詳細を読む
Anthropicが発表したAIモデル「Mythos」が、あらゆるソフトウェアの脆弱性を自動的に発見できる能力を示し、サイバーセキュリティ業界に衝撃を与えています。技術的な知識を持たない「スクリプトキディ」と呼ばれるアマチュアハッカーがAIツールを活用することで、従来は不可能だった高度な攻撃を実行できるようになる懸念が急速に広がっています。
AIによる脆弱性発見能力の進歩は、Mythos以前から加速していました。2025年6月には自律型セキュリティプラットフォームXBOWがバグ報奨金プラットフォームHackerOneで人間のハッカーを上回り、同年8月のDARPA AIxCCでは複数のAIチームがDARPAが意図的に仕込んだバグだけでなく、未知のバグまで発見しました。セキュリティ研究者のTim Becker氏は、かつて数週間から数カ月かかっていた脆弱性発見が、AIツールにより数時間で可能になったと証言しています。
特に懸念されるのは、攻撃の対象範囲が飛躍的に広がる点です。サイバーセキュリティ企業Trail of BitsのCEO Dan Guido氏は、AIが侵入の途中で遭遇した未知のソフトウェアの脆弱性をリアルタイムで発見し、エクスプロイトを生成できると指摘しています。オープンウェイトモデルを使えば、悪意ある攻撃者がAnthropicやOpenAIのサーバーを経由せずに独自にAIを運用でき、監視を回避することも可能です。
一方で、過去にも自動化ツールの登場時には脅威が過大評価されたケースがあるとの指摘もあります。Security Superintelligence LabsのJoshua Saxe氏は、ツールの存在がただちに犯罪行為の増加に直結するわけではなく、攻撃者側にも組織的・人的な摩擦が存在すると述べています。ただし、脆弱性の公開からエクスプロイトコードの登場までの時間が「ほぼゼロ」に縮まっている現実は、企業のリスク対応に根本的な変化を求めています。
企業が取るべき対策として、Luta SecurityのKatie Moussouris氏はネットワークのセグメンテーション、メモリ安全なコードの採用、フィッシング耐性認証の導入といった基本的なセキュリティ対策の徹底を訴えています。同時に、AIの効率化によりセキュリティ人材が削減されている現状を危惧し、脅威ハンターやインシデント対応者の増員が必要だと主張しています。「安全なソフトウェアをそもそも構築しなければならない。インシデント対応だけではレジリエンスは実現できない」と同氏は強調しています。
Guido氏は「2026年はすべてのセキュリティ負債の返済期限だ」と警告し、企業が今すぐ対策を講じなければ年末には壊滅的な被害が生じる可能性があると述べています。AnthropicもClaude Opus 4.7で悪意あるサイバーセキュリティリクエストをブロックするセーフガードを導入するなど対策を進めていますが、防御と攻撃のスピード競争は今後さらに激化する見通しです。