出典: Doug McCutcheon / LGPL via Alamy Stock Photo
Anthropic の Claude Mythos モデルが脆弱性管理エコシステムを混乱させるおそれがあるため、セキュリティの著名人たちは、最高情報セキュリティ責任者(CISO)が今から準備を始めるべきだと警告しています。
今月初め、Anthropic はClaude Mythos Preview を発表しました。これは同社の大規模言語モデル(LLM)の新バージョンで、汎用ですが、セキュリティタスクの取り扱い能力について AI 企業によってフラグが立てられました。Anthropic によると、Mythos は主要なオペレーティングシステムと Web ブラウザ全体に渡る複雑で重大度の高い脆弱性を発見・悪用できます。Anthropic は、パッチされた 27 年前の OpenBSD の欠陥の悪用を含む、最近の実験により数千のバグが発見されたと述べています。
LLM が脆弱性の発見と修復に影響を与えるという考えは新しいものではありません。DARPA の AI Cyber Challenge は昨年の DEF CON で終了しました。多くの報告によると、このユースケースにおける AI の役割の成功を示す初期段階でした。一部の人にとってはもう少し驚くかもしれないのは、ターボチャージされたペネトレーションテストツールのような脆弱性を悪用する Mythos の機能です。
Mythos は、Anthropic が言及した通りに動作すると仮定すると、理論的には、防御者とベンダーが重要なハードウェアとソフトウェアを保護するのを支援できますが、Mythos のような機能を攻撃者が悪用する可能性は明らかです。
Anthropic が発表した Project Glasswing が登場します。これは、Apple、AWS、Microsoft などの数十の著名な組織に Mythos を提供し、このテクノロジーをテストして親しみ、脅威行為者が AI モデルを手に入れて脆弱性を見つけて悪用する際に(おそらく不可避的に)先手を打つことができるようにするイニシアティブです。
Anthropic はProject Glasswingをサポートしており、Mythos Preview 使用クレジットで 1 億ドル、およびオープンソースセキュリティ組織への直接寄付で 400 万ドルを提供しています。AI 企業がこれを行うのは、Mythos が「サイバーセキュリティを再構築する」可能性があると述べているからです。
AI 脆弱性発見機能が脅威ランドスケープをどのように形成するかについて懸念しているのは、Anthropic だけではありません。Cloud Security Alliance(CSA)は迅速な戦略ブリーフィングを発表しました。これは「AI 脆弱性嵐」と呼ぶもので、防御者は、攻撃者が AI 主導の悪用キットにアクセスする差し迫った脅威をより良く回避するために、Mythos 対応のセキュリティプログラムを構築する必要があります。
CSA は Mythos 機能に対する積極的な準備を提案
ソーシャルメディアプラットフォーム X 上で、SANS Institute の最高 AI 責任者で CSA レポートの共著者である Rob T. Lee は、このドキュメントが数日でまとめられたと書きました。これは、より大きなセキュリティコミュニティがどのような潜在的な劇的な変化に備えるべきかについてCISOに対してガイダンスを提供するための膨大な業界協力のおかげです。
「以下からの脆弱性公開の嵐はProject Glasswingは、急速に連続して発生する可能性のある AI 発見脆弱性の多くの大きな波の最初の波である」と CSA ドキュメントは述べており、Mythos および他の AI プラットフォームが、組織が将来直面する新しい攻撃の数を「劇的に」増加させることを追加しました。
このドキュメントの寄稿者の広範なリストには、前 Cybersecurity and Infrastructure Security Agency(CISA)局長 Jen Easterly、前ホワイトハウスサイバー局長 Chris Inglis、Google CISO Heather Adkins、脆弱性修復のパイオニア Katie Moussouris、暗号学者 Bruce Schneier、前 National Security Agency(NSA)サイバーセキュリティ局長 Rob Joyce など、多くのサイバーセキュリティ著名人が含まれています。
論文で提示される基本的な議論は、AIがパッチの開発と適用の能力を増加させますが、攻撃者がエクスプロイトを開発する可能性と、組織内に存在するパッチ適用の固有の制限のため、防御者の負担が増加するということです。これはリソースとスタッフの制約を意味する場合もあれば、重要なサービスのダウンタイムを意味する場合もあります。
