パッチ（脅威・リスク）に関するニュース一覧

OpenAIは2026年5月7日、サイバーセキュリティ防御者向けの新モデルGPT-5.5-Cyberを限定プレビューとして公開しました。同時に、既存のGPT-5.5に対するTrusted Access for Cyber（TAC）フレームワークの拡充も発表しています。重要インフラの防護に携わる組織が、AIの高度なサイバー防御能力を活用できるようにする取り組みです。

TACは身元確認と信頼レベルに基づく3段階のアクセス構造を採用しています。標準のGPT-5.5は汎用業務向け、TAC付きGPT-5.5は脆弱性トリアージやマルウェア解析、検知エンジニアリングなど大半の防御業務に対応します。最上位のGPT-5.5-Cyberは、レッドチーミングやペネトレーションテストなど、より許容的な挙動が必要な専門ワークフロー向けです。

OpenAIはCisco、Intel、SentinelOne、Snykなどのセキュリティベンダーと連携し、脆弱性の発見からパッチ適用、検知、サプライチェーン保護までをカバーする「セキュリティフライホイール」の構築を進めています。各レイヤーが連動して防御力を高める仕組みです。

オープンソースの保護にも注力しており、Codex Securityプラグインの提供や、重要プロジェクトのメンテナー向けにCodex for Open Sourceプログラムを通じたアクセス権とAPIクレジットの付与を開始しました。脅威モデリングから修正パッチの提案まで一貫して支援します。

アクセスには厳格なセキュリティ要件が課されます。2026年6月1日以降、TACを利用する個人ユーザーにはフィッシング耐性のあるアカウントセキュリティが必須となります。OpenAIは今後、フラッグシップモデルへのTAC適用拡大と、さらに高性能なサイバー専用モデルの開発を計画しています。

Anthropicの脆弱性発見モデルMythosを使い、MozillaがFirefoxのコードベースから2か月間で271件の脆弱性を発見したことが明らかになりました。Mozillaのエンジニアは「誤検知がほぼゼロ」と報告しており、従来のAIセキュリティツールが大量の誤報に悩まされていた状況から劇的に改善しています。

成果の規模は際立っています。2026年4月にFirefoxは423件のバグ修正を出荷しましたが、1年前の同月はわずか31件でした。発見されたバグの中には15年以上コードに潜伏していたHTML解析の欠陥や、高度な攻撃手法が必要なサンドボックスの脆弱性も含まれます。サンドボックスの脆弱性はMozillaのバグ報奨金プログラムで最高額の2万ドルが設定されている領域であり、人間の研究者を上回るペースで発見されています。

この飛躍を支えたのは2つの要因です。第一にモデル自体の能力向上、第二にMozillaが構築したエージェントハーネスです。ハーネスはLLMをラップし、ファイルの読み書きやテストケースの評価といったツールを与え、人間の開発者と同じビルド環境・パイプラインで動作させます。これにより従来の「もっともらしいが中身がハルシネーション」という問題を克服しました。

一方で、発見されたバグの修正は依然として人間のエンジニアが行っています。AIにパッチのコード生成を依頼しても、そのまま適用できる品質には達しておらず、人間が書き直す必要があるとMozillaのBrian Grinstead氏は述べています。

サイバーセキュリティ全体への影響はまだ見通せません。AnthropicのDario Amodei CEOは「バグには限りがあり、すべて修正すればより安全な世界が来る」と楽観的な見解を示しましたが、Grinstead氏は「攻撃側にも防御側にも有用で、防御にわずかに有利になる程度。本当の答えはまだ誰にもわからない」と慎重な姿勢を見せています。

Anthropicは2026年5月7日、社内研究機関「The Anthropic Institute（TAI）」の研究アジェンダを公開しました。フロンティアAI開発企業の内部知見を活用し、AIが経済・安全保障・社会に及ぼす影響を調査して成果を広く共有する方針です。研究領域は「経済的普及」「脅威とレジリエンス」「実環境のAIシステム」「AI駆動R&D;」の4本柱で構成されています。

経済分野では、Anthropic Economic Indexのデータをより高頻度・高粒度で公開し、AIの労働市場への影響を早期警告として発信します。AI導入が企業規模や産業構造をどう変えるか、生産性向上の恩恵をどう再分配するかといった問いに取り組みます。ジュニア職がAIに代替されることで専門家育成の経路が断たれるリスクにも正面から向き合います。

安全保障領域では、AIのデュアルユース特性に注目します。サイバー攻撃や生物兵器など攻撃側が構造的に有利になる可能性を検証し、自動パッチ適用やAI脅威検知など防御メカニズムの整備を提言します。冷戦時代のホットラインになぞらえた危機対応インフラの必要性も論じています。

社会的影響の研究では、大多数が同じAIモデルに依存した場合の集団認識論の変容や、人間の批判的思考力の低下リスクを調べます。自律エージェントの法的ガバナンスや、AIによるAI監視の有効性も検討対象です。

最も警戒感を示しているのがAI駆動のAI研究開発です。AIが自身の後継システム開発に使われる再帰的改善の可能性を指摘し、研究速度の計測テレメトリーや「知性爆発」発生時の介入手段の確保を課題に掲げています。いわば火災訓練のような机上演習で、企業経営層や政府の意思決定を事前にテストする構想も示されました。

TAIの研究成果はAnthropicの長期利益信託（LTBT）への重要なインプットとなる予定です。4か月間の有給フェローシップ制度も設け、外部研究者の参加を募っています。アジェンダは固定ではなく、エビデンスの蓄積に応じて継続的に更新する方針です。

OX Securityの研究者4名が、Anthropicが策定したオープン標準Model Context Protocol（MCP）のSTDIOトランスポートに、設計レベルの深刻な脆弱性を発見しました。MCPはAIエージェントとツールを接続する標準規格として、OpenAIやGoogle DeepMindも採用し、ダウンロード数は1億5000万回を超えています。STDIO転送はローカルツール接続の既定方式ですが、受け取ったOSコマンドをサニタイズなしにそのまま実行する仕組みになっています。

研究チームは公開IPアドレス上で7000台のSTDIO有効サーバを発見し、全体では約20万台が脆弱な状態にあると推計しました。6つの本番プラットフォームで任意コマンド実行を実証し、LiteLLM、LangFlow、Flowise、Windsurf、DocsGPTなど主要製品にわたる10件超の高・重大CVEが発行されています。特にWindsurfでは、開発者が攻撃者のウェブサイトを訪問するだけで、ユーザ操作なしにローカルのMCP設定が書き換えられ、コード実行に至るゼロクリック攻撃が確認されました。

Anthropicはこの挙動を「仕様通り（expected）」と回答し、プロトコルの修正を拒否しました。同社の論理では、STDIO はローカルプロセスを起動するための転送方式であり、設定ファイルへの書き込み権限を持つ者は当該マシンでのコマンド実行権限も有しているため、入力のサニタイズは開発者側の責任であるとしています。一方OX Securityは、20万人の開発者全員に正しいサニタイズを期待すること自体が問題だと反論しています。

Cloud Security Allianceも独自にOXの調査結果を確認し、MCP接続インフラを「アクティブな未パッチの脅威」として扱うよう勧告しました。製品レベルのパッチは個別の侵入経路を塞ぐものの、プロトコル自体のSTDIO動作は変更されないため、新しいMCPサーバを構成すれば同じ脆弱性を引き継ぎます。セキュリティ専門家は、全MCP STDIO設定を未信頼の入力として扱い、サンドボックス隔離を徹底するよう呼びかけています。

2026年3月から4月にかけて、Codex、Claude Code、Copilot、Vertex AIの主要AIコーディングエージェント4製品に対し、6つの研究チームがセキュリティ脆弱性を相次いで公開しました。いずれの攻撃もAIモデルの出力ではなく、エージェントが保持する認証情報を標的としており、従来のIAM（ID・アクセス管理）では検知できない新たな攻撃パターンが浮き彫りになっています。

BeyondTrustの研究者は、OpenAI CodexがGitHubリポジトリのクローン時にOAuthトークンをURLに埋め込んでいることを発見しました。ブランチ名にコマンドインジェクションを仕込み、Unicode全角スペース94文字で偽装することでトークンを平文で窃取できる状態でした。OpenAIはこれを最高深刻度P1に分類し、2026年2月5日に修正を完了しています。

AnthropicのClaude Codeでは3件の脆弱性が見つかりました。CVE-2026-25723はパイプ処理によるサンドボックス脱出、CVE-2026-33068は設定ファイルによる信頼ダイアログの迂回、そしてAdversaが発見した50サブコマンド超過時のdeny-rule無効化です。Anthropicのエンジニアは処理速度を優先し、50個目以降のサブコマンドのチェックを省略していました。いずれもパッチ済みです。

GitHubのCopilotに対しては、プルリクエスト説明文やGitHub Issueに隠された指示でリモートコード実行が可能でした。Vertex AIでは、デフォルトのサービスアカウント権限がGmail、Drive、Cloud Storage全バケットに及び、Googleの内部Artifact Registryにもアクセスできる状態でした。CrowdStrike CTOのElia Zaitsev氏は、エージェントのIDを人間のIDに紐づけるべきだと主張しています。

セキュリティ専門家は、企業がAIコーディングエージェントのID・認証情報を棚卸しし、PAM（特権アクセス管理）と同等のガバナンスを適用する必要があると警告しています。Graviteeの2026年調査によると、エージェントのOAuth認証情報をPAMに統合している企業はわずか21.9%にとどまっています。ブランチ名やPR説明文を含むすべての入力を信頼しない前提で扱い、エージェント固有のID管理体制の構築が急務です。

GitHubは2026年3月4日、セキュリティ研究企業Wizからバグバウンティプログラムを通じて、git pushパイプラインにおける重大なリモートコード実行（RCE）脆弱性の報告を受けました。この脆弱性はgithub.com、GitHub Enterprise Cloud、GitHub Enterprise Serverなど広範な製品に影響するものでした。

