Anthropicは22日、未公開の最新モデル「Mythos Preview(ミトス)」などを活用したサイバーセキュリティの取り組み「Project Glasswing」の進捗などについて発表した。ミトス級のモデル公開は、「必要な安全対策の後」とし、サイバーセキュリティ対策の強化を呼びかけている。
Claude Mythos(ミトス)は、Anthropicの最新フロンティアモデルだが、セキュリティや安全保障リスクの観点から「非公開」とされ、一部の金融機関やセキュリティ企業など「Project Glasswing」に参加する企業・団体に限定して提供する方針。
Anthropicは、約50のパートナー企業にミトスを提供。世界的な大手テック企業などで、活用したところ、1万件を超える「高深刻度(High)」または「深刻(Critical)」レベルの脆弱性を発見したという。今回、この初期テストの結果を含めて、今日のサイバー防衛への取り組みや、Project Glasswingの今後の展望、将来的なミトス級モデルの公開方針などを説明している。
例えば、Cloudflareにおいては、2,000件のバグ(400件が「高」または「深刻」)を発見し、誤検知率は人間のテスターよりも優れていると評価。Mozillaは、ミトスのテスト中にFirefox 150の271件の脆弱性を発見・修正したが、これはOpus 4.6でFirefox 148で発見した件数の10倍以上としている。セキュリティプラットフォームであるXBOWは、ミトスは「既存のすべてのモデルを大幅に上回る」と報告している。
こうした高いバグ発見の能力を活かし、Palo Alto NetworksやOracleは脆弱性修正を数倍速く、また多くの修正を行なっているという。
また、オープンソースソフトウェアのプロジェクト支援においては、1,000以上のプロジェクトを支援。ミトスが「高」または「深刻」と推定される脆弱性を6,202件発見した。
ミトスやAIによる脆弱性発見能力の向上により、Anthropicは、バグを修正する際のボトルネックは、バグの発見そのものではなく、「バグの優先順位付け、報告、およびパッチの設計・展開を行なう人的リソースにある」と説明。現在、ミトスを除外しても、オープンソースソフトウェアの維持管理を行なうメンテナは、AIによって生成された質の低いバグ報告を受けているといった問題もあることから、Anthropicでは慎重な情報開示を行なっているという。
一方、ミトス級のモデルが公開されると、攻撃者がAIを使って脆弱性を突くまでの時間が短縮されるため、開発側はパッチの適用サイクルの短縮やネットワーク防御の新たなガイドラインが必要になる。
Anthropicでは、「AIの進歩のスピードを考えると、ミトスと同等の能力を持つモデルが、まもなく多くのAI企業によって開発されるだろう」と言及。しかし、「このレベルのモデルが悪用された際の確実なセーフガード(防御策)はまだ確立されていない」とし、ミトスの一般公開は見合わせ、引き続きProject Glasswingで検証を行ないながら、サイバー防衛担当者の「優位性」と防衛強化のために提供していく。
米国や同盟国の政府を含むパートナーと協力しながら、今後、Project Glasswingの対象を拡大。近い将来に、必要とされる強力な安全対策を開発し終えた時点で、ミトス級モデルを一般公開するとしている。