サンフランシスコを拠点とするAIスタートアップ、アンソロピックは、未発表のAIモデル「クラウド・マイトス」がソフトウェアの脆弱性を正確に特定できることが分かったと発表した。モデルは、すでに数千の脆弱性を特定し、それらは現在のパッチや修正が存在しないアプリケーションに存在している。このため、同社はサイバーセキュリティ専門家と協力し、防御を強化し、モデルの配布を制限する方針を取っている。

サイバーセキュリティ専門家に限定提供

アンソロピック・ラボスのマイク・クリーガー氏は、サンフランシスコで開催されたHumanX AIカンファレンスで、モデルを一般に公開しないと明言した。代わりに、サイバーセキュリティ専門家やオープンソースエンジニアにモデルを提供し、防御ツールとして活用してもらうとした。クリーガー氏は、これにより専門家を事前に武装する形になると説明した。

AIモデルの進化により、ハッカーがパスワードの発見やデータの暗号破りに利用する可能性が懸念されている。アンソロピックによると、マイトスが発見した最も古い脆弱性は27年前に存在し、その開発者によって以前から見過ごされていたと報じられている。

サイバーセキュリティリスクと協力体制

クラウド・マイトスは、アンソロピックのクラウドファミリAIモデルの最新世代である。しかし、一部のコードがリークされたことから、同社はブログ投稿で歴史的なサイバーセキュリティリスクの警告を発表した。ブログ投稿では、AIモデルが、ソフトウェアの脆弱性の発見と悪用において、ほとんどの人間を凌駕するレベルに達していると述べている。経済、公共安全、国家安全保障への影響は深刻である可能性がある。

アンソロピックによると、マイトスが暴いた脆弱性は、AIなしでは見つけるのが非常に困難な微妙な問題だった。例えば、マイトスは、その開発者が500万回以上テストした動画ソフトウェアに、以前に見逃されていた欠陥を特定した。

予防策として、アンソロピックは、クラウドストライクやパロアルト・ネットワークスなどのサイバーセキュリティ企業、アマゾン、アップル、マイクロソフトなどとともに、プロジェクト「グラスウィング」の下でマイトスのバージョンを共有している。ネットワーク企業のシスコやブロードコム、オープンソースを推進するリナックス財団もプロジェクトに参加している。

協力プロジェクトとリソースの投入

シスコの最高セキュリティ・トラスト責任者であるアントニー・グリーコ氏は、共同発表で「グラスウィング」に関する声明で、この作業は重要かつ緊急性が高いため、単独では行えないと述べた。また、AIの能力が、重要なインフラをサイバー脅威から守る必要性を根本的に変える閾値を越えたとし、後戻りは不可能であると語った。

コンピュータシステムの設計、保守、運用に関与する約40の組織が「グラスウィング」に参加している。プロジェクトパートナーは、マイトスの発見を共有する。アンソロピックは、このミッションのために約100億ドル相当のコンピューティングリソースを提供している。グリーコ氏によると、AIモデルの初期の使用により、ソフトウェアやハードウェアの脆弱性を発見・修正するペースと規模が、これまでにないものになっている。

クラウドストライクのCTOであるエリア・ザイツェフ氏は、脆弱性が発見されてから悪用されるまでの時間差が縮小していると指摘し、かつては数カ月かかっていたものが、AIによって数分で行われるようになったと述べた。また、クラウド・マイトス・プレビューは、防御側が大規模に可能になったことを示しており、攻撃側もやがて同じ能力を悪用しようとするだろうと語った。

アンソロピックは、マイトスについて米国政府と協議しているが、2月にホワイトハウスが同社とのすべての契約を終了するよう命じた。その指示は、アンソロピックが法的な異議を提起している間、連邦裁判所の判事によって保留されている。