Anthropicの新しい大規模言語モデル「Mythos Preview」がOpenBSDの27年前のバグを発見し、AIによるサイバーセキュリティ能力の新時代を告げる

AI技術がサイバーセキュリティの領域で驚くべき進歩を遂げています。Anthropicが発表した最新のフロンティア汎用モデル「Claude Mythos Preview」は、商用ソフトウェアで最も厳格に監査されてきたOpenBSDのTCP SACK実装に、27年間も未発見だった脆弱性を明らかにするという前代未聞の成果を達成しました。これは、既存のセキュリティ監査プロセスがAIの検出能力に及ばない可能性を示唆しており、セキュリティ業界に大きな衝撃を与えています。

Mythosの能力はこれにとどまらず、FirefoxブラウザのH.264コーデックに存在する16年前の脆弱性や、FFmpegの17年前のバグも発見し、さらにClaude Opus 4.6が2つのエクスプロイトしか生成できなかったベンチマークで、181もの機能するFirefoxエクスプロイトを生成する圧倒的な性能を見せつけました。この結果は、AIが単なるコード分析ツールを超え、複雑なシステム内部の深い脆弱性を特定し、悪用するための具体的な攻撃コードまで生成できることを証明しています。

技術的意義としては、AIがこれまで人間の専門家が見過ごしてきたような、複雑で巧妙に隠された脆弱性を効率的に発見できる能力を持つことが示された点です。これは、LLMがセキュリティドメイン固有の知識と推論能力を大幅に向上させた結果であり、形式検証や静的コード解析といった従来のセキュリティ技術とは一線を画するアプローチを提供します。特に、攻撃コードの生成能力は、AIがサイバー攻撃と防御の両面においてゲームチェンジャーとなる可能性を秘めていることを意味します。

社会・産業への影響として、この技術はサイバーセキュリティ業界に革命をもたらすでしょう。企業は、既存のソフトウェアのセキュリティ監査プロセスを見直し、AIを活用した脆弱性診断を導入することで、これまで発見されなかった潜在的なリスクを洗い出すことが可能になります。一方で、悪意のあるアクターが同様のAI技術を悪用すれば、サイバー攻撃の規模と複雑性が飛躍的に増大するリスクも伴います。これは、AI開発企業や政府機関に対し、AIの安全な利用と悪用防止のためのより厳格な規制と倫理的ガイドラインの策定を強く求めるものです。

今後の展望として、Anthropicのような企業は、このような高度なセキュリティAIモデルを慎重に展開し、その能力を防御側に優先的に提供していく必要があります。将来的には、AIが自律的に脆弱性を発見し、パッチを生成する「自己修復システム」のようなものが実現する可能性も考えられます。しかし、そのためには、AIが生成するコードの信頼性や、AIの悪用を防ぐための「AIの安全性」に関する研究がさらに深化する必要があります。Mythosは、サイバーセキュリティの未来におけるAIの役割を再定義する、まさに歴史的な一歩と言えるでしょう。