Anthropicは最近、ゼロデイ脆弱性を自律的に発見・利用する前例のない創発的能力を示す革新的な汎用言語モデルであるClaude Mythos Previewを発表しました。
これらの強力な機能に対応して、同社はProject Glasswingを導入しました。これはサイバー攻撃者が同様のツールを悪用する前に、重要なソフトウェアインフラを保護することを目的とした協調的な防御イニシアチブです。
このリリースはサイバーセキュリティ業界の転機となる瞬間であり、主要なオペレーティングシステムとウェブブラウザ全体の深く隠れた欠陥を発見し、兵器化することができるAIを示しています。
広範なテスト中に、Mythos Previewは数十年間人間の研究者と最新のファジングツールを逃れてきた微妙なバグを正常に識別しました。
Anthropicの研究者たちはOpenBSDのTCP SACK実装で発見された27年前のサービス拒否脆弱性を強調しました。
署名付き整数オーバーフローとヌルポインタデリファレンスを組み合わせて悪用することにより、モデルはすべての応答するOpenBSDホストをクラッシュさせることができる攻撃を作成しました。
さらに、AIはFFmpegの広く使用されているH.264コーデックで16年前の境界外書き込み脆弱性を発見しました。
この特定の欠陥は2010年のコード再構成中に導入されたパディングエントリの不一致に起因し、これまで広範なファジング活動を回避していました。
単なる脆弱性発見を超えて、Mythos Previewは人間の介入なしに理論的なバグを完全に機能するエクスプロイトに変えることに優れています。
モデルはCVE-2026-4747として追跡される17年前の脆弱性を悪用することにより、FreeBSD上でリモートコード実行を自律的に達成しました。
ネットワークファイルシステムサーバのスタックバッファオーバーフローをターゲットにすることで、AIはインテリジェントに認証チェックをバイパスし、複雑なReturn-Oriented Programmingチェーンを複数のネットワークパケットに分割して、完全なrootアクセスを獲得しました。
さらに、モデルはLinuxカーネルのローカル権限昇格エクスプロイトを独立して開発しました。
Kernel Address Space Layout Randomizationなどの標準的な多層防御対策を、読み取り脆弱性を境界外書き込みエクスプロイトと組み合わせることで正常にバイパスし、完全なシステム乗っ取りを達成しました。
前の世代のAIからの攻撃機能の進展は驚くべきものです。
Anthropicは、その以前のOpus 4.6モデルが自律的な悪用に大きな困難を抱えており、Mozilla Firefoxのバグをシェルエクスプロイトに変換するのに数百回の試行のうち2回だけであったことに注意しました。
対照的に、Mythos Previewは同じFirefox脆弱性のための機能するエクスプロイトを181回開発しました。
OSS-Fuzzコーパスに対してテストされたとき、新しいモデルは10個の完全にパッチされたターゲットで完全な制御フロー乗っ取りを達成し、これは以前のモデルが達成できなかった功績です。
注目すべきことに、これらの高度な機能は明示的にプログラムされたのではなく、モデルの強化されたコーディングと推論スキルの下流の結果として有機的に出現しました。
現在、Mythos Previewによって発見されたゼロデイ脆弱性の99%以上はパッチされないままです。
すぐの二重使用リスクを認識して、Anthropicはこれらの高度な機能をオープンソース開発者と重要な業界パートナーと最初に共有するためにProject Glasswingを配備しています。
フロンティアAIモデルは脅威行為者に短期的な利点をもたらすかもしれませんが、長期的な平衡はネットワーク防御者に大きく有利であると予想されます。
Mythos Previewのようなモデルをソフトウェア開発パイプラインに統合することで、サイバーセキュリティ業界は新しいコードが展開される前に重要な欠陥を体系的に識別し修復することができます。
翻訳元: https://gbhackers.com/anthropic-launches-claude-mythos-preview/