「攻撃者は不釣り合いな利益を得ており、現在のパッチサイクル、対応プロセス、およびリスク指標はこの環境用に構築されていなかった」と論文は主張しています。
防御者がこれらの機能を持つ攻撃者によって圧倒される可能性があるため、防御者はリスク計算を調整し、「パッチのボリュームを増やす、パッチの時間を短縮し、より永続的な複雑な攻撃のためのセキュリティプログラムリソースを再調整」する必要があります。
基本的なレベルでは、これはハードニングの基本に焦点を当てることを意味します。「セグメンテーション、エグレスフィルタリング、多要素認証、および多層防御/幅広い防御はすべて攻撃者にとって困難を増加させます」と著者は書きました。
しかし、基本を超えて、CSA は防御者がオープンソースおよびサードパーティコンポーネントによって課せられた脆弱性を減らすための堅牢な依存性管理を優先し、LLM を通じたような自動化されたセキュリティ評価を実施し、AI エージェントをサイバー人員に「全面的に」導入して攻撃者に対応し、運用ダウンタイムへのリスク許容度を再評価し、効率的なベンダーオンボーディングのためのガバナンスを更新し、業界の協力を強化することを推奨しています。
CSA チーフアナリスト Rich Mogull は Dark Reading に対し、Mythos 自体についての意見の幅は残っているが、このテクノロジーは「信じられないほどのスピードで進歩しており、脆弱性とパッチ適用に関する我々の基本的なリスク仮定の明確な変化を表している」と述べています。
「リスク評価とは別に、Mythos の話が主流に広がり、CISO は指導者と取締役会とこの問題を議論するための根拠のあるガイダンスと研究が必要でした」と彼は言います。「これは、CISO が彼らの議論で使用できるツールを手元に持っていることを確認するために、迅速に移動することが動機の 1 つでした。」
つまり、CSA は脆弱性管理のこの潜在的な新しい世界秩序に対応するために積極的に移動することを推奨しています。これには、コーディングタスク、脆弱性発見、および修復のための LLM の使用の増加が含まれます。組織はより多くのインシデントに対応する準備をし、増加した作業負荷による何らかのレベルの倦怠感を期待する必要があります。
「脆弱性公開のペースと量は、これまで経験したことのないことを超えます」と CSA ペーパーは読まれました。「より多くの自動化を実施するのと並行して、既存のスタッフを疲弊させるのを避けるために、予備容量のための追加のヘッドカウントと予算をリクエストしてください。」
セキュリティ実践者が Mythos について重みをつける
Mondoo のチーフセキュリティオフィサーである Patrick Münch は、AI は脆弱性発見のスピードとスケールを根本的に変えており、防御者にこれらの機能へのアクセスを与える Anthropic の決定は「正しい本能」であると述べています。
「効果的なアクセス制御、リアルタイム監視、およびセキュリティの堅牢性は、セキュリティツール、プラットフォーム、およびサービスにとってさらに重要な機能です」と彼は言います。
Weave の情報セキュリティ責任者である Jessica Sica は、AI 悪用機能がもたらす潜在的な脅威について「確かに懸念している」と述べています。高いコストとモデルへのアクセスの制限は短期的には脅威を制限するのに役立ちますが、「長期的には、もちろんコストは下がり、脅威は増加します。」
「現在の多くの AI トークは FUD とベーパーウェアです。しかし、脅威を真摯に受け止めなければ、準備ができていない状態で捕まる可能性があります」と彼女はメールで Dark Reading に伝えています。「私は確かにその潜在的な脅威について考えており、正直なところ最悪のシナリオを検討しています。特定の脅威またはリスクがどの程度の大きさであるかが分からない場合は、最悪のシナリオに対して準備することが最善です。」
最新の Dark Reading Confidential ポッドキャストを見逃さないでください。 Security Bosses Are All in on AI: Here’s Why, Reddit CISO Frederick Lee と Omdia アナリスト Dave Gruber は、SOC における AI と機械学習、成功した展開がどのようであるか(またはそうでないか)、および AI セキュリティ製品の将来について議論しています。 今すぐ聞く!
翻訳元: https://www.darkreading.com/cloud-security/csa-cisos-prepare-post-mythos-exploit-storm