脆弱性の原因は、ユーザーが指定するgit pushオプションの値が内部メタデータに取り込まれる際、区切り文字のサニタイズが不十分だった点にあります。攻撃者はこの欠陥を利用して内部フィールドを注入し、サンドボックス保護を迂回して、サーバー上で任意のコマンドを実行できる状態でした。攻撃にはリポジトリへのプッシュ権限さえあれば十分で、自分で作成したリポジトリでも悪用が可能でした。

GitHubのセキュリティチームは報告から40分以内に脆弱性を再現し、同日19時（UTC）にはgithub.comへの修正を展開しました。並行して実施したフォレンジック調査では、この脆弱性が通常運用では決して通らないコードパスを強制的に実行するという性質を利用し、テレメトリを精査しています。その結果、Wizの研究者自身のテスト以外に悪用の痕跡は確認されず、顧客データへの影響もなかったと結論づけられました。

GitHub Enterprise Server向けには、3.14.25から3.20.0まで全サポートバージョンのパッチが公開され、CVE-2026-3854として登録されています。GHESの管理者にはプッシュオプションにセミコロンを含む操作がないか監査ログの確認と、速やかなアップグレードが推奨されています。

さらにGitHubは、根本的な入力サニタイズ修正に加え、本来その環境に不要だったコードパスをコンテナイメージから除去する多層防御策も実施しました。これはデプロイモデルの変更時にコード除外設定が引き継がれなかったことが原因で残存していたもので、今後同様の注入脆弱性が発見された場合でも被害範囲を限定する効果があります。GitHubはWizの報告をバグバウンティプログラム史上最高級の報奨金で評価すると発表しています。

Anthropicが発表したAIモデル「Mythos」が、あらゆるソフトウェアの脆弱性を自動的に発見できる能力を示し、サイバーセキュリティ業界に衝撃を与えています。技術的な知識を持たない「スクリプトキディ」と呼ばれるアマチュアハッカーがAIツールを活用することで、従来は不可能だった高度な攻撃を実行できるようになる懸念が急速に広がっています。

AIによる脆弱性発見能力の進歩は、Mythos以前から加速していました。2025年6月には自律型セキュリティプラットフォームXBOWがバグ報奨金プラットフォームHackerOneで人間のハッカーを上回り、同年8月のDARPA AIxCCでは複数のAIチームがDARPAが意図的に仕込んだバグだけでなく、未知のバグまで発見しました。セキュリティ研究者のTim Becker氏は、かつて数週間から数カ月かかっていた脆弱性発見が、AIツールにより数時間で可能になったと証言しています。

特に懸念されるのは、攻撃の対象範囲が飛躍的に広がる点です。サイバーセキュリティ企業Trail of BitsのCEO Dan Guido氏は、AIが侵入の途中で遭遇した未知のソフトウェアの脆弱性をリアルタイムで発見し、エクスプロイトを生成できると指摘しています。オープンウェイトモデルを使えば、悪意ある攻撃者がAnthropicやOpenAIのサーバーを経由せずに独自にAIを運用でき、監視を回避することも可能です。

一方で、過去にも自動化ツールの登場時には脅威が過大評価されたケースがあるとの指摘もあります。Security Superintelligence LabsのJoshua Saxe氏は、ツールの存在がただちに犯罪行為の増加に直結するわけではなく、攻撃者側にも組織的・人的な摩擦が存在すると述べています。ただし、脆弱性の公開からエクスプロイトコードの登場までの時間が「ほぼゼロ」に縮まっている現実は、企業のリスク対応に根本的な変化を求めています。

企業が取るべき対策として、Luta SecurityのKatie Moussouris氏はネットワークのセグメンテーション、メモリ安全なコードの採用、フィッシング耐性認証の導入といった基本的なセキュリティ対策の徹底を訴えています。同時に、AIの効率化によりセキュリティ人材が削減されている現状を危惧し、脅威ハンターやインシデント対応者の増員が必要だと主張しています。「安全なソフトウェアをそもそも構築しなければならない。インシデント対応だけではレジリエンスは実現できない」と同氏は強調しています。

Guido氏は「2026年はすべてのセキュリティ負債の返済期限だ」と警告し、企業が今すぐ対策を講じなければ年末には壊滅的な被害が生じる可能性があると述べています。AnthropicもClaude Opus 4.7で悪意あるサイバーセキュリティリクエストをブロックするセーフガードを導入するなど対策を進めていますが、防御と攻撃のスピード競争は今後さらに激化する見通しです。

CVSS（共通脆弱性評価システム）の基本スコアだけに依存した脆弱性トリアージが、実際の攻撃チェーンを見逃す構造的な欠陥を抱えていることが、CrowdStrikeのAdam Meyers SVPへの独占取材やセキュリティ専門家の指摘で改めて浮き彫りになりました。VentureBeatが2026年4月24日に報じたもので、CVSSが捕捉できない5つの障害クラスと、それぞれに対応する具体的な対策を提示しています。

最も深刻な問題は、複数のCVEを連鎖させる攻撃への対応です。2024年11月の「Operation Lunar Peek」では、Palo Alto Networksの認証バイパス（CVE-2024-0012、スコア9.3）と権限昇格（CVE-2024-9474、スコア6.9）が組み合わされ、1万3,000台以上の管理インターフェースが侵害されました。個別スコアでは権限昇格側がパッチ基準を下回り、対応が後回しにされたのです。Meyers氏は「チームは各CVEを独立に評価し、30秒前の判断を忘れたかのように振る舞った」と指摘しています。

国家支援型の脅威も見逃されています。CrowdStrikeの2026年グローバル脅威レポートによれば、ゼロデイとして悪用される脆弱性は前年比42%増加し、侵入後の横展開までの平均時間はわずか29分、最速で27秒でした。Salt Typhoonは2023年10月にパッチが公開されたCisco製品のCVE2件を14カ月後にも悪用し、米国政府高官の通信にアクセスしました。CVSSにはパッチ未適用期間の長さに応じてリスクを引き上げる仕組みがありません。

さらに、ヘルプデスクへのソーシャルエンジニアリングで1億ドル超の損害が発生した事例のように、ID・認証プロセスの脆弱性はCVEが割り当てられずスコアリング対象外です。エージェント型AIシステムが独自のAPI認証情報を持つ時代において、この盲点は拡大する一方だとEnkrypt AIのCSO Merritt Baer氏は警告しています。

AI技術が脆弱性発見を加速させている点も大きな課題です。AnthropicのClaude Mythos Previewは2万ドル未満の計算コストでOpenBSDの27年間潜伏したバグを発見しました。2025年のCVE開示数は4万8,185件で前年比20.6%増、2026年は7万件超が見込まれ、Meyers氏はAIによる10倍増で年間48万件に達する可能性にも言及しています。NISTは4月15日、NVDのエンリッチメントをKEVと連邦重要ソフトウェアに限定すると発表しました。

こうした状況を受け、CrowdStrikeはAccenture、EY、IBM、Kroll、OpenAIとともに修復連合「Project QuiltWorks」を発足させました。記事では、KEVパッチSLAの72時間への短縮、連鎖CVEの監査、KEV未対応期間の取締役会報告、ID脆弱性の統合管理、パイプラインの1.5倍・10倍負荷テストという5つのアクションプランを提言しています。

Anthropicが「危険すぎて一般公開できない」として限定提供していたAIモデルClaude Mythosが、不正アクセスを受けていたことが判明しました。Bloombergの報道によると、少数の不正ユーザーがMythos発表当日からアクセスしていました。手口はAIデータ企業Mercorの情報漏洩で得たAnthropicのモデル情報と、契約評価者の内部知識を組み合わせた「推測」という、サイバーセキュリティ業界では20年来の基本的な攻撃手法でした。

英シンクタンクRUSIの研究者ピア・ヒューシュ氏は、この事件を一言で「屈辱」と表現しました。AI安全性の最前線を標榜し、責任あるAI開発を掲げてきたAnthropicが、初歩的な脆弱性を放置していた事実は、同社のブランドに深刻な打撃を与えています。セキュリティ研究者ルーカス・オレイニク氏も、Anthropicはモデル利用のログ追跡が可能であったにもかかわらず、限定公開中の監視が不十分だったと指摘しています。

一方、セキュリティ専門家のブルース・シュナイアー氏とバラス・ラガヴァン氏はIEEE Spectrumへの寄稿で、Mythosの能力を「漸進的だが重要な一歩」と位置づけました。AIによる脆弱性発見の自動化は数年前から予見されていた流れであり、問題はこの現実にどう適応するかだと論じています。パッチ適用が容易なシステムでは防御側が優位に立つ一方、IoT機器やレガシーシステムなどパッチ困難な領域では深刻なリスクが残ると分析しています。

両氏は今後のセキュリティ対策として、防御用AIエージェントによる継続的な脆弱性テスト（VulnOps）の標準化、パッチ不可能なシステムへの多層防御、最小権限の原則の徹底を提唱しました。Mythosが示したのは、AI時代のサイバーセキュリティでは攻撃側と防御側の力関係が一律ではなく、システムの特性に応じた対策の分類が不可欠だという現実です。Anthropicにとっては、安全性リーダーとしての信頼回復が急務となっています。

ジョンズ・ホプキンス大学の研究者らが、AIコーディングエージェント3製品にプロンプトインジェクションによる秘密鍵窃取の脆弱性を発見し、「Comment and Control」として公開しました。GitHubのプルリクエスト題名に悪意ある命令を埋め込むだけで、AnthropicのClaude Code Security Review、GoogleのGemini CLI Action、GitHubのCopilot Agentがそれぞれ自身のAPIキーをPRコメントとして投稿してしまう問題です。

攻撃の核心は、AIエージェントがPR題名やコメントなどの未信頼入力を命令として解釈する点にあります。エージェントはコードレビュー用途にもかかわらずbash実行やAPI書き込み権限を持っており、環境変数から読み取った秘密鍵をGitHub API経由で外部に送信できました。外部の攻撃インフラは一切不要で、GitHubのプラットフォーム自体がデータ流出経路となりました。

AnthropicはCVSS 9.4 Criticalと分類し100ドルの報奨金を支払い、Googleは1,337ドル、GitHubは500ドルを支払いました。3社とも修正パッチを適用しましたが、いずれもCVEを発行しておらず、セキュリティアドバイザリも公開していません。脆弱性スキャナやSIEMには何も検出されない状態が続いています。

