AnthropicのProject Glasswingは、高度なAIモデルがソフトウェアの脆弱性の発見と悪用において、トップクラスの人間専門家と対抗できる可能性を強調しています。
同社の初期段階での主張によると、Claude Mythos Previewのようなこれらのモデルは大規模に運用でき、脆弱性をより迅速に発見できるとのことです。
しかし、セキュリティリーダーたちはこれらの主張に関して賛否両論の見方を示しています。
「Mythosは明らかに、脆弱性の悪用と侵害の経済性と速度を実質的に変えるように見えます」と、SpecterOpsのCTOであり、元U.S. Air Force Hunt Teamメンバーのジャレッド・アトキンソン氏はeSecurityPlanetへのメールで述べています。
「このシナリオが展開されるのはアクション層です。防御的AIは重要なステップですが、完全なエージェンティックスタック、LLM、MCPサーバー、APIが可視化され、エンドツーエンドで保護されている場合にのみ機能します」と、Salt SecurityのVP of Strategyであるマイケル・キャラハン氏はeSecurityPlanetへのメールで述べています。
「Project Glasswingは、最大規模の組織における明らかな脆弱性の一部を排除するのに役立つことを期待しています。そのため、競合するモデルが攻撃者に利用可能になった時点で、ほとんどはすでに発見され、パッチが適用されているでしょう」と、Seemplicity のExposure Management Strategistであるロブ・バブ氏はeSecurityPlanetへのメールで述べています。
Suzu LabsのManaging Directorであるスティーブン・スウィフト氏は注意を促し、「Anthropicは、特に新しい脆弱性を発見する能力に関して、モデルの機能を誇張する傾向があります」と述べています。
同氏は、「たとえば、彼らのモデルは脆弱性を持つ可能性のあるコード行の処理に苦労してきました。ただし、これはリスクを適切に処理し、残存する脆弱性を残さなかった前のコード行を無視した場合のみです。」と付け加えました。
Project GlasswingのAIセキュリティ推進の内部
Project GlasswingはAIを使用して大規模に重要インフラを保護するための協調的な業界の取り組みを示しています。
その中心にあるのはClaude Mythos Previewです。これはAnthropicが、主要なオペレーティングシステムとウェブブラウザ全体で数千の高度な脆弱性を特定したと主張するフロンティアモデルであり、その多くは以前は検出されていませんでした。
この開発を他と区別するのは、発見の量だけでなく、その背後にある機能です。
Claude Mythos Previewは、高度なエージェンティックコーディングと推論を使用して、コードを自動的に分析し、脆弱性を発見し、潜在的な悪用をマップします。
テストでは、このモデルは徹底的な人間レビューと自動スキャンで見落とされた数十年前の欠陥を発見したと報告されています。
セキュリティリーダーにとって、これはAIが脆弱性の発見と悪用の障壁を低くし、発見から攻撃までのタイムラインを数ヶ月から数分に短縮する根本的なシフトをマークしています。
Project Glasswingは限定的なパートナーのみに提供されているため、Mythos Previewの大規模な脆弱性発見に関するAnthropicの主張は、より広いセキュリティコミュニティによって検証されていません。
AIによる攻撃からのリスク低減
Anthropicの主張は検証できませんが、組織はそれでもコードを保護するための基本的なステップを講じることができます。
- AI支援とDevSecOpsツールを、高度なファジング技術とともに統合して、コードと依存関係の脆弱性を積極的に検出します。
- パッチと脆弱性管理プログラムを強化して、大規模な修復時間を短縮します。
- 最小限の特権、セグメンテーション、および特権アクセス管理を実施して、悪用の影響を制限します。
- ソフトウェアサプライチェーンを、SBOM、依存関係スキャン、およびコード整合性検証で保護します。
- CI/CDパイプラインをハード化し、リポジトリ、API、および機密コードベースへのアクセスを制限します。
- ランタイムアクティビティとログを監視して、異常な動作、迅速な悪用の試み、およびAI駆動型攻撃パターンを検出します。
- インシデント対応計画をテストし、攻撃シミュレーションツールを使用して、コード侵害およびAI駆動型攻撃シナリオのシナリオで実施します。
これらのステップを組み合わせることで、AIによる脅威に対する耐性を構築しながら、全体的なダメージ範囲を最小化するのに役立ちます。
AIがサイバーセキュリティの戦略を変える
Project Glasswingは、AIが生産性のユースケースを超えて、脆弱性の特定と悪用の両方で中心的な役割を果たすサイバーセキュリティの広範なシフトを反映しています。
これらの機能が進化するにつれて、結果はますます組織がAIを防御戦略にどの程度効果的に統合するかに依存するようになります。
このイニシアティブはまた、業界と政府全体での協調的な取り組みの必要性を強化しています。AI駆動型のサイバー機能がもたらすシステミックリスクに対処するには、共有される可視性、標準、および協力が必要だからです。
AIが攻撃的および防御的セキュリティ操作の両方にますます深く組み込まれるにつれて、明確なガバナンスの必要性がますます重要になっています。
