先月、**Anthropic**は、その脆弱性発見能力が非常に高度であるため、内部スキャンと修正のために一部の企業にのみ提供するという特別な注意書きを添えて、新しいモデルClaude Mythos Previewを発表しました。 この発表は注目を集めましたが、AIがソフトウェアの脆弱性を特定する能力を高めているという、より広範なトレンドを浮き彫りにしています。 ### 脆弱性検出におけるAIの進歩 **Anthropic**のモデルは非常に高性能ですが、他のモデルも同様の能力を示しています。英国のAIセキュリティ研究所は、**OpenAI**のGPT-5.5が同等の能力を提供していることを発見しました。さらに、Aisle社は、より小規模でコスト効率の高いモデルを使用して**Anthropic**の結果を再現しました。 **Anthropic**によるMythosの限定リリースは、実用的な考慮事項によっても推進されている可能性があります。このような強力なモデルを実行するにはリソース集約的であり、一般公開は現実的ではないかもしれません。アクセスを制限することで、**Anthropic**はモデルの可能性を完全に実証することなく、その潜在能力を強調することができます。 ### サイバーセキュリティにおけるAIの二面性 根本的な問題は、**Anthropic**、**OpenAI**、およびオープンソースの代替を含む最新の生成AIシステムが、脆弱性を発見し悪用することに長けてきているということです。これは、攻撃的および防御的なサイバーセキュリティ戦略の両方に大きな影響を与えます。 攻撃者は、これらのAI機能を活用して、さまざまなシステムにおける脆弱性を発見し、自動的に悪用することができます。これにより、重要インフラの侵害、**ransomware**攻撃、データ窃盗、紛争中のシステム制御につながり、より危険なデジタル環境が生まれる可能性があります。 逆に、防御者はこれらの同じAIツールを利用して脆弱性を特定し、パッチを適用することができます。例えば、**Mozilla**はMythosを使用して**Firefox**の271件の脆弱性を発見しました。これらの脆弱性はその後修正され、潜在的な攻撃ベクトルが排除されました。将来的には、AI主導の脆弱性検出とパッチ適用がソフトウェア開発ライフサイクルの標準的な部分となり、より安全なソフトウェアが実現する可能性があります。 ### 短期的なリスクと長期的な可能性 新たに発見された脆弱性を悪用する攻撃と、頻繁なソフトウェアアップデートの両方の急増が予想されます。しかし、多くのシステムはパッチ適用不可能であるか、定期的に更新されていないため、脆弱性が露呈したままになります。現在、脆弱性を悪用することは、それらを発見して修正することよりも容易であるように見え、短期的なリスクの増加を示唆しています。組織は、この進化する脅威ランドスケープに適応するために、セキュリティ戦略を調整する必要があります。 今後、AIが安全なソフトウェアを作成する能力は継続的に向上すると予想されます。最終的には、AIで強化された防御者が、AIで強化された攻撃者に対して優位に立つ可能性があります。 ### サイバーセキュリティを超えて：AIとシステム的な脆弱性 その影響はサイバーセキュリティを超えて広がっています。AIがソフトウェアの分析に効果的である理由となるパターンマッチングと推論能力は、他の複雑なシステムにも適用できます。例えば、AIは税法、環境規制、食品安全規則の抜け穴を特定できます。 投資銀行はすでにAIを使用して税法を分析し、コスト削減戦略を模索している可能性があります。複数の管轄区域が関与するような複雑な抜け穴を発見するAIの可能性は大きいです。これにより、政府の歳入が減少し、規制回避につながる可能性があります。 迅速にパッチ適用できるソフトウェアの脆弱性とは異なり、税法や規制の改正は、長くてしばしば政治的に議論の多いプロセスです。米国税法における長年悪用されてきたキャリード・インタレスト（キャリード・インタレスト）の抜け穴は、この課題を例示しています。 AIは社会を変革する準備ができています。産業革命が物理的な能力を増幅したのと同様に、AI革命は認知能力を増幅するでしょう。ソフトウェアと他の複雑なシステムの両方における脆弱性の洪水によって特徴づけられるこの新しい現実に適応することは、困難ですが不可欠です。