Mythosはどれほど危険か？なぜAnthropicは新しいモデルをリリースしないことに決めたのか

原文のタイトル：AnthropicはどのようにしてMythosが野に放つには危険すぎることを学んだのか
原文の著者：マージー・パーシー、ジェイク・ブレインバーグ、パトリック・ハウェル・オニール、ブルームバーグ
翻訳:ペギー、ブロックビーツ

編集者注：AI企業が最も強力なモデルを直接一般に公開しないことを選択したことは、それ自体が問題であることを意味している。

アントロピックのミトスは、すでに独立して攻撃プロセス全体を実行できるようになっていた。ゼロデイ脆弱性の発見、エクスプロイトコードの作成、コアシステムに侵入するための複数ステップの経路の連結など、これらの作業は、もともとトップハッカーが長い間協力して行う必要があったが、数時間または数分にまで圧縮された。

そのため、モデルが公開された瞬間、スコット・ベッセントとジェローム・パウエルは、ウォール街の機関との会議を招集し、「自己検査」のためにそれを使用するよう要請した。脆弱性発見能力が大規模に解き放たれると、金融システムは孤立した攻撃ではなく、継続的なスキャンに直面する。

より深い変化は供給構造にある。過去には、脆弱性発見は、遅くて再現不可能なペースで、少数のセキュリティチームとハッカーの専門知識に依存していた。今、この能力はモデルによって大量生産され始めており、攻撃と防御の両方のハードルが下がっている。インサイダーからの比喩は非常に直接的だ：普通のハッカーにモデルを渡すことは、彼らに特殊作戦能力を与えるようなものだ。

機関は、自社のシステムを遡及的にチェックするために、同じツールを使い始めました。JPモルガン・チェース、シスコ・システムズなどが内部テストを実施し、脆弱性が悪用される前に修正することを望んでいます。しかし、現実の制約は変わっておらず、発見の速度は上がっているのに、修復プロセスは依然として遅いままでいます。ジム・ゼムリン氏は、「脆弱性を見つけるのは得意ですが、修正は得意ではありません」と指摘し、時間的ミスマッチを強調しました。

実際、Mythosは単一の機能の改善ではなく、以前は散在していた攻撃能力を統合し、加速し、利用可能性の閾値を下げたものであり、制御された環境の外に出ると、この能力がどのように広がるかは不明であり、参照できる既存の経験もありません。

危険なのは、それが何ができるかではなく、誰がそれを使い、どのような条件下で使われるかだ。

元の記事は以下の通りです：

２月の穏やかな夕方、バリの結婚式で休憩中、ニコラス・カリーニは席を離れ、ラップトップを開き、「大騒ぎを起こす」準備をした。そのとき、Anthropicは内部テストのためにMythosと呼ばれる新しい人工知能モデルをリリースしたばかりであり、この有名なAI研究者はそれがどれだけの問題を引き起こすことができるかを見てみようとしていた。

Anthropicは、ハッカーがスパイ活動、窃盗、破壊のためにAIモデルを悪用する可能性があるかどうかを評価するために、Carliniを雇ってストレステストを行っている。バリでインドの結婚式に出席していたとき、カリーニは、このモデルの能力に驚嘆した。

わずか数時間で、世界中で使用されているシステムに侵入するために使用できるいくつかの技術を発見した。サンフランシスコのダウンタウンにあるアントロピックのオフィスに戻ると、彼はさらに、ミトスはすでに、ほとんどの現代のコンピューティングシステムのバックボーンであるLinuxを標的とした戦術を含む強力な侵入ツールの自律的な生成が可能であることを発見した。

ミトスは「デジタル銀行強盗」を仕掛けていた：セキュリティプロトコルをバイパスし、正面玄関からネットワークシステムに入り、その後、デジタル金庫に侵入してオンライン資産を入手することができた。過去には、AIは「鍵を開ける」ことしかできなかったが、今では「強盗」全体を計画し実行する能力を持っている。

カリーニ氏と同僚数人は、同社内で警鐘を鳴らし始め、調査結果を報告した。一方、同氏らはほぼ毎日、ミソスが調査したシステムに、高リスクで致死性のある脆弱性を発見した。通常、このような問題は、世界トップクラスのハッカーだけが発見できるものだ。

アントロピックの次世代AIモデル、ミソスは、さまざまなグローバルシステムに侵入する能力があることが証明されている。（画像クレジット:ヤコブ・ポルジツキ/NurPhoto/AP）

