エントロピック、脆弱性検出AI「ミトス」を公開
パッチ適用前の「ゼロデイ」検出の可能性
専門家「人間とAIの役割を考える必要がある」
政府、緊急現案点検…セキュリティ強化を要請
人工知能(AI)を巡るセキュリティ懸念が再燃している。未公表の脆弱性を発見し攻撃に転用する「クロード・ミトス」の登場が、サイバーセキュリティ市場に衝撃を与えたためだ。
韓国でAIの普及が急速に進む中、専門家は人間とAIがどのように協力していくかを改めて検討する必要があると強調する。政府はゼロデイ脆弱性の検出とそれに伴う攻撃の可能性に備え、先制的な脅威管理に乗り出した。
「クロード・ミトス」登場…ゼロデイ攻撃の可能性
AIスタートアップのエントロピックが、セキュリティ脆弱性を検出する「クロード・ミトス」モデルを公開した。ミトスはコード解析を通じて、まだパッチが存在しないゼロデイ脆弱性を特定できる。発見された脆弱性が実際の攻撃に使われ得るため波紋を呼んでいる。
ゼロデイ攻撃とは、脆弱性が発見され、その存在が広く公表される前にその脆弱性を悪用して行われる攻撃を指す。
一般に脆弱性が見つかると開発者がパッチを配布し、利用者が適用するのが通例だ。対策が公表される前に攻撃が行われれば有効な対処法が存在しないままとなる。
現在、ミトスは一般公開されておらず、一部企業にプレビュー版が先行提供されている。
キム・ヒョンジョン(ソウル女子大・知能情報保護学部)教授は「ハッカーだけが知る脆弱性をミトスも見つけられるということだ」と指摘し、「政府や大企業、金融サービスなどの脆弱性がミトスに発見されれば攻撃対象になり得る。脆弱性が見つかって公表されればゼロデイ攻撃につながる」と述べた。
バグバウンティの先行き不透明…「人間との協力を考える必要がある」
ミトス登場以前はバグバウンティ制度が存在した。サービスやソフトウェアなどの脆弱性を発見して報告すれば報奨金が支払われる、脆弱性報告報酬プログラムだ。
1990年代初頭、ネットスケープ社がウェブブラウザのセキュリティ強化のために導入したのが始まりだ。外部の専門家を活用することで内部で見落とされがちな脆弱性を効果的に発見できる利点があり、長年にわたりセキュリティ対策として用いられてきた。
専門家は、ミトスの登場により誰でもサービスの脆弱性を見つけられる点を懸念する。防御のために設計された機能が攻撃に悪用される可能性があるからだ。
最近、韓国のAI利用者は増加しており不安感は増している。韓国国内のAIサービス利用経験率は70%に迫る。14日、科学技術情報通信部の「2025年インターネット利用実態調査結果」によれば、昨年7月時点のAIサービス利用経験率は67.0%だった。1年前の60.3%から6.7ポイント上昇した。
また、AIサービスの活用能力や倫理的利用に関する調査では、「アルゴリズムの偏り、誤情報、プライバシー侵害などAI技術のリスクを知っている」との回答が47.3%で最多だった。一方で「AI技術のリスクを考慮してAIサービス・機器を倫理的に利用している」と答えたのは38.0%にとどまり、利用者数との間に大きな乖離がある。
キム教授は「ミトスが人間の役割を代替すれば、より高性能な知見や技能が誰でも手に入るようになり、一般の人々も同じ行為を行えるようになる。誰もがミトスモデルを使って脆弱性を見つけ、脆弱性を悪用しやすいスクリプトをすぐに生成するコードを利用できる」と懸念を示した。
ミトスの登場は、近年問題視されているAIセキュリティの課題に加え、これを扱う開発者の職務にも影響を与えかねない。
専門家は、ミトスの出現を契機に人間とAIの協力関係を見直す時期が来たと強調する。
キム教授は「ミトスのようなモデルの出現は、セキュリティ専門家にとっても職業の安定性を考える要因になっている。結局、人間とAIがどのように協力するかを検討する必要がある」と語った。
さらに「AIが高度化するにつれ、AIを開発する者は初期段階から人間との協力を前提に設計すべきだ。セキュリティ業界も人間が担う領域とAIが担う領域の境界を再定義し、それに応じた役割分担を検討すべき時期に来ている」と述べた。
政府、技術動向を注視・セキュリティ強化を要請
政府は緊急現案点検会議を開き、対策を協議した。
科学技術情報通信部は、エントロピックなどが最新AIモデルをサイバーセキュリティに活用するプロジェクトを立ち上げたことを受け、緊急現案点検会議を開催したと発表した。
同部は各企業の情報保護最高責任者(CISO)に対し、AIを悪用したセキュリティ脅威に注意し、各社で緊急のセキュリティ点検を実施するよう求めた。また、AIを活用した異常な攻撃が発生した場合は韓国インターネット振興院と状況を共有するよう指示した。
また、リュ・ジェミョン第2次官の主宰で、通信大手3社、ネイバー、カカオ、ウアハン兄弟、クーパンなど主要プラットフォーム企業のCISOと緊急現案点検会議を開き、AI高度化に対するサイバー備えとセキュリティ体制の変化動向を注視するよう要請した。
さらに、国内のAIセキュリティ専門家との現案点検会議を通じて、該当プロジェクトやAIセキュリティサービスの内容・水準、国内への影響などについて専門家の意見を聴取した。
ペ・ギョンフン副首相兼科学技術情報通信部長官は「我が国の企業や基盤施設が脅威にさらされないようにすると同時に、サイバーセキュリティ能力の向上を図る必要がある」と述べ、「民間と行政が協力して我が国のサイバーセキュリティ生態系の高度化に努めよう」と要請した。
©(株)デイリーアン無断転載及び再配布禁止
- チャン・ドンヒョク、キム・ミンスと二人で米国へ…結局マイウェイを選んだのか
- イム・ヨンフン、「トロットの皇帝」を証明…昨年の精算金145億+α
- 国民の力「大邱を守る」意志はあるのか
- 「米国で作ればいい」と言われ…現代・起亜、米国のピックアップ市場に切り込む
- 「スジュ出身」カンイン、脳出血で倒れたイ・ジンホの命を救う
コメント0