Anthropicが開発したAIモデル「Claude Mythos」は、同社が展開するAIシステム「Claude」の一部として、OpenAIのChatGPTやGoogleのGeminiと同等の性能を持つモデルの一つである。

同社は4月初頭に「Mythos Preview」としてこのモデルを公開し、コンピュータセキュリティのタスクにおいて非常に優れた能力を持つと説明した。しかし、AIモデルを特定の要請でテストするRed-teamの研究者らは、Mythosが数十年にわたって使用されてきたコードに眠るバグを簡単に特定し、悪用できると発見した。

このような能力を考慮し、AnthropicはMythosを広く利用可能にしなかった。代わりに、Project Glasswingというイニシアチブを通じて、12社のテクノロジー企業にアクセスを提供した。このプロジェクトの目的は、Mythosによる脅威に備えるための体制強化と、世界の重要なソフトウェアのセキュリティ確保にある。

Project Glasswingに関与している企業には、アマゾン・ウェブ・サービスズ(AWS)、アップル、マイクロソフト、グーグル、ナビディア、ブロードコム、クラウドストライクなどの大手テクノロジー企業が含まれる。また、Anthropicは、重要なソフトウェアを担当する40以上の組織にもアクセスを提供している。

なぜ懸念がされているのか

Anthropicはテストの結果、Mythosがサイバーセキュリティやハッキングのタスクにおいて人間を上回ると述べている。古いシステムの重要なバグをわずかな監視のもとで特定し、悪用方法を提案できる。そのような脆弱性の一つは、あるシステムにおいて27年間存在していた。

カナダの財務大臣フランソワ=フィリップ・シャンプレン氏は、国際通貨基金(IMF)の会議でMythosに関する議論を踏まえ、「これは財務大臣たちにとっても深刻な問題である」と述べた。

イングランド銀行のアンドリュー・ベイリー総裁はBBCに対して、最新のAI開発がサイバーカリスマ性に与える潜在的なリスクを慎重に検討していると語った。一方、EUもAnthropicとMythosに関する懸念について議論している。

AnthropicのCEOであるダリオ・アモデイ氏は、米国政府の関係者と協力して、こうしたモデルに関連するリスクに対処する準備ができていると述べた。Project Glasswingの発表に伴う動画の中で、アモデイ氏は潜在的な脅威に対処するための協力の必要性を強調した。

サイバーセキュリティ専門家はどのように評価しているか

英国の国家サイバーセキュリティセンター(NCSC)の元責任者であるシアラン・マーティン氏は、Mythosが他のAIモデルよりも早く重大な脆弱性を発見できるという主張が「人々を本当に驚かせた」と語った。

彼はまた、Mythosは本質的に「非常に優れたハッカー」であり、企業が対策を施していなかった既存の脆弱性を悪用できると述べた。しかし、多くの独立したサイバーセキュリティアナリストは、Mythosを実際にテストしていないため、その性能について懐疑的である。

英国のAI安全研究所は最近、Mythosは非常に強力なモデルであるが、最も大きな脅威は、セキュリティ対策が不十分なシステムに対してであると結論付けた。理論的には、基本的なサイバーセキュリティ対策が整っていれば、このモデルは阻止できる。

AIに関する懸念は新しいものではなく、新しいモデルやツールの開発は頻繁に起きている。これらは、人生をより良くも悪くもするという約束とともに、しばしば登場する。このように、恐怖と興奮の混ざった感情をビジネスに活かすことは、AI業界のマーケティング戦略の特徴である。

Mythosの場合、現時点ではこれらの希望や懸念が正当なものであるか、業界の盛り上がりの反映であるかを判断するには情報が不足している。国家サイバーセキュリティセンターによると、現在最も重要なことはパニックにならず、基本的なサイバーセキュリティ対策を確立することである。

多くのハッカーは、シンプルな攻撃でシステムを突破することができれば、スーパーアイツールは必要ない。マーティン氏はBBCに対して、一部の人にとってはこれは世界の終わりのような出来事だが、他の人々にとってはこれは大げさな宣伝に過ぎないと述べた。また、Anthropicやそのライバル企業が今後開発するツールであろうと、より安全なオンライン世界を築く機会があると語った。

中長期的には、こうしたツールを活用して、インターネットの根本的な脆弱性を修正する機会があるとマーティン氏は述べた。