AI企業のAnthropicが、AIを使用して重大なソフトウェアの未発見のサイバーセキュリティ脆弱性を特定および修復するイニシアティブ「Project Glasswing」を発表しました。
ガラス翅蝶にちなんで名付けられたProject Glasswingは、Anthropicの大言語モデル(LLM)の公開されていない強力なバージョンであるClaude Mythos Previewに基づいています。
同社は、このモデルが「コーディングとエージェンティックタスクにおいて最も能力が高い」と説明し、「複雑なソフトウェアを深く理解し、修正できる」ため、Claude Mythos Previewはサイバーセキュリティ脆弱性を大規模に自律的に発見および修正できるとしています。
Anthropicは、特別にサイバーセキュリティ用に訓練したわけではなく、むしろこれらの能力は「強力なエージェンティックコーディングおよび推論スキル」の結果であると述べています。
4月7日に公開発表されたClaude Mythos Previewの能力は、Project Glasswingのローンチパートナーであるアマゾン ウェブ サービス、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksによってテストされています。
テストにおいて、このモデルは以前に特定されていなかった数千のゼロデイ脆弱性を発見しました。これらは以下を含みます:
- OpenBSDの27年前の脆弱性。OpenBSDはファイアウォールおよび他の重要なインフラストラクチャを実行するために使用されるセキュリティが強化されたUNIX型オペレーティングシステムです。この脆弱性により、攻撃者はシステムに接続するだけで、オペレーティングシステムを実行しているマシンをリモートからクラッシュさせることができます
- FFMpegの16年前の脆弱性。FFMpegはソフトウェアでビデオを符号化および復号化するために一般的に使用されます。この脆弱性は、自動テストツールが500万回ヒットしたコード行内で発見されましたが、以前は特定されていませんでした
- このモデルはLinuxカーネルの複数の脆弱性を自律的に発見してチェーン化しました。Linuxカーネルは世界中のほとんどのサーバを実行するために使用されるソフトウェアです。これにより、攻撃者は通常のユーザーアクセスからマシンの完全な制御へエスカレーション可能になります
Anthropicは、発見した脆弱性を関連するソフトウェアの保守者に報告したと述べています。公開されている脆弱性はすでにパッチが適用されています。
「われわれの最終的な目標は、ユーザーがMythosクラスのモデルを大規模に安全にデプロイできるようにすることです」と、このAI企業は述べています。
オープンソースセキュリティサポート
Project Glasswingの一環として、Anthropicは、重要なソフトウェアインフラストラクチャを構築または保守する40以上の追加組織が、ファーストパーティおよびオープンソースシステムの両方をスキャンおよびセキュアするためにこのモデルを使用できるよう、最大1億ドルの使用クレジットを約束しました。
同社はまた、オープンソースセキュリティ組織に対して400万ドルの寄付を提供し、その作業をサポートし、必要に応じてパッチを開発します。
AnthropicはClaude Mythos Previewを公開する予定はないと述べています。これはサイバーセキュリティディフェンダーの使用を目的としており、適切なセーフガードが設置されています。
しかし、脅威者はAIモデルをジェイルブレーク、悪用したり、さらには独自の悪意のあるバージョンを開発したりして、大規模なAI駆動型サイバー犯罪を支援しています。また、業界関係者の一部がMythosを手に入れる攻撃者の可能性について懸念を表明しています。
「Anthropicがこのモデルの悪意のある使用を制限できるか非常に疑わしい」と、OWASPの創設者でContrast SecurityのCo-FounderおよびCTOであるJeff Williamsは述べています。
Anthropicのパートナー企業の何人かのシニアサイバーセキュリティ担当者は、Claude Mythos PreviewおよびProject Glasswingで開発されている取り組みを歓迎しました。
「Googleは、この業界を横断するサイバーセキュリティイニシアティブが一体となり、Vertex AIを通じてMythos Previewを参加者に提供することを楽しみにしています。量子耐性暗号化、責任あるゼロデイ開示、セキュアなオープンソースソフトウェア、またはAIベースの攻撃に対する防御など、業界が新興のセキュリティ問題に協力することは常に重要でした」と、Googleのセキュリティエンジニアリング副社長のHeather Adkinsは述べています。
Microsoftのサイバーセキュリティおよび研究担当EVP、Igor Tsyganskiyは次のように述べています。「サイバーセキュリティがもはや純粋に人間の能力に制限されなくなった段階に入る中で、AIを責任を持って使用してセキュリティを改善し、大規模にリスクを低減する機会は前例のないものです。Claude Mythos Previewへのアクセスを備えたProject Glasswingに参加することで、リスクを早期に特定・軽減でき、セキュリティおよび開発ソリューションを強化して、顧客とMicrosoftをより良く保護できます。」
翻訳元: https://www.infosecurity-magazine.com/news/anthropic-launch-project-glasswing/
