生成AI(人工知能)の能力が劇的に向上し、サイバーセキュリティーの現場を変え始めている。この1年ほどでソフトウエアの脆弱性の発見や報告が急増し、セキュリティー対策の技術者の業務が逼迫しているのだ。米Anthropic(アンソロピック)が開発した「Claude Mythos Preview(クロード・ミュトス・プレビュー)」(以下、Mythos)はこの状況に拍車をかけそうだ。
脆弱性の報告が急増、Mythosが加速するか
脆弱性の急増はMythosの登場を待たずに進んでいる。脆弱性情報を管理している米MITRE(マイター)の集計によると、新たに公開された脆弱性(CVE)は2025年に世界で4万8185件と前年比20.6%増えた。2026年第1四半期はさらに前年同期を3割上回るペースで増えている。
米国立標準技術研究所(NIST)は2026年4月15日、脆弱性の急増を受け、全件に詳細情報を付与する従来方式を見直した。重要度の高いものに分析を絞り、2026年3月1日以前の未処理の約2万9000件を「Not Scheduled(分析の予定なし)」に分類した。
セキュリティー対策やソフトウエア開発の現場も脆弱性情報の急増に直面している。世界的なハッキング競技会「Pwn2Own(ポウン・トゥ・オウン)」に報告が急増しているほか、基本ソフト(OS)のLinuxでも報告の急増に直面し、開発の進捗に影響を与え始めているという。
開発環境のセキュリティー対策を手掛けるGMO Flatt Securityの米内貴志取締役副社長Co-CTO(最高技術責任者)は、「セキュリティー対策の現場で、現実に人間が処理できる限界を超え始めており、AIによる自動化が避けられなくなっている」と指摘する。
アンソロピックが2026年4月7日から限定的に提供を始めたMythosの登場により、この流れがさらに加速しそうだ。その脅威は適用範囲の広さにある。ソースコードからのバグや脆弱性の発見にとどまらず、ソースコードが非公開のバイナリーファイルや、難読化されたスクリプトもリバースエンジニアリングで解析できる。
アンソロピックの研究者は、Mythosがサンドボックスを突破した実例も報告しており、コンピューター内やサーバーの境界などから脆弱性を見つける能力も高いと見られる。アンソロピックからMythosを提供されたセキュリティー企業の米Calif Global(カリフ・グローバル)のエンジニアは、米Apple(アップル)のM5チップに搭載された高度なメモリー保護機構(MIE)をわずか5日間で突破できたと公表した。
米内副社長Co-CTOは、「Mythosの本質的な強みは単一のバグ発見ではなく、複数の脆弱性をパズルのように組み合わせて侵入まで完遂する連鎖の能力にある」と指摘する。
米Google(グーグル)が2026年3月に買収したクラウドセキュリティー企業の米Wiz(ウィズ)は、Mythosと同等の能力を持つモデルが誰でも使えるオープンソースとして出回るまで12~18カ月と見る。政府や企業は、Mythos級の能力が攻撃者の手に渡る日を見据えて、対策を整える必要がある。
次のページ
人間の限界、AIの力で克服この記事は有料会員限定です
