1 時間前
1
米AIスタートアップのAnthropicは5月22日(現地時間)、世界の主要なソフトウェアインフラの安全性を高める共同プロジェクト「Project Glasswing」の初期報告書を公開した。
報告書によると、未公開の最先端AIモデルを用いた検証により、短期間で多くの重大なプログラムの欠陥(脆弱性)が検出された。AIの活用によりサイバー防衛の効率が向上する一方で、検出された脆弱性に対する人間の修正作業が追いつかないという、運用体制上の課題が浮き彫りとなった。
主要テック企業など12組織が共同発足
同プロジェクトは今年4月、デジタル社会の安全性向上を目的に、Anthropicのほか、Apple、Microsoft、Google、NVIDIA、Amazon Web Services(AWS)、JPモルガン・チェースなど主要12組織が創設メンバーとなり発足した。
現在は約50の企業・組織が参加しており、Anthropicが開発中のセキュリティ検証向けAIモデル「Mythos Preview」を活用している。参加各社が自社システムやネットワークを検証した結果、高リスクおよび最重要レベルの脆弱性が合計で1万件以上検出された。これらの中には、主要なオペレーティングシステム(OS)やウェブブラウザに含まれる未知の欠陥も含まれているという。
また、インターネットの基盤となるオープンソースソフトウェア(OSS)1000件超を対象とした独自の検証でも、2万3019件の脆弱性候補を検出した。外部の専門調査会社6社がその一部(1752件)を精査したところ、90.6%が実際に脆弱性があることが確認され、AIによる検出精度の高さが実証された。
5月22日時点で281のプロジェクトに対して計1596件の脆弱性情報を管理者に開示済みで、同社は開示の進捗を公開追跡できるダッシュボードも公開している。
米Anthropic
修正対応の遅れや人手不足が課題
プロジェクトに参加する米Cloudflareは、自社システムから約2000件のバグを検出したと発表。従来のテスト方法に比べて誤検知が極めて少なく、実用性が高いと評価した。また、米Mozillaもウェブブラウザのコード検証に同モデルを活用し、271件の脆弱性を特定、修正していると報告されている。
一方で、報告書は防衛側における「修正対応の遅れ」を主要な課題として指摘している。 AIは短時間で大量の欠陥を発見できるが、その内容を精査し、修正プログラム(パッチ)を開発して適用する作業は人間のエンジニアが担う。
AnthropicがOSSの管理者に開示した深刻な脆弱性530件のうち、現時点で修正が完了したのは75件にとどまる。ソフトウェアの管理者側からは、AIから提供される報告書の量が多大であり、対応リソースが不足しているとの声も上がっている。
今後、攻撃側が同様の高度なAIを用いた場合のリスクを考慮し、Anthropicは「Mythosと同等の能力を持つAIモデルは、近い将来他社からも登場すると予想されるが、防衛側の受け入れ体制が整うまでは、このモデルを一般公開しない」との方針を示した。
同社は運用の効率化に向け、法人向けプラン「Claude Enterprise」の利用者に対し、プログラムの脆弱性を自動スキャンし、修正コードの提案までを行うツール「Claude Security」の試験提供を開始した。
同社は、今後は脆弱性の「発見」だけでなく、「修復」のプロセスにおいてもAIによる自動化、省力化を進め、人間側の負担を軽減していくアプローチが重視されるとしている。
English (US) · 
Japanese (JP) ·