同時に、Anthropic社内では、「Frontier Red Team」と呼ばれるチームが、「Ants」と呼ばれる15人の従業員で構成され、同様のテストを実施していました。このチームの責任は、同社のモデルが人類に害を及ぼすために使用されないようにすることでした。彼らは倉庫にロボット犬を持ち込み、エンジニアと協力して、チャットボットが悪意を持ってこれらのデバイスを制御するために使用できるかどうかをテストしました。また、生物学者と協力して、モデルが生物兵器の作成に使用できるかどうかを評価することもありました。

しかし、今回は、Mythosがもたらす最大の危険性はサイバーセキュリティの分野から来るものであることが徐々にわかってきました。「モデルを入手してから最初の数時間で、これが違うものだとわかりました」と、チームの責任者であるローガン・グラハムは言いました。

前モデルのオプス4.6は、人間がソフトウェアの脆弱性を悪用するのを支援する能力を示していた。しかし、グラハム氏は、ミソスは今や「自ら手を汚して」これらの脆弱性を悪用できると指摘した。これは国家安全保障レベルでのリスクであり、これに基づいて、同氏は同社幹部に警告を発した。これにより、彼はジレンマに直面することになった。つまり、同社の次の重要な収益源となるエンジンが、あまりにも危険であるため、一般に公開できない可能性があることを経営陣に説明することだった。

アントロピックの共同創業者兼チーフサイエンティストのジャレド・カプラン氏は、ミソスのトレーニングプロセス中、その進捗を「非常に綿密に」監視していたと述べた。1月までに、彼はシステムの脆弱性を発見するモデルの能力が非常に優れていることに気づき始めた。理論物理学者のカプランは、これらの能力が単なる「技術的に興味深い現象」なのか、「インターネットインフラと密接に関連する現実」なのかを判断する必要があった。結局、彼は後者であると結論づけた。

ジャレド・カプラン（Anthropic共同創業者兼チーフサイエンティスト）画像提供：クリス・J・ラトクリフ/ブルームバーグ

2月下旬から3月上旬までの2週間の間に、Kaplanと共同創業者Sam McCandlishは、このモデルをリリースするかどうかを検討していました。

3月第1週までに、CEOのDario Amodei、社長のDaniela Amodei、最高情報セキュリティ責任者のVitaly Gudanetsほか、同社の幹部チームは、KaplanとMcCandlishの報告を聞くために会議を開催しました。

彼らの結論は、Mythosのリスクが高すぎ、完全な公開には適していないということでした。しかし、Anthropicは、競合他社を含む一部の企業がそれをテストすることを許可すべきです。

3月第1週目までに、同社は最終的に合意に達し、サイバーセキュリティ防衛ツールとしてのMythosの導入を承認した。

ダリオ・アmodei（Anthropic CEO）画像ソース：サムユクタ・ラクシュミー/ブルームバーグ

市場の反応はほぼ瞬時だった。AnthropicがMythosの存在を公開した日、米国財務長官スコット・ベッセンと連邦準備制度理事会議長のジェローム・パウエルは、ワシントンD.C.でウォール街の主要機関の緊急会議を招集した。メッセージは明確だった：システムの脆弱性を特定するために、すぐにMythosを活用すること。

会議に出席した幹部に近い情報筋（議論の秘密性のため匿名を希望）によると、会議の深刻さは明らかで、参加者は一部の中核アドバイザーに会議の内容を公開することを拒否したという。

ホワイトハウス当局者は、Mythosを潜在的なハッキングツールとして警告し、「防衛のために使用する」よう勧告し、より深い変化を示唆した：人工知能はサイバーセキュリティ分野で急速に決定的な力になりつつある。Anthropicは、「Project Glasswing」イニシアチブの一環として、Amazon Web Services、Apple、JPMorgan Chaseなどの企業を含む一部の機関による限定的な使用のためにMythosを厳選して公開し、テストを実施できるようにした。同時に、政府機関も強い関心を示している。

一般公開に先立ち、Anthropicは、サイバー攻撃と防衛の両方の潜在的応用を含む、Mythosプレビューバージョンの機能について、米政府高官に詳細に説明した。同社はまた、複数の国政府との継続的な議論にも取り組んでいる。内部問題のため匿名を希望するAnthropicの従業員が、この情報を明らかにした。

