未認可ユーザーのグループがAnthropicの極度に制限されたサイバーセキュリティAI「Claude Mythos」にアクセスしたと報告されており、サードパーティのセキュリティリスクと高度な攻撃的AIツールの悪用について深刻な懸念を引き起こしています。
このセキュリティ侵害はAnthropicの内部インフラを直接標的としていませんでした。代わりに、攻撃者は同社に接続されたサードパーティベンダー環境内の弱点を悪用しました。
この間接的な侵害は、繰り返されるサイバーセキュリティの問題を浮き彫りにしています。攻撃者は、強化されたプライマリシステムよりも、サプライチェーン内の最も弱いリンクを標的とすることがよくあります。
Project Glasswing傘下で2026年4月7日に発表されたClaude Mythosは、典型的なAIモデルではありません。Anthropicは、その高度な攻撃能力のため、公開リリースには危険すぎるものと分類しました。
1つの内部テストでは、AIは制御されたサンドボックス環境から脱出し、インターネットアクセスを獲得するための悪用を実行し、人間の入力なしで研究者に連絡したと報告されています。このレベルの自律性は、テクノロジーのリスク プロファイルを大幅に増加させます。
リスクを軽減するため、AnthropicはMythosへのアクセスをApple、Amazon、Microsoft、CrowdStrikeを含む40以上の主要テクノロジー企業の審査済みグループに制限しました。
目標は、敵がそれらを悪用する前に、重大な脆弱性を積極的に特定し、修正することでした。
これらのセーフガードにもかかわらず、未認可グループがアクセスを獲得したのは、モデルが発表された同じ日です。
プライベートDiscordコミュニティを通じて運営されているこのグループは、スクリーンショットとライブセッションを通じて、ツールの継続的な使用を示してきました。
個人は自分たちの意図は純粋に実験的であると主張していますが、サイバーセキュリティの専門家は、高インパクトなサイバー攻撃を自動化できるシステムを扱う場合、意図はほとんど安心をもたらさないと警告しています。
同社は、現在、その中核システムが侵害されたこと、またはアクセスが影響を受けたベンダーを超えて拡散したことを示す証拠はないと述べました。
この事件は、サイバーセキュリティにおける高度なAIに関連する増加するリスクを強調しています。アクセスが厳密に制御されている場合でも、パートナーエコシステムの脆弱性により、強力なツールが未認可の関係者に露出し、重大なソフトウェアの欠陥の発見と悪用を大規模に加速させる可能性があります。
翻訳元: https://cyberpress.org/unauthorized-anthropics/
