オーストラリア証券投資委員会(ASIC)は、ロイターによると、アントロピックの「Mythos」のような高度なAIモデルがソフトウェアの不具合をあぶり出しているとして、金融機関にサイバー防御の強化を促す警告を行った。ASIC委員のシモーネ・コンスタント氏は、脅威がより明確になる前に対応し、基本的なサイバー耐性(サイバー・レジリエンス)の対策に注力すべきだと述べた。
規制の背景
この警告は、オーストラリア健全性規制庁(APRA)がAIに対応するのにセキュリティ慣行が追いつけていないとして独自の注意喚起を出した1か月後に出された。ケンブリッジ・オルタナティブ・ファイナンス・センターの別の調査では、先進的なAIを導入している規制当局はわずか20%であり、監督側が新たに生じる害の把握において金融企業より遅れていることが分かった。
Mythosの悪用能力
Anthropologicの「Mythos Preview」は、脆弱性を特定するだけにとどまらず、ソフトウェアの不具合に対する動作するエクスプロイト(悪用コード)を書き起こすことができる。モデルは独自に、セキュリティ目的で作られたオープンソースのOSであるOpenBSDにある27年前の不具合を発見し、悪用した。さらにMythosは、別のオープンソースOSであるFreeBSD上のNetwork File System(NFS)経由で、rootとしてリモートコード実行(RCE)を行うためにCVE-2026-4747を使用した。
アントロピックによれば、同モデルは主要なOSやWebブラウザで数千件の高深刻度の脆弱性を見つけたが、その多くは何年も、あるいは数十年もの間未検知のままだったという。「Mythos Preview」へのアクセスは限られており、Project Glasswingは、Amazon Web Services、Appleのセキュリティチーム、Google、Microsoft、NVIDIAなどを結集し、同様のツールが広まる前に広く使われているソフトウェアを守る取り組みを進めている。
サイバーセキュリティ経済への影響
この能力は、サイバー攻撃の実行にかかるコストと期間を大きく変える。以前は低リスクとして扱われていた不具合が、Mythos Previewによってエクスプロイトを数時間で作れるため、より深刻な懸念となる。専門のペネトレーションテスターは、従来の手法では同作業に数週間かかっていただろうと述べていた。この変化により、金融機関やその他の組織は、より迅速なパッチ適用サイクルと、より自動化された防御体制が必要になる可能性がある。
他のフロンティアAIモデルに関するテストでは、高度なサイバー能力はより広範なAIの進展に伴うことが示唆されており、脅威は今後拡大する見込みが高い。
よくある質問
Mythosとは何で、なぜ金融機関にとって懸念なのですか?
Mythosはアントロピックの高度なAIモデルで、ソフトウェアの脆弱性を特定し、動作するエクスプロイトを書き起こすことができる。ASICが金融機関に警告したのは、Mythosが広く使われているシステムのセキュリティ上の弱点をあぶり出し、サイバー攻撃の実行に必要な時間とコストをAPIキーの価格まで押し下げ得るためだ。同モデルは、OSやWebブラウザで数千件の高深刻度の脆弱性を見つけられる能力を示している。
Mythosは従来の方法と比べてどれくらいの速さでエクスプロイトを生成できますか?
Mythosは数時間でエクスプロイトを構築できる一方、専門のペネトレーションテスターは同じ作業が従来の方法では数週間かかっていただろうと述べている。この加速は、サイバーセキュリティの経済と、脆弱性へのパッチ適用の緊急性を根本から変えてしまう。
AIによるサイバーリスクに対して、規制当局は何をしていますか?
ASICは、脅威がより明確になる前に、金融機関にサイバー防御を強化し、基本的なサイバー耐性の対策に重点を置くよう助言した。オーストラリア健全性規制庁(APRA)も、AIの開発に比べてセキュリティ慣行が遅れをとっていることを踏まえ、同様の警告を出した。主要な技術企業やクラウド企業を含むProject Glasswingは、同様のエクスプロイト生成ツールが広まる前に、広く使われているソフトウェアを確保するために取り組んでいる。