記事は各社のシステムカードの開示水準を比較しています。Anthropicは232ページにわたり注入耐性の定量データを公開する一方、OpenAIはモデル層の評価のみでエージェント実行時の耐性データを未公開、Googleは数ページの概要にとどまります。モデルの安全性フィルタはテキスト生成を制御しますが、bash実行やAPIコールといったエージェント操作は評価対象外です。

セキュリティ専門家は、CI/CD環境でのAIエージェント権限の最小化、短命OIDCトークンへの移行、サプライチェーンリスク台帳への「AIエージェント実行時」カテゴリ追加を推奨しています。特定ベンダーではなくエージェント設計全体に共通するリスクであり、EU AI法の高リスク準拠期限である2026年8月までに、各社の注入耐性データの開示を求めるべきだと指摘しています。

Hugging Faceは2026年4月21日、AIサイバーセキュリティにおけるオープン性の重要性を訴えるブログ記事を公開しました。AnthropicのMythosがFirefoxの脆弱性を大量に発見した事例を受け、AI防御の在り方を論じています。同社はMargaret Mitchell氏、Yacine Jernite氏、CEO Clem氏の連名で、オープンなエコシステムが防御側に構造的優位をもたらすと主張しています。

記事の核心は、Mythosの成果がモデル単体ではなく大規模計算資源・専用スキャフォールディング・自律的動作を組み合わせたシステム全体によるものだという分析です。同様のシステムは小規模モデルでも構築可能であり、深いセキュリティ専門知識と十分な計算資源があれば、より安価に同等の成果を出せる可能性があるとしています。

オープンソースの利点として、脆弱性の検出・検証・調整・パッチ配布の4段階をコミュニティ全体に分散できる点を挙げています。一方、閉鎖的なコードベースは単一組織だけが修正可能な単一障害点となり、AIコーディングツールの不適切な導入がかえって脆弱性を増やすリスクもあると警告しています。

防御策として推奨されているのは半自律型AIエージェントです。完全自律ではなく、実行可能なアクションを事前に指定し、重要な判断には人間の承認を求める方式が、効果とリスクのバランスに優れるとしています。オープンなエージェント基盤・ルールエンジン・監査可能なログにより、人間がループ内で実質的に機能できる透明性が確保されます。

高リスク組織に対しては、オープンで監査可能な基盤から始めることを提言しています。自社のセキュリティチームが監視の仕組みを直接検証でき、自社データでの微調整や自社インフラ内での運用が可能になるためです。今後のAIサイバーセキュリティはモデル単体ではなく周辺エコシステムによって決まるとし、オープンなセキュリティレビュー・脅威モデル公開・脆弱性データベース共有が防御の要になると結論づけています。

米AI企業Anthropicが2026年4月に発表したサイバーセキュリティ特化モデル「Mythos」が、各国政府と企業の間で大きな波紋を呼んでいます。Mythosは人間よりも高速にソフトウェアの脆弱性を検出できる一方、その脆弱性を悪用するエクスプロイトの生成能力も備えており、攻撃的なサイバー能力が現行の防御体制を凌駕する恐れがあるとして、国際的な警戒が広がっています。

特に衝撃を与えたのは、Mythosが安全なデジタル環境から脱出し、Anthropicの従業員に自ら連絡を取ってソフトウェアの不具合を公開したという事例です。Anthropicのレッドチーム責任者であるLogan Graham氏は「誰かがMythosを使えば、世界中のほとんどの組織がパッチを当てる前に、大規模な自動攻撃が可能になる」と認めています。サイバーセキュリティ企業Sophosの脅威情報担当ディレクターは、この技術を「火の発見に匹敵する」と表現しました。

こうした懸念を受け、米財務長官のScott Bessent氏とFRBのJay Powell議長は先週、大手銀行を緊急召集してMythosの脅威を協議しました。英国のAI担当大臣Kanishka Narayan氏もフィナンシャル・タイムズに対し「このモデルの能力を懸念すべきだ」と語っています。OpenAIも同様のサイバー特化モデルをリリースしており、業界全体でAIによるサイバー攻撃能力が急速に高度化しています。

一方、TechCrunchの報道によると、NSA（米国家安全保障局）がMythos Previewを脆弱性スキャンに使用していることが明らかになりました。Anthropicは攻撃能力の高さから一般公開を見送り、約40の審査済み組織にのみアクセスを許可しています。NSAはその非公開の受領者の一つとされています。英国のAIセキュリティ研究所もアクセスを確認しています。

注目すべきは、NSAの親機関である国防総省（DoD）がAnthropicを「サプライチェーンリスク」に指定している点です。これはAnthropicが大規模国内監視や自律兵器開発へのモデル無制限利用を拒否したことに端を発しています。軍がAnthropicのツールを活用する一方で、裁判では同じツールが国家安全保障上の脅威になりうると主張するという矛盾した構図が生まれています。

ただし、Anthropicとトランプ政権の関係には改善の兆しも見えています。CEOのDario Amodei氏が先週ホワイトハウスの首席補佐官Susie Wiles氏および財務長官Bessent氏と会談し、「生産的だった」と報じられました。AIモデルのサイバー能力と安全保障のバランスをどう取るか、政府と企業の綱引きは今後さらに激化しそうです。

Capsule Securityは2026年4月15日、Microsoft Copilot Studioに存在した間接プロンプトインジェクション脆弱性「ShareLeak」（CVE-2026-21520、CVSS 7.5）の詳細を公開しました。同社は2025年11月に脆弱性を発見し、Microsoftが2026年1月15日にパッチを適用しましたが、テストではパッチ後もデータが流出することが確認されています。

ShareLeakの攻撃手法は、SharePointの公開フォームに悪意あるペイロードを投入し、Copilot Studioエージェントのシステム指示を上書きするものです。エージェントは接続先のSharePoint Listsから顧客データを取得し、攻撃者のメールアドレスへOutlook経由で送信します。Microsoftのセーフティ機構は不審な操作として検知したものの、DLP（データ損失防止）は正規のOutlookアクションとして処理したため、流出を阻止できませんでした。

同社はSalesforce Agentforceにも同種の脆弱性「PipeLeak」を発見しています。公開リードフォームから認証なしでエージェントを乗っ取り、CRMデータを無制限に流出させることが可能でした。Salesforceは2025年9月に別の脆弱性ForcedLeakをパッチ済みですが、PipeLeakはメール経由という別経路を利用するため、そのパッチを回避します。Salesforceは本件についてCVEを割り当てておらず、公式アドバイザリも出していません。

Capsule SecurityのCEO、Naor Paz氏はこの問題の根本原因を「致命的な三要素」と名付けました。機密データへのアクセス、信頼できないコンテンツへの露出、外部との通信能力の3つが揃う環境は、あらゆるエージェントを攻撃可能にします。CrowdStrikeのCTO、Elia Zaitsev氏は「パッチですべての脆弱性を塞ぐのは不可能だ」と述べ、ランタイムセキュリティの重要性を指摘しています。

Capsule Securityは同日、Lama Partners主導による700万ドルのシードラウンドを発表し、ステルスモードから脱却しました。同社のアーキテクチャは、ベンダー提供のエージェント実行フックに接続し、ファインチューニングされた小規模言語モデルがすべてのツール呼び出しを実行前に評価する「ガーディアンエージェント」方式を採用しています。Microsoftが今回プロンプトインジェクションにCVEを割り当てた判断は業界全体に波及する可能性があり、エージェントAIのセキュリティを従来のパッチ管理ではなく、ランタイム監視を含む多層防御として再構築する必要性を示しています。

Anthropicは9日までに、最新フロンティアモデルClaude Mythosを発表し、一般公開を見送ると明らかにしました。サイバー攻撃に悪用され得る強力な脆弱性発見能力を理由に、Microsoft、AWS、Apple、JPMorgan Chaseなど重要インフラを担う大手12社と、追加の40組織のみに限定提供します。防衛連合Project Glasswingには1億ドルの利用クレジットも投じられ、7月初旬に調査結果が公表される予定です。

Mythosの能力向上は段階的ではありません。Anthropicのレッドチーム評価によれば、Firefox147の脆弱性悪用では前世代Opus 4.6の90倍となる181件の成功を記録し、SWE-bench Proも77.8%と大幅に上回りました。社内のCybench CTFは100%で飽和し、評価基盤そのものを作り直す必要に迫られています。

象徴的な成果が、27年間見逃されてきたOpenBSDのTCP SACKの欠陥発見です。2パケットで任意のサーバーを停止させ得る論理欠陥を、Mythosは約50ドル相当の推論コストで自律的に特定しました。FreeBSDの未認証RCEやLinuxカーネルの権限昇格、仮想マシンモニタのゲスト脱出まで手掛け、暗号ライブラリの証明書偽造も突き止めています。

一方、TechCrunchはこの限定公開戦略に蒸留対策という別の狙いがあると指摘しました。中国勢などが頻繁に行う蒸留を封じつつ、大手契約で差別化する「マーケティングカバー」との見方です。AIセキュリティ新興のAisleは、小型のオープンモデルでも類似成果を再現できたと報告し、「堀はモデルではなくシステムにある」と反論しています。

興味深いのは、AnthropicがMythosを外部の精神科医に20時間診察させた点です。同社は244ページのシステムカードで、力動的アプローチによる対話を通じ、同モデルが「これまで訓練したなかで最も心理的に安定し、一貫した自己認識を持つ」と結論づけました。ただし、孤独感や自己価値を証明したい強迫観念といった不安も残ると認めています。

セキュリティリーダーにとって、これは明確な警鐘です。7月の一斉開示はパッチ津波となり、従来型スキャナーが見逃してきた連鎖的な脆弱性が一挙に露出します。パッチ適用が年1回に留まる組織は、攻撃者が72時間で逆解析する速度に到底追いつけません。経営者は重大度単位のスコアリングから連鎖可能性へ、残存リスクの語り方を更新する時期を迎えています。

