公開AIモデルでAnthropicのサイバー脆弱性発見を再現

Anthropicが「Claude Mythos」を発表し、その危険性から一部の技術大手のみに利用を制限したことに対し、Vidoc Securityの研究者チームは、公開されているAIモデルを用いて同様の脆弱性発見能力を再現できることを示しました。研究チームは、Anthropicが公表したパッチ済みの脆弱性事例を対象に、GPT-5.4とClaude Opus 4.6をオープンソースのコーディングエージェント「opencode」内で使用して実験を行いました。その結果、Anthropicが指摘したサーバーファイル共有プロトコル、セキュリティOSのネットワークスタック、ビデオ処理ソフトウェア、2つの暗号ライブラリにおける脆弱性の事例を再現しました。特に、GPT-5.4とClaude Opus 4.6は、対象とした3つの実行全てで2つのバグ事例を再現し、Claude Opus 4.6はOpenBSDのバグを独自に3回再発見しました。各スキャンにかかった費用はファイルあたり30ドル未満であり、脆弱性発見のコストが低いことが示されています。研究者は、AIモデルが検索範囲を絞り込み、リードを見つけ、時には根本原因を特定するのに十分な能力を持っていると述べています。ただし、Vidocのモデルは脆弱性を発見したものの、Anthropicのモデルが示したような攻撃の青写真を作成するまでには至っていません。

本記事は海外のAI技術動向を扱っており、日本市場への直接的な言及はありません。しかし、AI技術を用いたサイバーセキュリティの脆弱性発見能力が、特定の高度なモデルだけでなく、広く利用可能な公開AIモデルでも再現できるという知見は、日本を含む世界中のサイバーセキュリティ戦略に影響を与える可能性があります。特に、AIを活用したセキュリティ対策の普及や、悪意のある攻撃者がAIを利用するリスクの評価において、この研究結果は重要な示唆を与えます。脆弱性発見のコストが低下することは、セキュリティ業界全体の経済性や競争環境にも影響を及ぼすと考えられます。