AnthropicらIT大手12社、AIによるセキュリティプロジェクト「Glasswing」を始動 - ZDNET Japan
AI

AnthropicらIT大手12社、AIによるセキュリティプロジェクト「Glasswing」を始動 – ZDNET Japan

By

 世界大手のテクノロジー企業12社とLinux Foundationは米国時間4月7日、AI(人工知能)を駆使したサイバーセキュリティ分野の「マンハッタン計画」とも評すべき大規模な取り組みとなる「Project Glasswing」を発表した。

 Project Glasswingは、世界の最も重要なソフトウェアを保護することを目的とした取り組みである。参加組織には、Amazon Web Services(AWS)、Anthropic、Apple、Broadcom、Cisco Systems、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、Nvidia、Palo Alto Networksが名を連ねる。

 この「有志連合」の中核を成すのは、2つの防御策だ。1つは未公開の新型AIモデル「Claude Mythos Preview」の投入、もう1つは400万ドルの直接寄付と1億ドル相当のClaude利用クレジットという巨額の資金提供だ。

 CrowdStrikeの最高技術責任者(CTO)を務めるElia Zaitsev氏は、「脆弱(ぜいじゃく)性が発見されてから攻撃者に悪用されるまでの期間は消滅した。かつては数カ月を要していたプロセスが、AIの活用によって今や数分で完了する」と現状をこう指摘する。

 発表によれば、Project Glasswingの結成は、Mythos Previewが備える能力がサイバーセキュリティのあり方を根底から変える可能性があるという認識に基づいている。Anthropicは、Mythos Previewを強力なエージェント型コーディング能力と推論能力を持つ「未公開の汎用フロンティアモデル」と説明している。特筆すべきは、同社がこのモデルをサイバーセキュリティに特化して学習させたわけではないという点だ。

 また、Anthropicはこのモデルが攻撃者に悪用される危険性を考慮し、一般公開する計画はないとしている。

 Anthropicの報告によると、Mythos Previewは、ここ数週間でその多くが致命的といえる数千件のゼロデイ脆弱性を特定した。発見された脆弱性は極めて巧妙で、検知が困難なものが多いという。

 驚くべきことに、これらの脆弱性の多くは、過去10年から20年にわたって稼働してきたミッションクリティカルな中核ソフトウェアに潜んでいた。例えば、高いセキュリティを誇ることで知られる「OpenBSD」において、27年前から存在していたバグが発見された。これは、善意の専門家たちが誰一人として気づかなかった重大な脆弱性である。

 さらに、広く普及しているビデオ関連ソフトウェアでも、16年前から存在する脆弱性が特定された。恐ろしいのは、このバグがセキュリティチェックの「黄金律」と見なされていた自動テストツールが検証していたコードの中にあったことだ。そのツールは長年にわたり該当箇所を500万回もスキャンしながら、一度も問題を見抜くことができなかった。

 Cisco Systemsのシニアバイスプレジデント 兼 最高セキュリティおよび信頼責任者(CSTO)であるAnthony Grieco氏は、この事態を重く受け止め、「AIの能力は、重要インフラをサイバー脅威から守るための緊急性を根本的に変えるしきい値を超えた。もう後戻りはできない」と断言する。

 従来のシステム要塞化の手法ではもはや不十分であり、テクノロジープロバイダーは新たなアプローチを積極的に採用しなければならないという。同氏がProject Glasswingへの参画を決めた理由は、この課題が単独で取り組むにはあまりに重要かつ緊急であるためだと説明している。

 現代文明はネットワーク化されたテクノロジーインフラの上に成り立っており、あらゆるものがコンピューターとネットワークに依存している。大部分がオープンソースソフトウェアに依存しており、組織に属さない個人の開発者によって書かれたコードも多い。10億ドル規模の商用製品であっても、個々のプログラマーが構築したソフトウェアライブラリーを利用しているのが実情である。

 数十年にわたり世界の脅威を分析し続けきた筆者自身も自作のオープンソースセキュリティ製品では、アップデート前に入念にテストし、ベータテストを経てから公開してきた。だが、2025年秋に全てのソースコードを「Claude Code」とOpenAIの「Codex」でセキュリティ評価したところ、筆者のテストプロセスでは見逃していた脆弱性が特定された。興味深いことに、両方のAIが共通して見つけたものもあれば、一方のAIしか気づかなかった脆弱性も存在した。

 筆者が関心を引いたのはそのバグの性質だ。それらは純粋なコード上の記述ミスではなく、私が書いたものではない他のソフトウェアや設定と組み合わさったときにのみ発生する「振る舞いのクセ」だった。つまり、AIは調査対象のコード単体を見るのではなく、それが動作するインフラ環境全体を考慮した推論を行い、悪用可能性のある状況的な問題を特定した。

 Project Glasswingが取り組もうとしているのは、まさにこの問題をより大規模なレベルで解決することだ。発表では「フロンティアAI開発者、ソフトウェア企業、セキュリティ研究者、オープンソースの保守担当者、そして世界中の政府がそれぞれ不可欠な役割を担っており、どの組織も単独でこれらのサイバーセキュリティ問題を解決することはできない」と強調されている。

提供:Elyse Betters Picaro / ZDNET
提供:Elyse Betters Picaro / ZDNET

この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。