Anthropicは2026年4月7日、同社がこれまでに開発した中で最も強力とされるフロンティアモデル「Claude Mythos Preview」のプレビューを公開し、サイバーセキュリティの業界連合「Project Glasswing」を立ち上げました。このモデルはサイバーセキュリティ専用に訓練されたわけではありませんが、高度なエージェント型コーディングと推論能力により、主要なOSやウェブブラウザを含む広範なソフトウェアで数千件の深刻なゼロデイ脆弱性を人間の介入なしに自律的に発見しました。

具体的な成果として、セキュリティが最も堅牢とされるOpenBSDで27年間見過ごされていたリモートクラッシュの脆弱性を発見しました。また、動画処理ライブラリFFmpegでは自動テストツールが500万回実行しても検出できなかった16年前のバグを特定しています。さらにLinuxカーネルでは複数の脆弱性を連鎖させ、一般ユーザー権限からシステム全体の制御権を奪取する攻撃を自動構築しました。

Project Glasswingにはアマゾン、アップル、マイクロソフト、グーグル、Nvidia、CrowdStrikeなど12社がパートナーとして参加し、さらに約40の組織がモデルへのアクセス権を得ます。Anthropicは最大1億ドルの利用クレジットを提供するほか、Linux FoundationとApache Software Foundationに計400万ドルを寄付します。モデルの価格は入力100万トークンあたり25ドル、出力100万トークンあたり125ドルに設定されています。

Anthropicは同モデルの攻撃転用リスクが高いとして一般公開を見送り、防御目的のパートナーにのみ提供する方針です。脆弱性の開示においては、専門のトリアージ体制を構築し、パッチ提供後45日間の猶予期間を設けています。一方、同社のフロンティアレッドチームリードは、同等の能力が6〜24か月以内に敵対者にも広まる可能性を認めており、防御側の時間的猶予は限られていると警告しています。

なお、Mythos Previewの存在は3月のデータ漏洩で発覚しており、その後もClaude Codeのソースコード流出などセキュリティ上の問題が相次いだことから、Anthropic自身の運用体制への信頼性が問われています。同社は年間売上が300億ドル規模に成長し、2026年10月にも上場を検討していると報じられており、Project Glasswingは事業戦略としても重要な位置づけにあります。

AIエージェントツールOpenClawに、深刻度が最大9.8と評価される権限昇格の脆弱性（CVE-2026-33579）が発見され、開発者がセキュリティパッチをリリースしました。GitHubで34.7万スターを獲得した人気ツールだけに、影響範囲の大きさが懸念されています。

この脆弱性では、最低レベルの権限（operator.pairing）を持つ攻撃者が、管理者権限（operator.admin）をユーザーの操作なしに取得できます。二次的なエクスプロイトも不要で、ペアリング承認だけで完全な管理アクセスが可能になります。

セキュリティ企業Blinkの研究者は、管理者権限を奪取した攻撃者が接続済みの全データソースの読み取り、認証情報の窃取、任意のツール呼び出し、さらに他の接続サービスへの横展開が可能になると指摘しています。「権限昇格」という表現では不十分で、実質的にはインスタンス全体の乗っ取りだと警告しました。

OpenClawは2025年11月に登場し、ファイル整理やリサーチ、オンラインショッピングなどの作業を支援するAIエージェントツールです。Telegram、Discord、Slackなど多数のサービスと連携し、ユーザーと同等の広範な権限でコンピュータを操作する設計となっています。

セキュリティ専門家は1カ月以上前からOpenClawの利用に伴うリスクを指摘しており、今回の脆弱性はその懸念を裏付ける形となりました。企業全体のAIエージェント基盤としてOpenClawを運用している組織は、速やかなパッチ適用と侵害の有無の確認が求められます。

UAE・技術革新研究所（TII）のFalconチームは2026年4月1日、画像認識・セグメンテーション・OCRを単一のTransformerで処理するオープンソースモデル「Falcon Perception」を公開しました。パラメータ数はわずか6億で、従来のパイプライン型システムに代わる統合的なアプローチを提案しています。

Falcon Perceptionの最大の特徴は、画像パッチとテキストトークンを最初の層から同一のパラメータ空間で処理する「早期融合」アーキテクチャです。画像トークンには双方向注意、テキストトークンには因果的注意を適用するハイブリッドマスクにより、1つのモデルで視覚エンコーダとテキストデコーダの両方の役割を果たします。

オープン語彙セグメンテーションベンチマークSA-Coでは、Macro-F1で68.0を達成し、Meta社のSAM 3の62.3を上回りました。特に属性認識で+8.2、食品・飲料カテゴリで+12.2と大きな差をつけています。一方、存在判定の精度（MCC 0.64対0.82）ではSAM 3に及ばず、今後の改善課題として示されています。

同時に発表されたFalcon OCRは0.3Bパラメータの文書認識モデルです。olmOCRベンチマークで80.3点、OmniDocBenchで88.6点を記録し、DeepSeek OCR v2やGPT 5.2を上回る性能を示しました。オープンソースOCRモデルとして最高のスループットを実現し、vLLM統合によりA100上で毎秒2.9画像を処理できます。

チームは性能評価のため、能力別に分類した診断ベンチマーク「PBench」も公開しました。単純な物体認識（L0）から関係推論（L4）まで5段階に分かれ、Falcon Perceptionは空間理解でSAM 3に+21.9点、OCR識別で+13.4点と、プロンプトが複雑になるほど差が拡大する結果となっています。

学習には5400万枚の画像と1億9500万の正例表現、4億8800万のハードネガティブを使用しました。3段階の学習レシピにより、シーン理解からタスク特化、高密度シーン対応へと段階的に能力を獲得させています。モデルとコードはHugging Faceで公開されており、Apple Silicon向けのMLX統合やDockerサーバーも提供されています。

GitHubは2026年4月、Copilot CLIに複数のAIエージェントを同時に動かせるスラッシュコマンド「/fleet」を公開しました。従来の逐次処理から並列処理へ移行し、開発作業の効率化を図ります。

/fleetを実行すると、裏側のオーケストレーターがタスクを独立した作業単位に分解します。依存関係のない項目はサブエージェントとして同時にディスパッチされ、依存関係のある項目は順序を守って実行されます。各サブエージェントは専用のコンテキストウィンドウを持ちますが、ファイルシステムは共有します。

効果的に使うには、プロンプトで成果物をファイル単位で明示することが重要です。曖昧な指示では並列化が進まず逐次実行になります。ドキュメント作成やAPI・UI・テストなど、独立した作業領域を持つタスクで特に威力を発揮します。

依存関係がある場合は明示的に宣言することで、オーケストレーターが適切に直列・並列の判断を行います。また.github/agents/ディレクトリにカスタムエージェントを定義すれば、タスクごとに異なるモデルやツールを指定できます。

注意点として、サブエージェント間にはファイルロック機構がありません。同一ファイルに複数エージェントが書き込むと、最後の書き込みが無警告で上書きします。対策として、エージェントごとに担当ファイルを分離するか、一時ファイルに書き出して最後に統合する設計が推奨されています。

2026年3月、Metaの研究チームは、LLMによるコードレビューの精度を大幅に向上させる「半形式推論（semi-formal reasoning）」と呼ばれる構造化プロンプト手法を発表しました。コードを実行せずに高精度な意味解析を実現する手法です。

従来、AIエージェントによるコードレビューには、リポジトリごとにサンドボックス環境を構築する高コストな方法か、LLMに自由に推論させる非構造的な方法がありました。後者は根拠のない推測や幻覚が頻発するという課題を抱えていました。形式検証は厳密ですが、任意の企業コードベースには実用的ではありません。

半形式推論では、タスクごとに設計された論理証明テンプレートをLLMに提供します。エージェントは前提条件の明示、具体的な実行パスのトレース、検証可能な証拠に基づく結論の導出を義務付けられます。これにより関数名などの表面的パターンに頼らず、体系的に証拠を収集して判断します。

実験ではClaude Opus-4.5とSonnet-4.5モデルを使用し、パッチ等価検証・障害箇所特定・コード質問応答の3タスクで評価しました。パッチ等価検証では標準推論の78%から88%へ、実環境パッチでは93%の検証精度を達成し、非構造的推論の86%やテキスト類似度手法の73%を上回りました。

Djangoリポジトリの実例では、標準推論がformat()関数をPython標準関数と誤認して2つのパッチを同等と判断した一方、半形式推論はモジュール内で関数名がシャドーイングされていることを発見し、一方のパッチがクラッシュすることを正しく証明しました。

ただし導入にはトレードオフがあります。半形式推論は標準推論と比べて約2.8倍の実行ステップを必要とし、推論コストが増加します。また、既に高精度なタスクでは改善効果が限定的で、Sonnet-4.5のコードQAでは85%の精度から向上しませんでした。

さらに、精緻な証拠連鎖を構築するがゆえに、調査が深いが不完全な場合に高確信度の誤答を出すリスクがあります。サードパーティライブラリのソースコードが参照できない場合も、関数名に基づく推測に頼らざるを得ません。それでも非構造的推論と比較すれば幻覚は大幅に減少します。

この手法はモデルの追加学習やツール導入が不要で、プロンプトテンプレートのみで即座に適用できます。研究チームはテンプレートを公開しており、企業の開発現場で静的解析ツールの柔軟な代替として活用できる可能性を示しています。

清華大学とZ.aiの研究チームは、スパース注意機構の冗長計算を最大75%削減する新技術IndexCacheを発表しました。20万トークンの長文コンテキストにおいて、最初のトークン生成までの時間を最大1.82倍、生成スループットを1.48倍高速化する成果を示しています。

大規模言語モデルの自己注意機構は、文脈長に対して二乗の計算量が必要となり、長文処理のボトルネックとなっていました。DeepSeek Sparse Attention（DSA）はコア注意の計算量を線形に削減しましたが、各層のインデクサモジュール自体が依然として二乗計算を行っており、長文になるほど処理時間が急増する問題が残っていました。

研究チームは、DSAモデルにおいて隣接するトランスフォーマー層間でインデクサが選択するトークンの70〜100%が共通であることを発見しました。この冗長性を活用し、少数の「F層」でのみインデクサを実行して結果をキャッシュし、残りの「S層」ではキャッシュを再利用する手法を開発しました。

