Anthropicは、AIがセキュリティ脆弱性を悪用するリスクから重要なソフトウェアを保護することを目的とした研究プログラムであるGlasswingプロジェクトの最初の結果を発表しました。
Anthropicによると、クロード・マイソスという名前のサイバーセキュリティAIモデルは、わずか1ヶ月の間に10,000件以上の深刻または非常に深刻なソフトウェア脆弱性を検出しました。
この情報は、AIが現在、人間の処理および修正能力をはるかに超える速度でセキュリティ脆弱性を検出できるという認識を強化しています。
Anthropicによると、Claude Mythosは未公開のAIモデルであり、サイバーセキュリティタスク専用に開発されました。試験段階では、プロジェクトに参加している多くのパートナーが、以前よりもセキュリティエラーの検出数が大幅に増加していることを記録しました。
注目すべきパートナーの1つは、テクノロジー企業Cloudflareです。同社によると、主要システムで約2,000件のエラーを検出しており、そのうち400件が深刻または高度な危険レベルと評価されています。
Cloudflareの技術チームは、Mythosの誤報率は、多くの従来の手動テスト方法よりも低いと述べています。
一方、非営利テクノロジー組織Mozillaは、Mythos Previewをテストした際にFirefox 150で271のセキュリティ脆弱性を見つけて修正したと述べています。この数は、以前のClaude Opus 4.6モデルを使用してFirefox 148で発見したエラー数の約10倍です。
パートナー銀行とのテストでは、このシステムは150万米ドル相当の不正な送金取引をリアルタイムで阻止することに成功したと考えられています。
オープンソースプロジェクトに関して、Anthropicは、Mytos Previewを使用して、今日のインターネットの大部分のプラットフォームと見なされている1,000以上のプロジェクトをスキャンしたと述べています。これらのプロジェクトから、AIは約6,202の高度または非常に深刻な脆弱性を検出しました。
精度を検証するために、Anthropicは6つの独立したセキュリティ調査会社と協力して、検出された1,752の脆弱性を評価しました。結果は、約90.6%が正確な警告であり、62.4%が非常に深刻または非常に深刻なレベルであると確認されました。
しかし、AIのエラー検出速度が速すぎることも、ソフトウェア開発コミュニティに大きなプレッシャーを与えています。
Anthropicによると、現在の脆弱性処理プロセスは非常に複雑です。AIが脆弱性を検出した後、専門家は信憑性を確認し、危険度を評価し、パッチを確認し、関連するソフトウェア開発チームに詳細なレポートを送信する必要があります。
多くのオープンソースプロジェクトは、AIによって生成された多数のエラーレポートによって過負荷になっていると考えられています。一部のソフトウェア管理グループは、Anthropicにセキュリティパッチを開発および展開するのに十分な時間を与えるために、レポートの送信速度を遅くするように提案さえしています。
同社の統計によると、深刻な脆弱性ごとに平均して約2週間の修復が必要です。
現在までに、Anthropicは530件の重大な脆弱性を報告しており、そのうち完全に修正されたのは75件のみで、65件が公開セキュリティ警告を発しました。さらに、さらに827件の脆弱性が発表を待っています。
