とんでもない大規模言語モデル(LLM)が発表された。米Anthropic(アンソロピック)が開発した「Claude Mythos Preview(クロード・ミトス・プレビュー)」だ。
特徴は、ソフトウエアの脆弱性(セキュリティー上の弱点)を見つけて「悪用」する能力が、既存のLLMよりも桁違いに高いことだ。数千の脆弱性を発見し、それを突くプログラム(エクスプロイト)も自律的に作成したという。
これまで、セキュリティーに特化したLLMや、LLMを使って新たな脆弱性(ゼロデイ脆弱性)を見つける取り組みが多数発表されているが、それらとは次元が異なる印象を受けた。アンソロピックも、サイバーセキュリティーのあり方を根本的に変える可能性があるとしている。
一般には公開しないが、存在は確実
アンソロピックは、Claude Mythos Previewの詳細をまとめた200ページ以上の文書(システムカード)を公表したものの、Claude Mythos Previewそのものは、悪用を懸念して一般公開しないという。
このことから、Claude Mythos Previewの性能を「眉唾もの」と思う人はいるかもしれない。だが、Claude Mythos Previewの検証や活用のために立ち上げられたプロジェクト「Project Glasswing」のメンバーを見れば、疑念は吹き飛ぶ。ビッグネームが名を連ねているからだ。
具体的には、以下の12社である。
アンソロピック、米Amazon Web Services(AWS)、米Apple(アップル)、米Broadcom(ブロードコム)、米Cisco Systems(シスコシステムズ)、米CrowdStrike(クラウドストライク)、米Google(グーグル)、米JPMorganChase(JPモルガン・チェース)、米Linux Foundation(リナックス財団)、米Microsoft(マイクロソフト)、米NVIDIA(エヌビディア)、米Palo Alto Networks(パロアルトネットワークス)。
ベンダーだけではなく、JPモルガン・チェースの名前があるのが興味深い。金融分野にも大きな影響をもたらすと考えているのだろう。
第2、第3のClaude Mythosが登場する可能性
Claude Mythos Previewに驚いた点の1つが、汎用のLLMであり、セキュリティーに特化して開発されたわけではないことだ。アンソロピックは、コーディング、推論、自律性といった全般的な改善の結果として、脆弱性の発見や悪用に関する能力が自然に備わったとする。
ということは、Claude Mythos Previewと同等の能力を持つLLMを他社も開発する可能性がある。Project Glasswingだけでは、LLMがもたらすゼロデイ攻撃の脅威を抑え込めないおそれがある。
複数の脆弱性を発見し、それらを組み合わせて悪用するエクスプロイトを自律的に作成する点にも驚いた。
OSなどの重要なソフトウエアはセキュリティーが強化されているため、深刻な脆弱性があったとしても、いきなりリモートから完全に乗っ取ること(root権限などを奪取すること)は難しくなっている。
このため複数の脆弱性を組み合わせて権限を昇格し、最終的にソフトウエアを乗っ取るのが常とう手段だ。これを実現するには相当のスキルが必要で、熟練の技術者あるいは攻撃者でないと難しいと見られていた。
だが、Claude Mythos Previewはやってのけるという。Linuxの複数の脆弱性を自律的に発見して連鎖させることで、通常のユーザー権限しか持たない攻撃者がLinuxマシンを完全に制御できるようにした。しかも、そうした事例は10件近くあり、4種類の脆弱性を組み合わせたケースもあるとしている。
次のページ
長期的には防御側に恩恵をもたらすこの記事は会員登録で続きをご覧いただけます