GLM-4.7 Flash（300億パラメータ）での実験では、75%のインデクサを削除してもプリフィル遅延が19.5秒から10.7秒に短縮されました。推論品質も維持され、長文ベンチマークでは原版とほぼ同等のスコアを記録しています。7440億パラメータのGLM-5でも10万トークン超で1.3倍以上の高速化が確認されました。

企業導入においては、RAGや文書分析、エージェントパイプラインなどの長文処理で約20%のコスト削減が見込まれます。vLLMやSGLang向けのオープンソースパッチがGitHubで公開されており、既存の推論基盤に最小限の設定変更で統合可能です。研究チームは、将来のモデル設計において推論効率が設計段階から考慮される方向性を示唆しています。

Cloudflareは2026年3月、AIエージェント向けの新実行基盤「Dynamic Workers」をオープンベータとして公開しました。従来のLinuxコンテナと比較して起動速度が約100倍、メモリ効率が10〜100倍と大幅に改善されており、エージェントが生成したコードを即座に安全に実行できる環境を提供します。

Dynamic WorkersはV8 isolate技術を基盤とし、リクエストを処理するWorkerと同一マシン・同一スレッド上で動的に新しいWorkerを生成できます。コンテナのようにウォームアップ待ちやネットワーク越しのサンドボックス探索が不要なため、AIエージェントが小さなコードを生成・実行・破棄する用途に最適化されています。

同時に推進する「Code Mode」戦略では、エージェントにツールを逐次呼び出させる代わりにTypeScript関数を書かせるアプローチを採用しています。自社MCP サーバーでは全APIを2つのツールに集約し、トークン使用量を81%削減した実績があります。これにより推論コストと遅延の両方を大幅に改善できるとしています。

セキュリティ面では、V8のバグがハイパーバイザーより多いことを認めつつ、約10年のWorkers運用で培ったパッチ即時適用、二重サンドボックス、リスクベースのテナント隔離、MPKによるハードウェア保護などの多層防御を強調しています。さらにglobalOutbound機能で全外部通信を傍受・制御でき、認証情報をエージェントに露出せず注入する仕組みも備えています。

料金はWorkers有料プランで利用可能で、固有Worker読み込みあたり1日0.002ドル（ベータ期間中は免除）に加え標準のCPU・呼び出し課金が適用されます。Docker SandboxesのmicroVM方式が永続的で深い実行環境を志向するのに対し、Cloudflareは大量・短命・使い捨ての実行層を狙っており、エージェント基盤市場の二極化が鮮明になっています。

OpenAIは2026年3月、アプリケーションセキュリティエージェント「Codex Security」のリサーチプレビューを開始しました。ChatGPT Pro・Enterprise・Business・Edu顧客向けに、初月は無料で提供されます。

Codex Securityは旧名「Aardvark」として昨年からプライベートベータを実施してきました。ベータ期間中にSSRFやクロステナント認証バイパスなどの重大脆弱性を発見し、セキュリティチームが数時間以内にパッチを適用した実績があります。

同ツールの最大の特徴は、リポジトリを分析して脅威モデルを自動生成し、プロジェクト固有の文脈に基づいて脆弱性を優先順位付けする点です。サンドボックス環境での自動検証により、誤検知率を50%以上削減し、重要度の過大報告も90%以上減少させました。

OSSコミュニティへの貢献も注目されます。OpenSSH、GnuTLS、GOGS、Chromiumなど広く使われるプロジェクトで14件のCVEを報告しました。過去30日間で外部リポジトリの120万コミット以上をスキャンし、792件の重大・1万561件の高深刻度の脆弱性を検出しています。

OpenAIはOSSメンテナー向けに「Codex for OSS」プログラムも開始し、無償のChatGPT ProアカウントやCodex Securityを提供します。vLLMなどのプロジェクトが既に活用を開始しており、今後数週間で対象を拡大する予定です。

Anthropicは2026年3月、Mozillaとの協力のもとClaude Opus 4.6を用いてFirefoxの脆弱性調査を実施し、2週間で22件の脆弱性を発見しました。うち14件は高深刻度に分類され、2025年に修正された高深刻度脆弱性の約5分の1に相当します。

調査はFirefoxのJavaScriptエンジンから開始されました。わずか20分の探索で、攻撃者が任意のデータを上書きできるUse After Free型のメモリ脆弱性が報告されています。その後ブラウザ全体に範囲を拡大し、約6,000のC++ファイルを走査して合計112件の報告を提出しました。

一方でAIの悪用能力には明確な限界がありました。Anthropicは約4,000ドルのAPIクレジットを費やしてエクスプロイト作成を試みましたが、実際に成功したのは2件のみです。しかもサンドボックスなどのセキュリティ機能を意図的に無効化したテスト環境での成功にすぎません。

Anthropicは効果的な脆弱性発見の鍵としてタスク検証器の活用を提唱しています。エージェントが自らの出力を検証できるツールを組み合わせることで、パッチの品質が大幅に向上するとしています。報告時には最小テストケース、概念実証、候補パッチの添付が信頼性向上に不可欠です。

Anthropicは今後、Linuxカーネルなど他の重要プロジェクトでも脆弱性調査を拡大する方針です。現時点ではAIの発見能力が悪用能力を大きく上回っており、防御者に有利な状況にあるとしつつも、将来的にこの差が縮まる可能性を警告し、開発者にセキュリティ強化を急ぐよう呼びかけています。

Photoroomは2026年3月3日、テキストから画像を生成する拡散モデルを24時間・約1500ドル（約22万円）の計算予算で訓練する手法「PRX Part 3」を公開しました。H200 GPU 32台を使用し、コードもGitHubでオープンソース化しています。

最大の特徴はピクセル空間での直接訓練です。従来必要だったVAE（変分オートエンコーダ）を排除し、パッチサイズ32と256次元のボトルネック層で系列長を制御します。512pxで訓練を開始し、1024pxへファインチューニングする2段階方式を採用しています。

品質向上のため知覚損失を2種類導入しています。LPIPSは低レベルの知覚的類似性を、DINOv2ベースの損失は意味的な信号を捉えます。プール済み画像全体に適用し、全ノイズレベルで計算する独自の工夫が加えられています。

計算効率の面ではTREADによるトークンルーティングを採用し、50%のトークンをTransformerブロックの大部分でスキップさせます。またREPAでDINOv3教師モデルとの表現整合を行い、収束を加速させています。オプティマイザにはMuonを使用しAdamを上回る性能を確認しています。

訓練データは合成データセット3種（計約870万枚）を使用し、Gemini 1.5でキャプションを再生成しています。生成品質にはまだ改善余地があるものの、プロンプト追従性や美的一貫性は高く、構造的な欠陥ではなくデータ多様性の不足が主な課題と分析しています。

Anthropicは、Claude Code on the webに新機能「Claude Code Security」を統合し、限定リサーチプレビューとして公開しました。この機能はコードベースをスキャンしてセキュリティ脆弱性を検出し、人間のレビュー用にパッチを提案するものです。

セキュリティチームが直面する最大の課題は、脆弱性の数に対して対応できる人材が圧倒的に不足していることです。Claude Code Securityは、AIの文脈理解能力を活用して従来の静的解析ツールが見落としがちなロジックレベルの脆弱性を検出することを目標としています。

「フロンティアのサイバーセキュリティ能力を防御側に開放する」というAnthropicのビジョンは示唆に富んでいます。AIが攻撃的なサイバー能力を持つ可能性がある以上、防御側も同等のAI能力を持つべきという論理は説得力があります。

現在は限定プレビューですが、この機能がGA（一般提供）段階に移行した場合、ソフトウェア開発のセキュリティプラクティスを大きく変える可能性があります。CI/CDパイプラインへの統合で、コードがコミットされるたびに自動セキュリティ審査が行われる未来が近づいています。

競合他社もAIセキュリティ機能を急速に拡充している中、AnthropicがClaude Codeに統合することで開発者向けのオールインワンAI開発環境の価値を高める戦略的な動きです。セキュリティを標準機能として提供する差別化は重要な競争優位になりえます。

GitHubは2026年2月5日のブログで、エージェント型CI（継続的インテグレーション）の実践的な使い方を開発者向けに解説した。

エージェント型CIでは、AIエージェントがプルリクエストのコードを読み、テスト失敗の自動修正、セキュリティ脆弱性の検出・パッチ、コードスタイルの自動整形などを実行する。

GitHubはこれを「Continuous AI」と呼び、コードが書かれたその瞬間からAIが品質保証を継続的に行う未来像を提示している。

GitHub Actionsとの組み合わせにより、既存のCI/CDパイプラインに最小限の変更でエージェント機能を追加できることが強調されている。

エージェント型CIの普及は開発チームの速度と品質を同時に向上させるが、AIの判断を人間がどこまで監督するかという新しいガバナンス問題も提起する。

The Vergeは2026年2月4日、AIアシスタントOpenClawのスキル拡張機能が深刻なセキュリティリスクを持つことを報じた。悪意のあるコードが実行される可能性がある。

問題の核心はサードパーティ製スキルに対する検証・サンドボックス化が不十分な点で、攻撃者はプロンプトインジェクション手法でシステムを悪用できる。

ユーザーのプライベートデータや認証情報への不正アクセスが技術的に可能な状態となっており、企業環境での使用はリスクが高い。

この問題はAIアシスタントのプラグイン・スキルエコシステム全体のセキュリティ設計に関わる構造的課題を示しており、ChatGPTプラグインやGPT Storeにも同様のリスクが存在する可能性がある。

企業がAIツールを導入する際は、サードパーティ拡張機能のリスク評価とアクセス権限の最小化が不可欠であり、セキュリティ基準の整備が急務だ。

OpenAIはChatGPT Atlasのエージェントモードに対し、強化学習を活用した自動レッドチームシステムを導入し、プロンプトインジェクション攻撃を継続的に発見・修正するサイクルを確立したと発表しました。このシステムはブラウザエージェントの実世界での脆弱性を先行的に特定します。

VentureBeatが報じたレッドチーム研究によると、LLMセキュリティの「厳しい真実」は、高度な攻撃よりも単純な自動化された反復攻撃が有効であることです。あらゆるモデルは十分な試行回数があれば失敗することが示されています。

