東京報道新聞

米新興アンソロピックが発表した新型AIモデル「Claude Mythos（クロード・ミトス）」の登場をきっかけに、AIを悪用したサイバー攻撃への警戒感が各国で一気に高まっています。ミトスはソフトウエアのソースコードを自動生成するだけでなく、既存コードを読み解き、開発元も把握していない「ゼロデイ」と呼ばれる未知の脆弱性を数千件単位で洗い出したとされています。

従来はホワイトハッカーら専門家が時間をかけて解析していた作業を、AIが短時間で自動的に行えるようになったことで、防御側の前提は大きく揺らぎつつあります。ソフトに含まれる脆弱性はサイバー攻撃の入り口であり、防御側が先に発見すれば修正できますが、攻撃側に先に把握されれば、機密情報漏洩やシステム停止、乗っ取りなど重大事故につながります。

企業ではすでにAIによるコード生成が広がっており、AIが書いたソフトに潜む欠陥を、攻撃者側のAIが自動で突くという「AI対AI」の攻防が現実味を増しています。
アンソロピックは、自社の新AIが「サイバーセキュリティーのあり方を一変させうる」と説明し、人間の多くを上回るレベルで脆弱性の発見・悪用が可能になると警鐘を鳴らしています。

こうした能力が金融インフラに向けられれば、影響は一企業にとどまらないとの懸念から、米政府も対応を急いでいます。スコット・ベッセント米財務長官はジェローム・パウエル米連邦準備制度理事会（FRB）議長とともに、シティグループ、モルガン・スタンレー、バンク・オブ・アメリカ、ウェルズ・ファーゴ、ゴールドマン・サックスなど大手銀行の最高経営責任者（CEO）を財務省に緊急招集し、ミトスがもたらす金融システムへのリスクについて警告したと報じられています。

高度なサイバー攻撃が銀行の基幹システムを揺るがせば、信用不安が金融市場全体に波及し、実体経済にも影響しかねないとの危機感が背景にあります。

アンソロピックは防御目的に限定提供　国際ルールの整備も課題に

アンソロピックはリスクの大きさを踏まえ、ミトスを消費者や一般企業向けに公開せず、アップルやマイクロソフト、グーグル、アマゾンなどが参加する「プロジェクト・グラスウィング」を立ち上げ、防御目的に限って提供する方針を示しました。

同プロジェクトには、パロアルトネットワークスやクラウドストライク、リナックス財団などサイバーセキュリティーやインフラに関わる組織も参画し、AIを活用した防御能力の底上げを目指しています。アンソロピックは、こうした取り組み全体にわたり「Claude Mythos」の利用クレジットを最大1億ドル提供し、オープンソースのセキュリティ組織に対して400万ドルの寄付を行うことで、防御側の優位性確保に向けた枠組みづくりを進めています。

一方で、ミトス級のAIを一部企業連合だけで長期的に囲い込めるかは不透明です。
中国などではオープン型AIモデルの性能が米企業に急速に迫っているとされ、ロシアやイランなどサイバー攻撃能力を重視する国々による悪用も懸念されています。

トランプ米政権は包括的なAI規制には慎重で、バイデン前政権が企業に安全措置を求めた大統領令を見直す姿勢を示しており、AIの軍事利用を巡る議論も含め国際的なルールづくりはなお途上です。AIを使ったサイバー攻撃リスクは国境を越えて拡散する性質があり、日本を含む各国の金融機関や重要インフラも海外製ソフトやクラウドサービスへの依存度が高いことから、海外発の「AI対AI」サイバー攻防の影響を受ける可能性は否定できません。

ミトスの登場は、各国政府や企業に対し、防御側も高度なAI活用を前提とした新たなサイバー戦略と、国際的なルール作りの両立を迫る形となっています。