27年間見つからなかった脆弱性をAIが発見――Anthropicの新モデル「ミトス」が揺るがすセキュリティの常識

Translation result

先週、アンストロピックの発表を受けてサイバーセキュリティ関連株が下落した。3月に、脆弱性の発見に特化したAIモデル「クロード・ミトス・プレビュー」の開発がフォーチュンの報道で明らかになったためだ。

このモデルは特にOpenBSDで、27年間見つかっていなかった脆弱性を発見して注目を集めた。このOSはファイアウォール機器やサーバーなどのセキュリティ機器で主に使われる。アンストロピックはほかにもオープンソースや非公開ソフトウェア全般で「高リスクかつ致命的なレベルの脆弱性数千件」を見つけたと明かしている。

こうした事実が伝わると、パロアルト・ネットワークスなど米主要サイバーセキュリティ企業の株価が5〜11%下落した。既存のセキュリティ製品の需要がミトスに代替されるのではないかという懸念が背景にある。

キャリア25年のあるセキュリティ専門家は、この懸念に反論した。

企業向けアプリ・APIセキュリティ企業コントラストセキュリティのデイビッド・リンドナー最高情報セキュリティ責任者（CISO）は、「本当の問題は、修正されないまま累積している脆弱性が多いことだ」と述べた。より多くの脆弱性を見つけること自体が本質ではないという意味だ。リンドナーは「脆弱性を見つけるのに苦労したことはない」と付け加えた。

リンドナーは、脆弱性を修正して展開する方がはるかに難しいと指摘した。アンストロピックもミトスを紹介する文書で、モデルが見つけた脆弱性の99%がパッチされていないと述べている。

また、他者をだましてパスワードやアクセス権を奪う手口では、ミトスが大きな役割を果たすとは限らないともリンドナーは指摘する。ハッカーたちはすでにAIツールを使ってこうしたなりすまし攻撃を行っていると説明した。

アンストロピックはミトスの開発を公表したが、性能が強力すぎるとして一般公開はしないと明言した。代わりにマイクロソフト、アップル、グーグルなど約40社に限定提供しているという。

ただし、モデルの利用者が少なくないことから、リンドナーCISOはこの秘密が長く続くとは見ていない。

彼は「たとえ非公開だとしても、中国は5〜6か月以内に同様のモデルを持つだろうし、1〜2年以内にはオープンソース版も出るはずだ」と述べた。

ベンチャーキャピタリストのマーク・アンドリーセンは、アンストロピックが本当にセキュリティ上の懸念でミトスの公開を遅らせているのか、それとも全面提供に耐えうる計算資源が不足しているのか疑問を呈した。ウォールストリート・ジャーナル（WSJ）は先週末、アンストロピックが最近サービス障害を頻発させ、混雑時にはユーザーの利用を制限してきたと報じた。

それでも、他のセキュリティ専門家はミトスがサイバーセキュリティの状況を大きく揺るがす可能性があると見る。セントルイス保健科学・薬学大学の最高情報責任者（CIO）ジャック・ルイスは、コーディング経験の乏しい悪意ある行為者でもシステム攻撃に乗り出しやすくなる可能性を指摘した。

ルイスは「攻撃者はもうコーディングやソフト設計の知識を持っている必要はない。代わりにそうした作業を代行するAIエージェントを動かせばいい」と語った。

ルイスは基本的なセキュリティ原則を徹底する重要性を強調した。既存の脆弱性を適時にパッチし、従業員に与えたアクセス権を必要最小限に制限することだ。

彼は「基礎の部分からしっかり締めなければならない」と述べた。

マルコ・キロス・グティエレス、文相徳記者 mosadu@fortunekorea.co.kr