CDN大手のCloudflareは5月18日(現地時間)、サイバーセキュリティの防御を目的とした取り組み「Project Glasswing」の一環として、Anthropicのプレビュー版AIモデル「Mythos Preview」を自社の50以上のリポジトリでテストした結果を公開した。
Project Glasswingとは
Project Glasswingは、Anthropicをはじめ、AWS、Google、Microsoft、CrowdStrikeなどのIT大手が結集し、世界の重要なソフトウェアインフラをAIの力で保護・強化することを目的とした共同プロジェクトである。このプロジェクトの基盤となるMythos Previewは、Anthropicが開発した最先端AIモデルのプレビュー版で、ソフトウェア脆弱性の発見と、それを実証(悪用)する能力を備えている。AIの進化によってサイバー攻撃の脅威が急速に高まる中、この能力を攻撃者より先に防御目的で活用することが同プロジェクトの狙いだ。
テスト結果の詳細
Cloudflareは、テストの結果、Mythos Previewが従来の汎用AIモデルから飛躍的な進歩を遂げていることが確認できたとしている。特に、複数の軽微なバグを組み合わせて実際の攻撃経路を割り出すエクスプロイトチェーンの構築と、自らコードを書いて実行し脆弱性を実証する概念実証(PoC)の生成で、高い能力を発揮したという。PoCが実際に提示されることで、AIによる脆弱性スキャンで長年の課題であった誤検知(フォールスポジティブ)が劇的に減少し、人間によるトリアージの手間が大幅に削減されたとしている。一方で、正当なセキュリティ調査であっても、モデルのガードレールが断続的に作動してタスクの実行を拒否してしまうケースも判明した。
重要な知見と今後の課題
同社はこのテストから得られた重要な知見として、強力なAIでも汎用的なコーディングエージェントを単にコードベースに適用するだけでは機能しないことを挙げた。コンテキストの制限や処理能力の問題を克服するため、Cloudflareはタスクを細分化し、複数の特化型エージェントを並行して実行させる専用の実行パイプラインを構築することで、効果的な脆弱性調査を実現したとしている。
さらにCloudflareは、AIの登場により、脆弱性の発見から悪用までの時間が、数カ月から数分へと短縮されていると警告した。これからのセキュリティチームは、単にパッチ適用を迅速化するだけでは対応しきれず、脆弱性が存在していても攻撃者がそこに到達できないような防御策を設けるなど、アプリケーションのアーキテクチャ全体を見直す必要があると結論付けている。
