詳細を読む
2026年4月25日、WIREDのセキュリティ週報によると、Anthropicが厳重にアクセスを制限していたAIモデル「Mythos Preview」に対し、Discord上のアマチュアグループが不正アクセスに成功していたことが明らかになりました。Mythosはソフトウェアやネットワークの脆弱性発見において極めて高い能力を持つとされ、その危険性からAnthropicが提供先を慎重に絞っていたモデルです。
不正アクセスの手口は比較的単純なものでした。グループはまず、AI開発者向けスタートアップMercorの情報漏洩データを分析し、Anthropicが他モデルに使用しているURL形式からMythosの所在を推測しました。さらにメンバーの1人がAnthropicの契約企業での業務を通じて保有していた既存の権限を利用し、Mythosだけでなく他の未公開モデルへのアクセスも得たと報じられています。
グループはAnthropicに検知されることを避けるため、Mythosの利用を簡単なウェブサイトの構築にとどめていたとのことです。高度なハッキング技術を使わずとも、公開情報の組み合わせと既存権限の活用だけで最先端AIモデルにアクセスできた事実は、AIモデルのアクセス管理の脆弱さを浮き彫りにしています。
同週のセキュリティニュースでは、他にも重要な動きがありました。デジタル権利団体Citizen Labは、2社の監視企業が通信プロトコル「SS7」の脆弱性を悪用し、実際の標的の電話位置を追跡していたと報告しています。アメリカ司法省は東南アジアの詐欺拠点を管理していた中国人2名を起訴し、7億ドルの資金を凍結しました。
イギリスでは、UK Biobankに提供された50万人以上の医療・遺伝子データが3つの研究機関によってAlibabaで販売されていたことが判明しました。またAppleは、削除済みのSignalメッセージがiOSの通知データベースに残存し、FBIが取得可能だった脆弱性を修正するセキュリティアップデートをリリースしています。暗号化アプリを使用していても、端末に物理アクセスされればデータが取得される可能性があることを改めて示す事例です。