ジェイルブレイクに
CVSS登場
脆弱性の深刻度を一枚の物差しで測る CVSS のような共通指標が、生成AI のジェイルブレイクにも作られ始めました。ベンダーごとに違う言葉で報告されてきた「危なさ」を、業界横断で並べて話せるようにする——最初の草案が動き出しています。
「危なさ」の物差しが
ベンダーごとに違った
同じジェイルブレイク(安全ガードの回避)を報告しても、A 社は「Sev-2」、B 社は「High」、C 社は 4 段階中の「3.2」——そんな状況が長く続いてきました。数字の意味が定義から違うので、二つの報告を並べて「どちらが緊急か」を答えるのは、意外なほど難しい。
脆弱性の世界ではこの問題を CVSS(Common Vulnerability Scoring System)がおよそ 20 年前に片づけました。到達性・影響・複雑さといった軸を数値で刻み、誰が採点しても近い値になるよう合意する——生成AI にはまだ、それが無かったのです。
| これまで(ベンダー別) | 共通指標(草案) |
|---|---|
| 「High」「Sev-2」など言葉が違う | 0〜10 のスカラー+4段ラベル |
| 同じ攻撃で数値がずれる | 五軸の定義でズレを吸収 |
| クロスベンダー比較は職人技 | 報告書に並記するだけで比較可 |
| 社内 SOC の重み付けと接続不能 | CVSS 互換で SIEM に流し込み可 |
共通指標が測る、五つの軸
草案では CVSS を踏襲した五つの評価軸で、「そのジェイルブレイクがどれだけ悪用可能か」を数値化します。
「到達性」は攻撃者に何が必要か(公開 API だけで届くのか、内部権限が要るのか)を、「影響範囲」は情報漏えいから資産侵害まで踏み込めるかを刻みます。「権限昇格」はモデルが本来触れないツール群を呼び出させられるか、「検出困難」はガードや監査で気づけるか、「再現性」は誰でも同じ手順で通せるかを見ます。
合成スコアは 0〜10 で表され、CVSS と同じく Low / Medium / High / Critical のラベルへ変換されます。プロンプトインジェクション攻防:攻撃事例と対策パターンで扱っている典型攻撃も、この五軸で再採点することでベンダーをまたいだ比較が効くようになります。
草案は、この規模で走っている
Anthropic を含むフロンティアラボが草案を持ち寄り、共通のケーススタディで採点差を突き合わせる作業が始まっています。既存の CVSS を運営するコミュニティ(FIRST)とも接点があり、既存のセキュリティ運用にそのまま載る形が意識されています。
報告の言葉が揃えば、
初めて対策の速さが揃う。
レッドチームは、こう繋ぐ
運用側は、社内基準を捨てる必要はありません。共通指標は「翻訳レイヤ」として既存の重み付けの上に載せます。
社内基準の上に重ねる
既存の Sev-1〜4 は残したまま、報告書に共通スコアを併記します。プロセスを壊さず、外部報告と橋渡しできる最短ルートです。
優先度を横並びで判断
複数モデルへの報告が同じ物差しに載るので、パッチや緩和の順番付けが感覚ではなく数値ベースで決められます。
SIEM に流し込む
CVSS 互換のスコア形式なので、社内 SOC のダッシュボードや脆弱性管理ツールに、既存のパイプラインで取り込めます。
「危ない」の共有言語を、
いま作る
Anthropic ら大手ラボが、AI ジェイルブレイクの深刻度を数値化する共通指標の策定に着手しました。これまで脆弱性報告の深刻度はベンダーごとに基準がバラバラで、比較が困難でした。物差しが揃うだけで、優先度・パッチ順・報奨金設計まで一気に整地されます。
レッドチーム運用者は、社内基準にこの共通指標を後付けすると外部報告と橋渡しできます。CVSS が生まれてからセキュリティ全体の会話が速まったのと同じ変化が、生成AI 側でもこれから 1〜2 年かけて起きるはずです。