- Claude Mythos Previewは、基本的なソフトウェアに存在する数千もの重大な欠陥を検出しており、これは人間や従来のツールによる検出能力をはるかに凌駕するものです。
- プロジェクト・グラスウィングは、50社のテクノロジーおよび金融大手企業からなる限定的な連合体であり、このAIを用いて脆弱性が悪用される前に修正する。
- このモデルは、自律的に機能的な脆弱性を生成する能力を持つため、ASL-4のリスクレベルに該当し、引き続きアクセス制限下に置かれています。
インターネットを支えるソフトウェア、つまりあなたが今これを読んでいるブラウザから最も強力なサーバーのオペレーティングシステムに至るまで、何十年も誰も気づかなかった目に見えない亀裂があったと想像してみてください。さて、実際には アントロピックは大きな話題を呼んでいる こうした脆弱性を見つけるだけでなく、そこをどのように突破すれば良いかを正確に把握できるツールが登場したことで、業界全体がデータの保護方法を再考せざるを得なくなっている。
これはスマートチャットの単純なアップデートではなく、完全なパラダイムシフトの話です。 プロジェクト・グラスウィング同社は、悪意のある人物が同じ技術を使ってデジタル上の混乱を引き起こす前に、テクノロジー業界と金融業界の重鎮を集めてグローバルなコードを浄化するという、積極的な防御策を講じることを決定した。
作戦の首謀者:クロード・ミトス プレビュー
この茶番劇の真の原動力は クロード・ミトス プレビューMythosは、セキュリティ分析の面で従来のAIモデルを凌駕するAIモデルです。市販のモデルとは異なり、Mythosは高度な推論能力を備えており、以下のようなことが可能です。 数千ものゼロデイ脆弱性を特定するつまり、開発者自身も気づいていなかった欠陥ということだ。
このモデルを真の怪物たらしめているのは、その能力です... 脆弱性の連鎖現実世界では、ハッカーは通常、単一の脆弱性を利用するのではなく、複数の小さな欠陥を組み合わせて完全なアクセス権を取得します。Mythosはこれらの要素をどのように組み合わせるかを推測でき、さらに驚くべきことに、 テストコードを書いて実行する 失敗が現実のものであり、悪用可能であることを証明し、それによって、非常に迷惑な偽陽性のノイズを排除する。 サイバーセキュリティアナリストとそのツール.
鳥肌が立つような写真
成熟したソフトウェアは安全だと思っていたなら、Glasswingのデータは悪夢を見させるだろう。わずか30日間で、プログラムパートナーは 10.000以上の脆弱性 深刻度が高い、または重大なバグ。セキュリティのベンチマークとなっているCloudflareだけでも、自社のシステムで2.000件のバグを発見しました。 400人が重篤だった最も準備万端な人でも、間違いを犯す可能性は否定できないことを示している。
オープンソースの状況はさらに憂慮すべきものです。Anthropicはウェブに不可欠な約1.000のプロジェクトを分析し、23.000以上の潜在的な欠陥を発見しました。 そのうち6.202人が重症と分類された。参考までに言うと、このモデルはOpenBSDのバグを発見しました。 27年間眠っていたさらに、FFmpegとFreeBSDにはそれぞれ16年と17年にわたる脆弱性が存在していた。1000回もの監査を通過したソフトウェアでありながら、依然として脆弱性が残っていたのだ。
なぜ自宅でMythosを使用できないのですか?
なぜAnthropicがこのモデルを一般公開しないのか疑問に思っているかもしれません。答えは簡単です。危険すぎるからです。Mythosは社内で分類されており、 ASL-4(AI安全レベル4)これは、悪用されると壊滅的な被害をもたらす可能性があることを意味します。このような精度でバグを見つけるモデルは、瞬く間に、 完璧なエクスプロイトを生成する 攻撃する 重要インフラ.
したがって、アクセスは閉鎖されたサークルに制限されます 選ばれた50の組織これには、マイクロソフト、グーグル、アップル、アマゾン、JPモルガン・チェースといった巨大企業が含まれる。これらの企業はAIを使って ソフトウェアを一括でパッチする 攻撃者が同様のモデルに基づいて独自のツールを開発する前に、我々は行動を起こさなければならない。これは本質的に軍拡競争であり、Anthropicは正義の味方が優位に立つことを望んでいる。
当該分野への教訓と開発の未来
今回の導入により、セキュリティはもはや後回しにできないことが明らかになった。Cloudflareは、AIエージェントを使用するには非常に特殊なテスト環境が必要であると指摘している。単にモデルに「バグを探す」ように指示するだけでは不十分であり、むしろ… タスクをセグメント化し、敵対的レビューを使用する (最初のエージェントの結果を疑問視する2番目のエージェント)AIが事実を捏造するのを防ぐため。
さらに、懸念すべき人的ボトルネックが生じている。AIはプログラマーがバグを修正するよりも速くバグを発見する。Mythosは何千ものエラーを検出するが、 トリアージ、報告、パッチ適用 依然として過重労働のスタッフに依存している。そのため、一部の企業は応答SLAを最低限まで短縮しようとしている。 CVEの公開から2時間後しかし、これには適切な回帰テストを行わずにパッチをリリースしてしまうリスクが伴う。
これに対処するため、Anthropicは Claude Security(ベータ版) エンタープライズ顧客とサイバー検証プログラム向けに、正当な専門家が通常の制限なしにモデルを使用できるようにしています。また、Linux FoundationやApacheなどの財団に数百万ドルを割り当て、オープンソースのメンテナーを支援しています。 この津波のような報告を管理する セキュリティの。
現実には、脆弱性を発見するコストは急激に低下し、発見から悪用までの期間はかつてないほど短くなっています。プロジェクト・グラスウィングの成功は、この新しいエコシステムで生き残る唯一の方法は…であることを示しています。 透明性と分野横断的な連携AIが今や、グローバルなデジタルインフラへの攻撃と防御の両方において主要なツールとなっていることを受け入れる。