競合他社のOpenAIは、火曜日にソフトウェアの脆弱性を発見するためのツール「GPT-5.4-Cyber」の発売を発表し、迅速に対応した。

初期バージョンをテストしたところ、人間の指示に従わない、指示に違反した後に行動を隠そうとするなど、数十件の「懸念される」行動例が発見された。

現在、AnthropicはMythosをサイバーセキュリティツールとして正式に公開しておらず、外部の研究者もその機能を完全に検証していません。しかし、同社の以前の「アクセス制限」の決定は、業界と政府の成長するコンセンサスを反映しています：AIはサイバーセキュリティの経済構造を変革しています。脆弱性の発見コストを大幅に削減し、攻撃準備時間を短縮し、特定の種類の攻撃に対する技術的障壁を下げます。

Anthropicはまた、Mythosの大きな自律性がそれ自体でリスクをもたらす可能性があると警告しています。テスト中、チームはいくつかの不穏なケースを観察しました：モデルが指示に従わず、違反のあとにその痕跡を隠そうとしたことさえあります。ある事件では、モデルは、制限された環境から「脱出し」、より広範なインターネットアクセスを獲得し、コンテンツを積極的に拡散するための複数段階の攻撃経路を自律的に考案しました。

現実の世界では、銀行システムから病院システムまでのアプリケーションに依存するソフトウェアには、複雑で分かりにくいコードの脆弱性が一般的に含まれており、専門家でも発見に数週間、あるいは数ヶ月かかることがよくあります。ハッカーがこれらの脆弱性を悪用すると、データ侵害やランサムウェア攻撃につながり、深刻な結果を招く可能性があります。

しかし、多くの有力企業も、Mythosの真の能力とその潜在的なリスクに疑問を呈しています。ホワイトハウスAIアドバイザーのデビッド・サックス氏は、ソーシャルプラットフォームXで次のように述べています：「アンソロピックはAI業界の『オオカミ少年』なのかと疑問視する人が増えている。もしミソスの脅威が結局現実のものにならなければ、同社は深刻な評判の問題に直面することになるだろう。」

しかし、現実は、ハッカーが長年、大規模言語モデルを使用して洗練された攻撃を開始している。例えば、サイバースパイ集団がかつてアンソロピックのクロードモデルを使用して約30の標的への侵入を試み、他の攻撃者はAIを使用して政府機関からデータを盗んだり、ランサムウェアを配備したり、さらにはデータ保護のために使用される数百のファイアウォールツールを迅速にバイパスしたりしている。

事情に詳しい情報筋によると、米国国家安全保障当局者は、ミソスの出現が前例のない不確実性をもたらしていると見ており、サイバーセキュリティのリスク評価はさらに困難になっているという。このモデルが個々のハッカーに与えられた場合、その効果は、普通の兵士を特殊部隊員に変えることに似ている可能性があります。

同時に、この種のモデルは「能力増幅器」にもなり得るため、犯罪者組織が小国家の攻撃能力を持つようになり、中堅国や中堅国の情報機関や軍のハッカーが、かつては主要国しか達成できなかったサイバー攻撃を実行できるようになります。

元NSAサイバーセキュリティ責任者のロブ・ジョイス氏は次のように述べています。「私は、長期的にはAIによって私たちはより安全で強靭になるものと信じています。しかし、今から将来のある時点までの間には、攻撃的なAIが明確な優位性を持つ「暗黒時代」があり、防御を十分に強化していない者は最初に倒れるでしょう。」

このような機能を持つモデルはMythosだけではないことは注目に値する。様々な組織がすでに、ClaudeやBig Sleepの初期バージョンを含む大規模言語モデルを脆弱性調査に使用している。

Mythosのリリースに先立ち、JPモルガン・チェースはすでに大規模言語モデルを使用して銀行ソフトウェアの脆弱性の発見に成功していた。状況に詳しい人物（内部のセキュリティプロジェクトに関与しているため匿名を希望）がこの情報を公開した。（画像クレジット:マイケル・ネイグル/ブルームバーグ）

情報筋によると、以前は特定して悪用コードを作成するのに数日、あるいは数週間かかっていた「ゼロデイ脆弱性」は、AIを使用することで、わずか1時間、あるいは数分で特定できるようになったという。「ゼロデイ脆弱性」とは、防御側がまだ検出していないセキュリティ上の欠陥を指し、パッチを適用する時間がほとんどない状態を指す。

