By admin 
皆さん、こんにちは。植田雄輝です。
今回はちょっと衝撃的なニュースをお伝えしたいと思います。AI開発企業のAnthropicが、新しいAIモデル「Claude Mythos Preview」のサイバーセキュリティに関するレポートを公開したんですが、これがもう、正直ゾッとするレベルなんですよね。
AIが「誰も見つけられなかったバグ」を次々と発見
このMythos Previewというモデル、何がすごいかというと、世界中のソフトウェアに潜んでいた「ゼロデイ脆弱性」、つまり誰にも発見されていなかったセキュリティの穴を、次々と見つけてしまったんです。
しかも見つけただけじゃなくて、それを実際に攻撃するコードまで自動で書いてしまう。
たとえば、セキュリティの堅さで有名なOpenBSDというOS。ここに27年間も誰にも気づかれなかったバグがあったんですが、Mythos Previewがそれを見つけてしまった。動画の編集や再生でほぼ世界中が使っているFFmpegというソフトにも、16年前から潜んでいたバグを発見しています。
わかりやすく言うと、世界中のセキュリティの専門家が何十年もチェックし続けてきたソフトウェアの中に、まだ穴があった。しかもそれを、AIがたった数時間で見つけて、攻撃手段まで組み立ててしまったということです。
なぜこれが中小企業にも関係するのか
「うちはそんな大きなシステム使ってないし、関係ないでしょ」と思った方もいるかもしれません。でも、ポイントはひとつだけ。こういう技術が世の中に出てくるということは、サイバー攻撃のレベルそのものが上がるということなんです。
これまでは高度な攻撃って、専門知識を持ったハッカーが何週間もかけてやっと成功するようなものでした。でもこのAIを使えば、セキュリティの専門家でなくても、高度な攻撃ができてしまう可能性がある。Anthropicのレポートでも、セキュリティの訓練を受けていないエンジニアが夜にAIに指示を出して寝たら、翌朝には完成した攻撃コードが出来上がっていた、という事例が紹介されています。
つまり、攻撃する側のハードルがグッと下がるわけです。
Anthropicの対応「Project Glasswing」とは
じゃあAnthropicはどうするのかというと、このMythos Previewは一般公開しないという判断をしています。その代わりに「Project Glasswing」というプロジェクトを立ち上げて、限られた重要なパートナー企業やオープンソースの開発者にだけ提供し、まず防御側を強化しようとしている。
僕としてはこの判断、すごく大事だと思っています。なぜかというと、セキュリティの世界では「攻撃側と防御側のバランス」がすべてだからです。強力な武器をいきなり全員に配るんじゃなくて、まず守る側の準備を整えてから広げていく。この順番が本当に重要なんですよね。
今すぐできること
Anthropicはレポートの中で、今すぐ企業がやるべきこととして、いくつかのことを挙げています。
まず、セキュリティパッチの適用を今まで以上に早くすること。AIが脆弱性を見つけるスピードが上がるということは、攻撃者がその穴を突くまでの時間も短くなるということです。「そのうちやろう」ではもう間に合わない時代が来るかもしれません。
なおかつ、脆弱性が大量に報告される時代に備えて、対応の体制を見直しておくことも大事です。これまでは年に数回のセキュリティ対応で済んでいたものが、月に何十件と来る可能性がある。
そしてこれは常々思っていることなんですが、こういう大きな変化の時こそ「知っているかどうか」で差がつくんです。今日この情報を知った皆さんは、それだけで一歩リードしているというふうに思っています。
まとめ
AIがセキュリティの世界を根本から変えようとしている。短期的には攻撃側が有利になる可能性もあるけれど、長期的には防御側がAIを使いこなすことで、ソフトウェア全体のセキュリティが今より強固になっていく。Anthropicはそう考えているし、僕もそう思います。
ただし、その「過渡期」をどう乗り越えるかが勝負です。