2026年05月12日 16時55分
AI
ソフトウェアの脆弱(ぜいじゃく)性を発見する能力が高いため悪用されるリスクがあるとして発表されたAnthropicのAI「Claude Mythos」について、cURLの開発者であるダニエル・ステンバーグ氏が「誇大宣伝でただのマーケティング戦略だ」と一蹴しました。cURLをClaude Mythosに分析させたところ、他のツールより脆弱性発見数が多いということはなかったそうです。
Mythos finds a curl vulnerability | daniel.haxx.se
https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/
Claude MythosはcURLの17万8千行におよぶコードを分析し、結果として5件の脆弱性を報告しました。ところが、ステンバーグ氏らが数時間かけて詳細を掘り下げたところ、5件のうち3件はAPIドキュメントですでに指摘済みの問題を挙げていただけで、1件は単なるバグに過ぎなかったそうです。実質的に残った脆弱性は1件だけでした。この脆弱性は深刻度の低いものとして次期バージョンで修正される見込みです。
ステンバーグ氏はこれまでに「Codex Security」といった複数のAIツールを使ってcURLの脆弱性を検証しており、累計で12個以上の脆弱性を特定してきたとのこと。Claude MythosはそうしたAIツールを抑えて「脆弱性発見能力が高い」と宣伝されていたため、ステンバーグ氏は膨大な脆弱性が発見されることを期待していたそうですが、「期待外れだった」と伝えています。
OpenAIが脆弱性の発見・検証・修正を自動化するAIエージェント「Codex Security」を発表 – GIGAZINE
ステンバーグ氏によると、Claude Mythosによるレポートには脆弱性の他に約20個のバグが非常に丁寧に記述・説明されていたとのこと。これらのバグに誤検出はほとんどなく、ステンバーグ氏は「かなり高い基準で検出されていると思われます」と評価しています。
ただし、Claude Mythos以前の他のツールより高度なレベルで脆弱性を検出できるという証拠は見当たらなかったため、ステンバーグ氏は「このモデルは多少優れているかもしれませんが、たとえそうであっても、コード解析に大きな変化をもたらすほど優れているとは言えません」と評価し、Claude Mythosは特に「危険」ではないと指摘しました。ただ、あくまで1つのソースコードリポジトリを分析した結果に過ぎないため、「他の分野ではもっと優れているかもしれません」と付け加えています。
ステンバーグ氏はAI脆弱性発見ツール自体は従来のツールよりもはるかに優れていると評価しており、プロジェクトを初めてAIツールで分析すれば膨大な数のバグや脆弱性が見つかるだろうと述べています。ステンバーグ氏は「Claude Mythosを含めたAIツールでコードを分析しないということは、敵対者や攻撃者に、あなたが見つけられなかった脆弱性を発見し悪用する時間と機会を与えてしまうことを意味します」と伝えました。
この記事のタイトルとURLをコピーする