最近、Anthropic社は、プロジェクトGlasswingがローンチして1か月で約50のパートナーと協力し、高リスク(High)および重要な(Critical)レベルのセキュリティ脆弱性を1万個以上発見したと発表しました。この成果はテクノロジー業界を驚かせ、AIがサイバーセキュリティ分野における大きな潜在力を示しています。

パートナーからのフィードバックによると、Anthropicが開発したClaude Mythos Previewモデルは脆弱性発見能力において顕著な向上を遂げました。一部のチームでは脆弱性の発見速度が10倍に上昇し、従来数日かかる作業が数時間で完了するようになりました。現在、脆弱性の掘り下げのボトルネックは「脆弱性の検証・公開・修正」に移行しており、セキュリティチームにとって新たな課題となっています。

例えば、Cloudflare社はその重要なシステムで2,000の脆弱性を発見し、そのうち400は高リスクまたは重大と評価されました。従来の人間によるテストに比べて、Claudeモデルの誤検出率は大幅に低下し、より高い正確性を示しました。また、Mozillaは最新版のFirefoxブラウザで271の脆弱性を修正し、これは前バージョンの10倍にものぼり、AIが修正効率を向上させる価値を示しています。

独立した評価でも、Mythos Previewモデルは優れた性能を発揮しました。イギリスのAIセキュリティ研究所はこれを初めて2つのネットワーク攻防シミュレーションを成功裏に突破したモデルと称し、XBOWプラットフォームもウェブエクスロイトにおいて他のモデルよりも明らかに優れた精度を示すと評価しています。

さらに、Anthropicは過去数か月間、オープンソースソフトウェアに対して大規模なスキャンを行い、23,019の脆弱性を発見しました。これは中程度および低リスクの脆弱性を含みます。人工による再確認の結果、そのうち1,587が真の高リスクまたは重大な脆弱性であることが確認され、実際の割合は90.6%に達しました。新しい脆弱性が見つからないとしても、最終的に約3,900の高リスクまたは重大な脆弱性が処理待ちになる見込みです。

ただし、脆弱性の修正プロセスは決して簡単ではありません。Anthropicによると、高リスクの脆弱性を発見してパッチをリリースするまでには平均で2週間かかります。一部のオープンソースのメンテナーよりも、AIによって生成された脆弱性報告の数に対応しきれないため、脆弱性の公開ペースを遅くする必要があると述べています。このような状況は、セキュリティチームにとって今後の作業負荷がさらに重くなることを意味します。

ポイントをまとめると:

🔍 AnthropicのAIモデルにより1万以上の高リスクの脆弱性が発見され、検出速度が大幅に向上しました!  

⚙️ 伝統的な脆弱性検出の誤報率が低下し、AIが修復効率を向上させました。  

⏳ 脆弱性の修正プロセスが圧迫され、オープンソースのメンテナーよりも脆弱性の公開ペースを遅くするよう求められています。