AI企業のAnthropicは、英国BBCが報じた情報によると、一部の人々が同社の強力なAIツール「Claude Mythos」に不正アクセスしたという報告を調査している。このモデルは、サイバーセキュリティ用途に使われており、一般に公開されていない。

高度なAIモデルの安全性に関する懸念

同社は声明で、「第三者ベンダー環境を通じてClaude Mythos Previewへの不正アクセスが報告されたという情報について調査中です」と述べた。現時点では、悪意ある行為者がモデルを取得したという兆候は見られず、Anthropicはシステムへの影響の証拠も見つかっていないとしている。

しかし、不正アクセスの報告は、大手AI企業が高度なAIモデルを誤った手に渡さないための能力に対する疑問を投げかける。サイバーセキュリティ企業SmartTechのCEOであるラルカ・サセアヌ氏は、「これはおそらく典型的なハッキングではなく、アクセスの誤用によるもの」と述べた。

AIモデルを活用したサイバーセキュリティ

Anthropicは、Mythosモデルを一部のテクノロジーや金融企業に提供し、システムの脆弱性を悪用する能力を防御するために活用している。しかし、これは企業が自身のアクセスを厳しく管理することに依存している。

ブルームバーグによると、アクセス権は、Anthropicのサードパーティの請負業者として働いていた人物を通じて得られた。また、このグループはアクセスを得てからモデルを使用しているが、検出されたくないためハッキングは行っていない。

サセアヌ氏は、「強力なAIツールが意図された制限外でアクセスされたり使われたりすると、セキュリティ上の問題だけでなく、詐欺やサイバー犯罪、その他の悪意ある活動に利用される可能性のある能力が広がるリスクがある」と述べた。

AIセキュリティの広範な影響

英国の国家サイバーセキュリティセンター(NCSC)の長官であるリチャード・ホーン氏は、水曜日に開かれた大規模なサイバーセキュリティ会議で、AIツールがより安全で安全なものを実現できると語った。ホーン氏は、CyberUKの参加者に対し、新たなAI攻撃を恐れるのではなく、基本的なサイバーセキュリティを正しく行うよう呼びかけた。

「メディアで最近報じられたように、先進的なAIは既存の脆弱性を大規模に発見し、悪用する能力を急速に進化させています。これにより、サイバーセキュリティの基本的な要素がまだ対応されていない場所がどれほど速く明らかになるかが示されています」とホーン氏は述べた。ホーン氏の警告は、過去数年間の類似したメッセージと一致しており、たとえばシステムのソフトウェアを更新し、旧式のITをアップグレードする必要性を強調している。

同イベントで、安全保障大臣のダン・ジャーヴィス氏は、AI企業が政府と協力して「世代を越える取り組み」を通じて、AIが重要なネットワークを攻撃者から守るよう確保することを求めた。最も強力で高度なAIモデル、いわゆる「先進AI」はすべて英国国外で開発されており、主要な企業は米国や中国に拠点を置いている。これは、英国がAnthropicのような企業にMythosへのアクセスを依存しており、その開発や訓練、リリース方法については一切のコントロールができないことを意味している。

OpenAIも、非常に能力が高いとされるGPT 5.4 Cyberというサイバーセキュリティモデルを持ち、CyberUKでの演説では、ロシアや中国からの国家主導やハッカティヴィストの攻撃に対する継続的な脅威を強調した。NCSCは、イランの攻撃など最近の事例から、サイバーが英国の防衛の「ホームフロント」となっており、現代のすべての紛争においてますます重要な役割を果たしていると警告している。

追加取材:イムラン・ラハマーン=ジョーンズ。

Anthropicは、英国BBCの報道に続いて、Mythosモデルへの不正アクセスがサイバーセキュリティにリスクをもたらす可能性があるとして、追加情報源からも調査を進めていると確認した。米国のスタートアップ企業は、ブルームバーグが水曜日に一部の人々がアクセスしたと報じた後、声明を発表した。このモデルは、サイバー攻撃を可能にする能力を持つため、一般にはリリースされていない。

Anthropicは、「我々は、第三者ベンダー環境を通じてClaude Mythos Previewへの不正アクセスが報告されたという情報について調査中です」と述べた。ブルームバーグは、一部のユーザーが、AnthropicがAppleやゴールドマン・サックスなどの企業にテスト目的でリリースすると発表した同じ日に、プライベートオンラインフォーラムを通じてMythosにアクセスしたと報じた。

同メディアは、名前を明かさないユーザーが、Anthropicのサードパーティの請負業者の従業員としてアクセス権を持ち、サイバーセキュリティ研究者が使用する方法を採用することでMythosにアクセスしたと報じた。ブルームバーグによると、このグループはサイバーセキュリティのプロンプトをモデルに実行しておらず、問題を引き起こすよりは「遊ぶ」ことに興味がある。

しかし、この可能性のある漏洩の報道は、Mythosが破壊的な可能性を持つことを懸念している当局を驚かせ、潜在的に有害な技術が誤った手に渡らないようにする方法に関する疑問を提起するだろう。英国のAI大臣であるカニシュカ・ナラヤン氏は、英国の企業はこのモデルがITシステムの欠陥を発見する能力について「懸念するべきだ」と述べた。

このモデルは、世界のトップの安全機関である英国のAIセキュリティ研究所(AISI)によって審査され、先週、Mythosはサイバー脅威の面で「前のモデルより一段上」であると警告した。AISIは、Mythosが複数の行動を必要とする攻撃を実行し、人間の介入なしでITシステムの弱点を発見できると指摘した。通常、こうしたタスクは人間の専門家に数日かかることである。

Mythosは、AISIが作成した32ステップのサイバー攻撃シミュレーションを初めて成功させたAIモデルであり、10回の試行のうち3回で課題を解決した。