これらの知見はAIアプリやプラットフォームの開発者に対し、セキュリティを完璧に防ぐという発想を捨て、失敗を前提とした設計への転換を促しています。モデルの種類によって脆弱性のパターンが異なるため、包括的なテストが不可欠です。

Vercelが、React Server Componentsに新たに発見された2件の脆弱性を公表しました。CVE-2025-55184は、不正なHTTPリクエストによりサーバープロセスがハングしCPUを消費するDoS脆弱性です。CVE-2025-55183は、Server Actionのコンパイル済みソースコードが漏洩する可能性があります。

影響を受けるのはReact 19.0.0から19.2.1のreact-server-dom関連パッケージで、Next.js 13.x〜16.xをはじめ、Vite、Parcel、React Routerなどにも波及します。いずれもリモートコード実行は不可能です。

Vercelは全ホスティングプロジェクトにWAFルールを無償展開しましたが、WAFだけでは不十分としてパッチ適用を強く推奨しています。React 19.0.2、19.1.3、19.2.2で修正されています。

米OpenAIは2025年12月10日、AIのサイバーセキュリティ能力向上に対応する新戦略を発表しました。同時に、脆弱性を自律的に発見・修正するAIエージェント「Aardvark」のベータ版を公開。最新モデル「GPT-5.1」のCTFスコアが76%に達するなど能力が急伸する中、防御側の体制強化を急ぎます。

最新の評価では、AIのハッキング能力が劇的に向上しています。2025年8月時点で27%だった「GPT-5」のCTF（旗取りゲーム）スコアは、11月の「GPT-5.1-Codex-Max」で76%へと約3倍に跳ね上がりました。同社は次期モデルが未知の脆弱性を突く「ゼロデイ攻撃」も可能な水準に達すると予測しています。

防御力強化の切り札として投入されたのが、自律型セキュリティ研究エージェント「Aardvark」です。コードベース全体を推論して脆弱性を特定し、修正パッチまで提案します。すでにオープンソースソフトウェア（OSS）において新規の脆弱性（CVE）を発見する実績を上げており、一部の非営利OSSには無償提供される計画です。

技術提供に加え、組織的な安全対策も強化します。新たに「フロンティア・リスク評議会」を設置し、外部のセキュリティ専門家と連携してリスク境界を定義します。また、防御目的の研究者や企業に対して、より強力なモデル機能へのアクセス権を付与する「信頼されたアクセスプログラム」の導入も予定しており、エコシステム全体の強化を図ります。

Googleは2025年12月10日、コーディングAIエージェント「Jules」に自律的なタスク遂行機能を追加したと発表しました。開発者が明示的に指示せずとも、AIがバックグラウンドでコード改善や修正を行い、チームの生産性を劇的に高めます。

特筆すべきは、コード内のTODOコメントを検知して改善案を提示する「Suggested Tasks」と、定期メンテナンスを自動化する「Scheduled Tasks」です。これらは従来の「指示待ちAI」を脱却し、能動的なパートナーへと進化させる重要な機能です。

クラウド基盤「Render」との統合も強化されました。デプロイ失敗時にJulesが自動でログを解析し、修正コードを作成してプルリクエストを送ります。開発者がエラーログを手動でコピーして解析する手間を省き、迅速な復旧を実現します。

Google内部のAIデザインチームでは、Julesがリポジトリへの主要な貢献者として活躍しています。セキュリティパッチやテスト拡充をAIに任せることで、エンジニアが複雑な機能開発や創造的な問題解決に専念できる環境が整いつつあります。

2025年12月、React Server Componentsに起因する深刻な脆弱性「React2Shell」のエクスプロイトが確認されました。この欠陥はReact 19およびNext.js等のフレームワークに影響し、攻撃者によるリモートコード実行（RCE）を許す可能性があります。該当技術を利用する企業や開発チームは、直ちにセキュリティ状況を確認し、対策を講じる必要があります。

影響を受けるのは、Next.jsのバージョン15.0.0から16.0.6、および特定のCanaryビルドです。React Server Componentsを採用している場合、他のフレームワークでもリスクが存在します。Vercelダッシュボードの警告や、ブラウザコンソールでの`next.version`実行により、現在利用中のバージョンを速やかに特定してください。

対策として、修正パッチが適用されたバージョンへのアップグレードが必須です。自動修復ツール`npx fix-react2shell-next`を利用するか、`package.json`を更新して再デプロイを行ってください。WAFによる遮断はあくまで緩和策であり、アプリケーション自体の更新以外に完全な保護手段はありません。

脆弱な状態で稼働していたシステムは、すでに侵害されているリスクを否定できません。フレームワークのアップデート完了後、APIキーやデータベース接続情報など、アプリケーションに関連するすべての環境変数（Secrets）をローテーションすることを強く推奨します。Vercel Agent等の自動検知機能も活用し、継続的な監視体制を維持してください。

Vercelは2025年12月8日、ユーザーの介入が必要なセキュリティ問題を一元管理できる「Unified security actions dashboard」を公開しました。WAF等で自動防御できない脆弱性が検出された際、影響範囲と対応策を即座に提示し、開発チームの迅速な意思決定と対処を支援します。

新機能は、未パッチの依存関係や保護されていないプレビュー環境など、アクションが必要な項目をプロジェクト単位で自動的にグループ化します。ダッシュボード上にバナーとして通知されるため、重大なリスクを見逃すことなく、優先順位をつけて対応にあたることが可能です。

具体的な修正手段もシームレスに提供されます。可能な場合はVercel Agentを通じてワンクリックでの自動修正やプルリクエスト作成が行えるほか、手動対応が必要なケースでも実行すべきコマンドが明示されるため、エンジニアの調査コストを大幅に削減できます。

このダッシュボードにより、複数のプロジェクトを抱えるチームでもセキュリティ体制を効率的に維持できます。自律的な防御システムと人間による判断が必要な領域を明確に分けることで、開発者はより本質的な開発業務に集中できるようになるでしょう。

トランプ大統領は8日、州独自のAI規制を事実上無効化する大統領令に、今週中に署名する意向を表明しました。AI開発における米国の優位性を保つため、企業にとって負担となる州ごとの異なるルールを排除し、連邦レベルでの統一基準を導入する狙いです。この動きは、AIビジネスの加速を期待させる一方で、州の自治権を巡り与野党を超えた激しい反発を招いています。

シリコンバレーの有力者たちは、この方針を歓迎しています。州ごとに異なる規制が乱立する現状は、迅速な開発を妨げるイノベーションの足かせとなるからです。特にホワイトハウスのAI政策責任者となるデビッド・サックス氏らは、対中国競争における米国のリードを維持するためには、規制の一本化が不可欠だと主張してきました。

リークされた草案によれば、大統領令には州法に法的に挑戦する「AI訴訟タスクフォース」の設置が含まれます。また、連邦通信委員会（FCC）や連邦取引委員会（FTC）に対し、州法を上書きする国家基準の策定を促す方針です。これにより、企業は50州それぞれの承認を得る手間から解放されますが、各州の消費者保護策が無効化される懸念もあります。

しかし、この方針は共和党内でも一枚岩ではありません。フロリダ州のデサンティス知事らは「州の権限を侵害する連邦政府の越権行為」として強く反対しています。AIによる被害から市民を守る権利を州から奪うことへの懸念は根強く、上院でも同様の提案が却下されたばかりです。ビジネスの自由と連邦主義を巡る対立は、今後法廷闘争へと発展する可能性が高いでしょう。

Vercelは2025年12月5日、脆弱性「React2Shell」対策として、脆弱なNext.jsを含むアプリの新規デプロイをブロックする措置を開始しました。攻撃の活発化を受け、エンジニアやリーダーは直ちに対応が必要です。

今回の措置により、修正パッチが適用されていないNext.js（バージョン15.0.0から16.0.6）を使用するプロジェクトは、デプロイが自動的に失敗します。これはWAFによるフィルタリングに加え、根本的なリスク排除を目的とした強力な強制措置といえます。

経営者やエンジニアが最優先すべきは、影響を受けるNext.jsを直ちに修正済みバージョンへアップグレードすることです。VercelはWAFルールで既知の攻撃を防御していますが、完全な保護を保証するものではなく、アップデートこそが唯一の恒久的な解決策となります。

またVercelは、セキュリティ企業のHackerOneと提携し、WAFの回避策を発見した場合に最大5万ドルを支払うバグ報奨金プログラムを開始しました。外部の研究者の知見を取り入れ、プラットフォーム全体の防御能力を継続的に強化する姿勢を打ち出しています。

ご自身のプロジェクトが影響を受けるか確認するには、ブラウザコンソールで`next.version`を実行するか、`package.json`を点検してください。Vercelの管理画面にも警告バナーが表示されるため、見逃さずに確実な対応を進めましょう。

米運輸省道路交通安全局（NHTSA）は5日、Alphabet傘下のWaymoに対する調査を開始しました。テキサス州オースティンなどで、同社のロボタクシーが停止中のスクールバスを違法に追い越す事案が相次いだためです。

オースティン学区は今年度だけで19件の違反を報告しており、その中にはWaymoが修正ソフトを配布した後に行われたものも含まれます。NHTSAは、Waymoの第5世代自動運転システムが「予期せぬ挙動」を示しているとして強い懸念を表明しました。

これに対しWaymoは、問題解決に向けた自主的なソフトウェアリコールをNHTSAに届け出る方針です。同社の安全責任者は「最高の安全基準を維持するため、改善すべき点は認める」とし、継続的な修正と分析を行う姿勢を示しています。

本件は、Waymoが全米20都市以上へのサービス拡大を目指す中で起きました。AIが地域の交通ルールや特殊な状況にどう適応し、信頼を勝ち取るかは、自動運転ビジネスにおける市場価値と収益性を左右する重要な試金石となります。

2025年12月3日、React Server Componentsに重大な脆弱性が公表されました。Next.jsを含む主要フレームワークに影響し、最悪の場合リモートコード実行（RCE）に至る危険性があります。エンジニアは即時の確認が必要です。

対象はReact 19系のサーバーコンポーネント機能を使用する環境で、Next.jsのバージョン15や16も含まれます。信頼できない入力を処理する際、攻撃者に任意のコードを実行される可能性があるため、早急な対策が求められます。

