSDのNFSサーバーに対するリモートコード実行エクスプロイトを自律的に作成し、複数のパケットに分割された20ガジェットのROP チェーンを使用して、認証されていないユーザーに完全なroot権限を付与しました。」
Anthropicによると、Mythosは「数千の追加の高度および重大度の脆弱性」を特定しました。同社はそれらを責任を持って開示する過程にあります。
では、ありがとうございます? ®
