2 週間前に「深刻度低 1 件で大騒ぎ、宣伝目的の茶番」と cURL 開発者から一蹴された Anthropic の脆弱性発見 AI 「Mythos」 が、立て続けに重い実績を積んだ。Google 系研究者集団 Calif の検証で Apple が 5 年がかりで開発したメモリ保護機構「MIE」を、Mythos が 5 日で突破。同じ週に Cloudflare が 50 以上のリポジトリで PoC 生成能力を確認 したと公表、Anthropic は 金融安定理事会 (FSB) に金融システムへの影響を説明 することで合意した。
Apple MIE を 5 日で突破した意味 #
MIE は 2025 年 9 月発表の保護機構で、ARM の MTE を活用し C/C++ 由来のメモリ安全違反を抑える狙いだった。Calif によれば、研究者が macOS 26.4.1 上で 2 つの脆弱性を 4 月 25 日に発見、攻撃チェーン構築を Mythos に任せたところ 5 月 1 日に root 権限の奪取に成功。5 年の防御 vs 5 日の攻撃 ─ OS ベンダーが緩和機構を出してから攻撃側が回避ルートを揃えるまでの時間軸が、AI で劇的に縮む という警告だ。
読み直したい論点 #
前回の cURL 騒動の論点は「AI 発見の品質」、今回は「AI 攻撃の到達速度」 ─ 別物だ。運用者の関心は『AI に何が見つけられるか』から『AI に攻めてこられた時に守れるか』へ重心が移る。Mythos クラスのモデルが社内環境に向いた時、自社レッドチームは何日で同等を再現できるか ─ ここから逆算した防御リハーサル設計が、新しい現実的な備えになる。
COMMENTS 0
No comments yet — be the first to leave one.