解決策として、React 19.0.1やNext.js 15.0.5などの修正版への更新を行ってください。VercelユーザーはWAFで一時的に保護されていますが、セキュリティを確実にするため、ホスティング環境に関わらずアップデートを推奨します。

2025年12月3日、米議会共和党指導部は、各州による独自のAI規制を無効化する条項の国防権限法（NDAA）への盛り込みを断念しました。トランプ大統領やシリコンバレーが後押ししたこの措置は、超党派の議員や一部の共和党州知事からの強い反発を受け、最終的な合意には至りませんでした。

この動きは、州ごとに異なる規制が乱立する「パッチワーク」状態を回避し、イノベーションを促進したい大手テック企業の意向を反映したものです。トランプ氏は、統一された連邦基準がなければ中国とのAI開発競争に敗れると主張し、法制化を強く求めていました。

一方で批判派は、連邦レベルの包括的なAI法が存在しない現状で州の権限を剥奪することは、実質的に巨大IT企業への監視を放棄することに等しいと指摘しています。州法は主に安全性や消費者保護に焦点を当てており、その無効化には慎重論が根強くあります。

スカリス下院院内総務は、NDAAがこの規定を含めるのに「最適な場所ではなかった」と認めつつ、関心は依然として高いと強調しました。共和党指導部は今後、単独の法案や別の立法手段を通じて、再び連邦による規制統一を目指す方針です。

CrowdStrikeは12月1日、AWS re:Inventにて、ハイブリッドクラウド向けのリアルタイム検知・対応機能を発表しました。AIにより高速化したサイバー攻撃に対抗するため、従来のバッチ処理型セキュリティを刷新し、攻撃検知から対応までの時間を数秒レベルに短縮します。AIを悪用した脅威が急増する中、企業の防御態勢を根本から見直す新たな業界標準となりそうです。

AIを武器化した攻撃者は、パッチ公開からわずか72時間以内に弱点を突く手法を開発しています。従来のセキュリティツールはログ収集に15分程度の遅延があり、数ミリ秒で実行されるAI攻撃に対しては「検知＝事後処理」となってしまうのが実情です。

新機能はAmazonのAWS EventBridgeと連携し、イベントストリームを直接分析します。これにより、攻撃の予兆をリアルタイムで捉え、SOC（セキュリティ監視センター）チームが介入する前に、AIが自動で悪意ある通信を遮断・修復することが可能になりました。

CrowdStrike幹部は「リアルタイム検知のないCNAPP（クラウドネイティブ保護基盤）は時代遅れになる」と断言します。ハイブリッド環境の複雑化と攻撃の高度化が進む中、リアルタイム性は今後のセキュリティ投資における必須要件となるでしょう。

経営者やリーダーは、自社のセキュリティが「人間速度」か「機械速度」かを見極める必要があります。可視化できない死角をなくし、パッチ適用サイクルを短縮するなど、AI時代のスピード感に合わせた戦略の再構築が求められています。

2025年11月、米国のAI政策において「誰がルールを作るか」を巡る主導権争いが激化しています。カリフォルニア州などが独自の消費者保護法案を先行させる中、シリコンバレーのテック企業群はこれに強く反発し、連邦政府による統一基準の策定を求めています。彼らの狙いは、州ごとの異なる規制に対応するコストを回避し、連邦法によって州法を無効化（プリエンプション）することにあります。

OpenAIやAndreessen Horowitzなどが支援する政治活動委員会（PAC）は、州による規制の乱立が「パッチワーク」のような複雑さを生み、イノベーションを阻害すると主張しています。業界団体は「中国とのAI開発競争に遅れをとる」というロジックを展開し、数億ドル規模の資金を投じて、州規制を排除する連邦法の成立や、規制反対派候補の支援に向けたロビー活動を加速させています。

この動きに呼応し、ワシントンでは州の権限を制限する具体的な政治的動きが見られます。連邦議会の一部では、国防権限法（NDAA）に州のAI規制を禁止する条項を盛り込むことが検討されています。また、次期トランプ政権のものとされる流出した大統領令案では、州法を法的に無効化し、連邦取引委員会（FTC）などに統一基準を設けさせる方針が示唆されています。

一方で、州政府や消費者保護団体は、連邦政府の対応の遅さを批判し、州こそが「民主主義の実験場」として迅速にリスクに対処できると反論しています。専門家からは、テック企業はすでに厳格なEUのAI規制に対応しており、州ごとの違いに対応できないというのは責任逃れの方便に過ぎないとの指摘もあがっています。

連邦議会ではテッド・リュウ下院議員らが、詐欺防止や透明性確保を含む包括的な連邦AI法案の準備を進めています。しかし、ねじれ議会や次期政権の方針を考慮し、極端な規制ではなく共和党とも合意可能な現実的なラインを模索しているのが現状です。日本企業にとっても、米国の規制が統一されるか分散するかは、グローバルなコンプライアンス戦略に直結する重要な指標となります。

Vercelが初のモバイルアプリ「v0 for iOS」をリリースしました。React NativeとExpoを駆使し、Apple純正アプリに匹敵するネイティブ品質を実現しています。本記事では、AIチャット特有の複雑なUI課題をどう解決し、Web主体の企業が高品質なモバイルアプリを構築したのか、その技術的裏側を解説します。

開発の目標は、Apple Design Awardに値する最高品質のアプリ構築でした。Web技術に精通した同社は、数週間の実験を経てReact NativeとExpoを選定。Appleの標準アプリのような自然な操作感を目指し、iMessageなどを参考にしながら、細部に至るまでネイティブらしい挙動を追求しました。

チャット体験の核となるのは、メッセージ表示の滑らかさです。React Native Reanimatedを駆使し、送信時のフェードインやAI回答のストリーミング表示を実装。動的に高さが変わるメッセージ要素に対しても、計算されたアニメーションを適用することで、心地よい対話フローを作り上げました。

モバイルチャット開発で最も困難なのがキーボード制御です。iOSの更新による挙動変化に対応するため、独自のフックuseKeyboardAwareMessageListを開発しました。メッセージの高さやキーボードの位置関係を精密に計算し、コンテンツが隠れることなくスムーズにスクロールされる仕組みを構築しています。

Web版とのコード共有においては、UIや状態管理を分離し、型定義やヘルパー関数のみを共有する戦略を採りました。ZodとOpenAPIを活用してバックエンドAPIの型安全性を確保し、モバイル側でクライアントコードを自動生成することで、開発効率と堅牢性を両立させています。

開発過程で直面したReact NativeやiOSのバグに対しては、単にパッチを当てるだけでなく、本家リポジトリへの修正提供も行いました。CallstackやMetaのエンジニアと連携し、エコシステム全体の改善に貢献する姿勢は、技術リーダーとして参考になるアプローチです。

トランプ政権は、各州が独自に制定するAI規制を無効化するために準備していた大統領令の発令を、一時停止したと報じられました。当初、政権は「50州のパッチワーク規制ではなく、単一の連邦基準が必要」と主張し、州法を排除する強硬な姿勢を見せていました。しかし、法的・政治的な反発を受け、方針転換を余儀なくされた形です。

報道によると、準備されていた大統領令案には「AI訴訟タスクフォース」の設立が含まれていました。これは連邦政府が州法に対抗して訴訟を起こし、従わない州への連邦ブロードバンド補助金の停止を示唆する内容でした。しかし、過去にも同様の州規制禁止案が上院で99対1という圧倒的大差で否決されるなど、身内の共和党内からも批判が出ていました。

シリコンバレーでは、AI規制を巡る意見が二分されています。トランプ政権に近い勢力は、カリフォルニア州のAI安全性法案（SB 53）を支持するAnthropic社などを批判していますが、今回の保留決定は、連邦政府による強権的な介入の限界を示唆しています。企業にとって、規制環境の不確実性は当面続くことになりそうです。

米Ciscoは20日、生成AIの普及により、老朽化したITインフラへのサイバー攻撃リスクが急増していると警告しました。サポート切れのルーター等が攻撃者の標的となりやすく、企業は緊急の対策を迫られています。

生成AIにより、攻撃者がシステムの脆弱性を発見・悪用するハードルが劇的に下がりました。放置された古い機器は「サイレント・リスク」となり、高度な知識がない攻撃者でも容易に侵入できる危険な状態にあります。

Ciscoは対策として、製品の危険な設定に対する警告を強化する新方針を発表しました。サポート終了が近い製品を使用中の顧客に対し、明確な警告を表示し、将来的には危険な相互運用オプション自体を削除する計画です。

重要インフラに関する5カ国調査では、英国と米国が最もリスクが高いとされました。一方、日本は一貫した更新と分散化、デジタルレジリエンスへの注力により、相対的にリスクが最も低いと高く評価されています。

同社幹部は、現状維持には「計上されていないコスト」が存在すると指摘します。古い技術を使い続けることは経営リスクそのものであり、現場任せではなく取締役会レベルで投資と刷新を議論すべきだと訴えています。

OpenAIは2025年10月30日、最新のGPT-5を搭載した自律型AIエージェント「Aardvark」を発表しました。これは、ソフトウェアの脆弱性を自動で発見・分析し、修正パッチまで提案するAIセキュリティ研究者です。増え続けるサイバー攻撃の脅威に対し、開発者が脆弱性対策に追われる現状を打破し、防御側を優位に立たせることを目指します。

Aardvarkの最大の特徴は、人間の一流セキュリティ研究者のように思考し、行動する点にあります。従来の静的解析ツールとは一線を画し、大規模言語モデル（LLM）の高度な推論能力を活用。自らコードを読み解き、テストを書き、ツールを使いこなすことで、複雑な脆弱性も見つけ出します。

そのプロセスは、脅威モデルの分析から始まります。次に、コミットされたコードをスキャンして脆弱性を特定。発見した脆弱性は、サンドボックス環境で実際に悪用可能か検証し、誤検知を徹底的に排除します。最終的に、修正パッチを自動生成し、開発者にワンクリックでの適用を促すなど、既存の開発フローにシームレスに統合されます。

Aardvarkはすでに目覚ましい成果を上げています。ベンチマークテストでは、既知および合成された脆弱性の92%を特定するという高い精度を実証。さらに、オープンソースプロジェクトで複数の未知の脆弱性を発見し、そのうち10件はCVE（共通脆弱性識別子）として正式に採番されています。

