Claude **Mythos** Previewはサイバーセキュリティを破壊しませんが、2つの新しい分析により、エクスプロイトウィンドウがどのように圧縮され、脆弱性管理のギャップがどのように露呈されているかが明らかになります。CISOは今後に備える必要があります。
過去1週間の間に、Anthropicの**Glasswing**開示への反応は、見慣れた線に沿って分裂しました。一方では、脆弱性を自律的に識別および悪用できるAIシステムに対する警戒があります。その一方で、新しいものは何もないと主張する冷笑的な意見があります。
より根拠のある見方は、アライアンスのAI CISOであるKnosticsのCEO Gadi Evron、SANS InstituteのチーフAIオフィサー兼主任研究員のRob T. Lee、およびCSAの主席アナリストのRich Mogullが率いるCloud Security Alliance(CSA)による新しいブリーフィングから得られます。
このペーパーは、元CISA局長Jen Easterly、Bruce Schneier、元国家サイバー局長Chris Inglis、元Google CISO Phil Venablesを含む多くの貢献者の広範なベンチ、および数十人のCISOおよびCEOから引き出しています。
EvronはCSO に、これほど多くのリーダーの間でそのレベルの入力をこれほど迅速に集めることは、サイバーセキュリティ自体の性質を反映していると語りました。「サイバーセキュリティ業界はコミュニティでもあり、お互いを知ることで、誰もが必要とするのは正当な目的であり、ノイズを払拭し、良い情報を広めることが私たちにとって重要です。」
グループの結論は直接的です:Glasswingは外れ値ではありません。これはスケールする能力の初期の例であり、CISOはこの時代に備え始める必要があります。
「近い将来、セキュリティ組織はパッチを適用し、AI発見の脆弱性、エクスプロイト、自律的な攻撃に対応する必要に圧倒される可能性があります」とペーパーは述べています。「Project **Glasswing**からの脆弱性開示の嵐は、多くの大きな波の最初のものです。」
シフトは速度です
AI駆動の脆弱性発見は新しくありません。変わったのは速度です。かつては数週間または数か月かかったタスク(欠陥を見つける、エクスプロイトを構築する、それを攻撃にチェーンする)が、今は数時間で実行できます。
ペーパーによると、「Anthropicの**Claude Mythos**(Preview)はその軌跡における段階的な変化を表し、すべての主要なオペレーティングシステムとブラウザ全体で自律的に何千もの重大な脆弱性を見つけ、人間の指導なしに機能するエクスプロイトを生成し、自律的な攻撃オーケストレーションを可能にします。すべて、これまでのどの機能よりも上回る速度とスケールで。」
この加速は、おなじみの非対称性を深めます:防御者は一貫して正しくなければなりませんが、攻撃者は一度成功すれば十分です。
さらに、「発見から兵器化までのウィンドウは数時間に短縮されました。攻撃者は不相応な利益を得られ、現在のパッチサイクル、対応プロセス、およびリスク指標はこの環境のために構築されていません」とペーパーは述べています。
「『**Mythos**対応』のセキュリティプログラムを構築することは、1つのモデルや発表に反応することではありません。脆弱性がどのくらい早く見つかるか、そしてあなたの組織がどのくらい早く対応できるかの間のギャップを永久に閉じることです。」
**Claude Mythos Preview**は一歩上です
英国のAI Security Institute(AISI)による別の分析が、**Mythos Preview**自体を評価しました。
評価には、キャプチャ・ザ・フラグ(CTF)チャレンジと、マルチステップ攻撃シナリオをシミュレートするためにデザインされたより複雑な範囲の両方が含まれていました。モデルは他のAIシステムを上回りました。
**Mythos Preview**は、初期偵察から完全なネットワーク乗っ取りまでにおよぶ32ステップの企業ネットワーク攻撃シミュレーションで首位を占めました。研究所は、これが人間で完了するために20時間必要であると推定しています。
AISIのテストはまた、**Mythos Preview**がアクセスを取得した後、小さく弱く防御されたエンタープライズシステムを自律的に攻撃できることを示しました。「当社のテストは、**Mythos Preview**が弱いセキュリティポスチャを持つシステムを悪用でき、これらの機能を備えたより多くのモデルが開発される可能性が高いことを示しています」とAISIは結論付けました。
CISOが今すべきこと
組織へのAISIの推奨事項は、セキュリティ更新の定期的な適用、堅牢なアクセス制御、セキュリティ構成、および包括的なログを含む基礎を強化する必要があるということです。
それは、「将来のフロンティアモデルはさらに強力になるため、現在のサイバー防御への投資は重要です。AIサイバー機能は二重の用途があります。セキュリティチャレンジを提起する一方で、防御におけるゲーム変更的な改善の提供に役立つこともできます。」と助言しています。
CSAペーパーはCISOの3つの予測を強調しています。
運用上:早期アクセスプログラムの約40ベンダーからのパッチの急増を予想してください。複数のサプライチェーンインシデントが2週間のウィンドウ内での対応を必要とする最近の期間をミラーリングする可能性があります。
リスク管理:ビジネスリスクは変化しており、リスク計画と許容度についてのステークホルダーとの密接な関係が必要です。CISOのリスク管理能力はより制約されるようになり、レポートと予測に潜在的なダウンストリーム効果があります。
戦略的に:より長期的なギャップ分析を実施し、より高速なテクノロジーオンボーディングとAI駆動のセキュリティ制御の展開を可能にするガバナンスプロセスを含む主要機能を選択的にオーバーホールしてください。
レポートはまた、**Mythos**をボードレベルの問題に引き上げ、CISOが現在の機能をフレーム化し、さらなる投資の大義名分を作ることができるようにしています。
CSAペーパーが結論付けるように、最重要ポイントは、「AI基盤の攻撃は、攻撃と防御がどのように機能するかの構造的シフトを表しており、それは変わりません。エクスプロイト発見に対するコストと機能フロアが低下しており、開示から兵器化までの時間はゼロに向かって圧縮されており、以前は国家資源を必要とした機能が今は広く利用可能になっています。」
こちらも参照:「インスタントソフトウェアの時代のサイバーセキュリティ」
