詳細を読む
Anthropicのサイバーセキュリティ特化モデル「Claude Mythos Preview」が、主要OSやブラウザの脆弱性を発見・悪用できる能力を持つとされるなか、二つの深刻な問題が同時に浮上しています。Bloombergの報道によれば、限定公開初日の4月7日から「少数の無許可ユーザー」がモデルにアクセスしており、約2週間にわたり利用を続けていました。
不正アクセスを行ったのは、未公開AIモデルの情報を収集するDiscordチャンネルのメンバーです。Anthropicの第三者委託先の権限と、先日発生したMercor社のデータ漏洩で得られた情報を組み合わせ、Mythosのオンライン上の所在を推測しました。メンバーは検知を避けるため、サイバーセキュリティ目的での利用は避けていたと報じられています。
一方、Axiosの報道で米国サイバーセキュリティ・インフラ安全保障庁(CISA)がMythos Previewへのアクセスを得られていないことが明らかになりました。NSAや商務省など他の連邦機関はすでにモデルを利用しているにもかかわらず、サイバー防衛の中核を担うべき機関が取り残されている状況です。
CISAはトランプ政権下で予算の大幅削減と人員再配置が進んでおり、DHS閉鎖中のハッキング検知能力も限定的だと幹部が議会で証言しています。2020年大統領選を「史上最も安全」と宣言した経緯から政治的攻撃を受けており、今回のMythos排除はその延長線上にあるとみられます。
重要インフラをサイバー攻撃から守る役割を持つ機関が、「主要OSとブラウザすべてにセキュリティ問題を発見した」とされるツールを利用できない事態は、米国のサイバー防衛態勢に構造的な空白を生じさせるリスクがあります。Anthropicは政府関係者と継続的に協議中としていますが、CISAへの提供時期は不透明です。