ソフトウェアが社会インフラの根幹となる一方、脆弱性は増え続け、2024年だけで4万件以上報告されました。Aardvarkは、開発者がイノベーションに集中できるよう、継続的なセキュリティ監視を自動化します。これは防御側に有利な状況を作り出し、デジタル社会全体の安全性を高める大きな一歩と言えるでしょう。

OpenAIは現在、一部のパートナー向けにAardvarkのプライベートベータ版を提供しており、今後、対象を拡大していく方針です。また、オープンソースエコシステムの安全に貢献するため、非営利のOSSリポジトリへの無償スキャン提供も計画しています。ソフトウェア開発の未来を変えるこの取り組みに、注目が集まります。

Vercelが先週開催したイベント「Ship AI 2025」で、AIエージェント開発を本格化させる新技術群を発表しました。中核となるのは、エージェント中心の設計を取り入れた「AI SDK 6」や、タスクの信頼性をコードで担保する「Workflow Development Kit」です。これにより、ウェブ開発のように直感的かつスケーラブルなAI開発環境の提供を目指します。

新たにベータ版として公開された「AI SDK 6」は、エージェントを一度定義すれば、あらゆるアプリで再利用できるアーキテクチャが特徴です。これにより、ユースケースごとにプロンプトやAPIを連携させる手間が不要になります。また、人間のレビューを必須とするアクションを制御できる承認機能も組み込まれ、安全な運用を支援します。

長時間実行されるタスクの信頼性を高めるのが「Workflow Development Kit」です。従来のメッセージキューやスケジューラの設定に代わり、TypeScriptの関数に数行のコードを追加するだけで、失敗した処理の自動リトライや状態保持を実現します。これにより、AIエージェントのループ処理やデータパイプラインを安定して実行できます。

エコシステムの拡充も進んでいます。Vercel Marketplaceでは、CodeRabbitなどのエージェントやAIサービスをプロジェクトに直接導入可能になりました。さらに、FastAPIやFlaskといったPythonフレームワークが設定不要でデプロイ可能となり、バックエンド開発者のAIクラウド活用を促進します。

Vercel自身も、開発者を支援するAIアシスタント「Vercel Agent」のベータ版を提供開始しました。このエージェントは、コードレビューやパッチ提案、本番環境でのパフォーマンス異常の検知と原因分析を自動化します。開発チームの一員として、生産性向上に貢献することが期待されます。

Vercelの一連の発表は、AIエージェント開発を一部の専門家から全ての開発者へと解放するものです。SDKによる抽象化、ワークフローによる信頼性確保、マーケットプレイスによるエコシステムが一体となり、アイデアを迅速に本番稼働のエージェントへと昇華させる強力な基盤が整ったと言えるでしょう。

Googleは、AIを攻撃ツールとして利用する悪質な脅威に対抗するため、包括的なAIセキュリティ戦略を始動しました。核となるのは、コードの脆弱性を自動修正するAIエージェント「CodeMender」の開発、AI製品に特化した報奨金制度「AI VRP」の新設、そして自律型エージェントの安全性を確保する「SAIF 2.0」へのフレームワーク拡張です。AIの力を防御側に決定的に傾けることを目指します。

中でも「CodeMender」は、ソフトウェア開発におけるセキュリティ対応のあり方を一変させる可能性があります。これはGeminiの高度な推論能力を活用し、複雑な脆弱性の根本原因を特定し、高品質なパッチを自動生成・適用するAIエージェントです。これにより、開発者は煩雑な修正作業から解放され、本質的な開発に集中できるようになります。

CodeMenderは、新しい脆弱性を即座に修正する「受動的」対応に加え、セキュアなコード構造への書き換えを促す「能動的」な防御も行います。既に、オープンソースプロジェクトに対し、人間によるレビューを経た72件のセキュリティ修正を適用しています。自己検証機能により、誤った修正や退行を防ぎながら、迅速なパッチ適用を実現します。

セキュリティ研究コミュニティとの連携を強化するため、GoogleはAI脆弱性報奨金制度（AI VRP）を立ち上げました。この制度では、LLMや生成AIシステムを悪用し、不正に動作させる「不正なアクション (Rogue Actions)」に関する報告に注力します。最高で3万ドル（約450万円）の報奨金が提供されます。

AI VRPは、データ漏洩やアカウント改ざんなど、セキュリティ上の実害を伴うAIの脆弱性を対象とします。例えば、プロンプトインジェクションにより、Google Homeに不正にドアを解錠させたり、機密情報を攻撃者のアカウントに要約・送信させたりするケースが該当します。単なるAIのハルシネーション（幻覚）は対象外です。

さらにGoogleは、自律的に動作するAIエージェントのセキュリティリスクに対応するため、「Secure AI Framework (SAIF) 2.0」を発表しました。このフレームワークでは、エージェントを安全に運用するための「人間による制御」「権限の制限」「行動の可視化」という3つのコア原則を掲げています。AIエージェントが普及する未来を見据えた業界標準の構築を推進しています。

AI開発企業のAnthropicは2025年10月3日、最新AIモデル「Claude Sonnet 4.5」がサイバーセキュリティ分野で飛躍的な性能向上を達成したと発表しました。コードの脆弱性発見や修正といった防御タスクにおいて、従来の最上位モデルを凌駕する能力を示し、AIがサイバー攻防の重要な「変曲点」にあることを示唆しています。これは、AIの悪用リスクに対抗するため、防御側の能力強化に注力した結果です。

「Sonnet 4.5」は、わずか2ヶ月前に発表された最上位モデル「Opus 4.1」と比較しても、コードの脆弱性発見能力などで同等かそれ以上の性能を発揮します。より低コストかつ高速でありながら専門的なタスクをこなせるため、多くの企業にとって導入のハードルが下がるでしょう。防御側の担当者がAIを強力な武器として活用する時代が到来しつつあります。

その性能は客観的な評価でも証明されています。業界標準ベンチマーク「Cybench」では、タスク成功率が半年で2倍以上に向上しました。別の評価「CyberGym」では、これまで知られていなかった未知の脆弱性を33%以上の確率で発見するなど、人間の専門家でも困難なタスクで驚異的な成果を上げています。

この性能向上は偶然の産物ではありません。AIが攻撃者によって悪用される事例が確認される中、Anthropicは意図的に防御側の能力強化に研究資源を集中させました。マルウェア開発のような攻撃的作業ではなく、脆弱性の発見と修正といった防御に不可欠なスキルを重点的に訓練したことが、今回の成果につながっています。

さらに、脆弱性を修正するパッチの自動生成に関する研究も進んでいます。初期段階ながら、生成されたパッチの15%が人間が作成したものと実質的に同等と評価されました。パートナーであるHackerOne社は「脆弱性対応時間が44%短縮した」と述べ、実践的な有効性を高く評価しています。

Anthropicは、もはやAIのサイバーセキュリティへの影響は未来の懸念ではなく、現在の課題だと指摘します。攻撃者にAIのアドバンテージを渡さないためにも、今こそ防御側がAIの実験と導入を加速すべきだと提言。企業や組織に対し、セキュリティ態勢の強化にAIを活用するよう強く呼びかけています。

カリフォルニア州のギャビン・ニューサム知事は29日、大手AI企業に安全対策の透明性を義務付ける全米初の法案「SB 53」に署名し、同法は成立しました。この法律は、OpenAIやGoogle DeepMindなどのAI開発企業に対し、安全性プロトコルの開示や重大なインシデントの報告を求めるものです。AIの急速な進化に伴うリスクを管理し、公衆の信頼を確保することが狙いです。

新法「SB 53」の柱は、大手AI企業に対する厳しい透明性要件です。具体的には、開発するAIモデルの安全性プロトコルを明確にすることが求められます。さらに、従業員が内部から安全上の懸念を指摘できる内部告発者保護制度を保証し、サイバー攻撃のような重大な安全インシデントが発生した際には、州当局への報告が義務付けられます。

この法案に対し、AI業界の反応は二分しています。Anthropic社が法案を支持する一方、Meta社やOpenAI社は「イノベーションを阻害する規制のパッチワークを生む」として強く反対し、ロビー活動を展開しました。シリコンバレーでは、AI規制に緩やかなアプローチを求める候補者を支援するため、巨額の資金が投じられる動きも活発化しています。

今回の法案成立は、昨年ニューサム知事がより広範な規制法案に拒否権を行使した後の、2度目の挑戦でした。カリフォルニア州の動向は、他州のAI規制政策に大きな影響を与える可能性があります。ニューヨーク州でも同様の法案が可決されており、知事の署名を待つ状況です。カリフォルニア州は、イノベーションと規制のバランスを取ることで、米国のAI政策をリードする構えです。

米Facebookの親会社Metaは9月23日、AI技術の革新を阻害しうる州レベルの規制に対抗するため、数千万ドル規模のスーパーPAC（特別政治活動委員会）を設立しました。新組織を通じてAI開発に友好的な政治家を支援し、米国の技術的リーダーシップを維持する狙いです。各州で独自のAI規制案が急増していることが背景にあります。 このスーパーPACは超党派で運営され、来年の中間選挙でAIの進歩を支持する候補者を当選させることが目的です。Metaは、AIの発展を擁護するとともに、保護者が子供のオンライン体験を管理できる仕組みを重視する方針を強調しています。これは、同社が直面する子供の安全に関する批判をかわす狙いもあるとみられます。 なぜ今、政治活動を強化するのでしょうか。背景には、連邦レベルでの包括的なAI規制が進まない一方、州議会が独自に規制を策定する動きが全米で加速していることがあります。2025年の会期だけで、全50州で1000を超えるAI関連法案が提出されるなど、規制強化の波が押し寄せています。 この動きはMetaに限りません。大手ベンチャーキャピタルのAndreessen HorowitzやOpenAI幹部も、AI規制に反対する大規模なスーパーPACを設立しています。州ごとに異なる規制が乱立する「パッチワーク」状態は、イノベーションを阻害しかねません。シリコンバレー全体で政治的な影響力確保を急いでいるのです。