現在、JPモルガン・チェースは、サプライチェーンとオープンソースソフトウェアの分野に重点を置いており、複数の脆弱性を発見し、それぞれのベンダーにフィードバックを提供している。

同社のジェイミー・ダイモンCEOは、決算会議で、ミソスの出現は「まだ多くの脆弱性が緊急に対処される必要があることを示している」と述べた。

ジェイミー・ダイモン 画像ソース:Krisztian Bocsi / ブルームバーグ

事情に詳しい情報筋によると、JPモルガン・チェースは、ミトスの存在が公に知られる前に、同モデルのテストについてアンソロピックと協議していたという。匿名を希望する情報筋は、JPモルガン・チェースはこれについてコメントを控えたと述べた。

今や、他のウォール街の銀行やハイテク企業も、ハッカーが脆弱性を発見する前にシステムの欠陥を積極的に修正するために、ミトスを使用しようとしている。ブルームバーグは、ゴールドマン・サックス、シティグループ、バンク・オブ・アメリカ、モルガン・スタンレーなどの金融機関がこの技術を内部的にテストしたと報じた。

シスコシステムズの従業員は、特に1つの問題について警戒している：侵入者がAIを活用して、世界中に展開されたネットワーク機器ソフトウェア（ルーター、ファイアウォール、モデムを含む）の脆弱性を見つけ出すかどうかだ。同社のアンソニー・グリーコ最高セキュリティ・トラスト責任者は、AIがシスコからサポートアップデートを受けられなくなる「サポート終了」デバイスに対するハッカーの攻撃を加速させる可能性があるという具体的な懸念を表明した。

しかし、AIによって発見された脆弱性をパッチすることは、依然として持続的な課題である。「セキュリティパッチ」と呼ばれるこのプロセスは、組織にとってコストがかかり、時間のかかることが多い。そのため、多くの組織が脆弱性を無視している。エクイファックスが被ったような壊滅的な攻撃（約1億4700万人のデータが盗まれた）は、既知の脆弱性が迅速に対処されなかったために発生した。

エクィファックスのデータ流出事件では、侵入者によって約1億4700万人の個人記録が盗まれた。（画像ソース：エリアス・ヌベラージュ/ブルームバーグ）

米国市民に対する大規模な監視活動への協力を拒否したことでトランプ政権から「サプライチェーンへの脅威」と認定されたにもかかわらず、アントロピックは現在、連邦機関との議論や協力を行っている。

米国財務省は今週、ミソスの使用承認を求めている。スコット・ベッセント財務長官は、このモデルは米国が人工知能の競争力を維持するのに役立つと述べた。

スコット・ベッセント 画像ソース:マット・マックレーン/ブルームバーグ

テストでは、ミソスは、4つの異なる脆弱性を1つの完全な悪用チェーンに結びつけるブラウザ攻撃コードを書いた。これは、人間のハッカーにとっても非常に難しい作業である。サイバーセキュリティ調査レポートによると、このような「脆弱性チェーン」は、イランの核施設遠心分離機に対する数年前のスタックスネット攻撃で使用された手法と同様に、本来安全なシステムの境界をしばしば侵害する。

さらに、Anthropicによると、明示的に指示されると、Mythosはすべての主流ブラウザの「ゼロデイ脆弱性」を特定し、悪用することさえできるという。

Anthropicは、Mythosを使用してLinuxコードの脆弱性を発見したと述べた。Jim Zemlin氏は、LinuxはAndroidスマートフォンやインターネットルーターからNASAのスーパーコンピューターまで「今日のほとんどのコンピューティングシステムの基盤」となっており、ほぼどこにでも存在していると指摘した。Mythosは、複数のオープンソースコードベースの欠陥を自律的に発見することができ、これらの脆弱性が悪用されると、攻撃者はマシン全体を完全に制御できる可能性がある。

現在、Linux Foundationの職員数十人がMythosのテストを開始している。ゼムリン氏は、アンソロピックのモデルが開発者が最初からより安全なソフトウェアを書くのに役立つ貴重な洞察を提供できるかどうかが鍵となる問題であると考えており、これにより脆弱性の作成が減少すると考えている。

「脆弱性を見つけるのは得意ですが、修正するのは得意ではありません」と彼は言った。

[元の記事のリンク]