Anthropic が公開した新モデル「Claude Mythos Preview」は、ソフトウェアの脆弱性を 発見するだけでなく、実際に悪用可能かどうかの検証まで自動で行える と謳う AI である。Anthropic 発表の初期レポートでは、深刻度「高」以上と推定される脆弱性候補を 6202 件 検出。日本の銀行でも採用に向けた動きが報じられている。
なぜ「検証まで自動化」が決定的なのか #
脆弱性スキャナーがアラートを大量に吐く時代は長く続いてきたが、「本当に悪用できるか」を確かめるのは常に人間の仕事 だった。SQL インジェクションに見えてもエスケープが効いているケース、Use-After-Free に見えてもヒープレイアウト的に到達不能なケース ― 真贋判定にはコードと実行環境の両方を読む必要がある。
Claude Mythos Preview はここを自動化したと主張する。これが事実なら、誤検知に消耗していた SOC や脆弱性管理チームの仕事配分が根本から変わる。優先度付けに半日かけていた CVSS スコア+目視確認のフローは、PoC 付きレポートに圧縮される。
銀行が先に動く理由 #
金融機関の早期採用は意外に見えるが、バックエンドのレガシー COBOL / Java EE 領域に大量の未パッチ脆弱性が眠っている ことを彼らが一番よく知っているからとも読める。委託先 SI に頼ると工数が爆発する内部監査を、AI で「網羅×検証」できれば数千時間規模のコスト削減になる。規制業種ゆえに監査証跡の電子化要求も強く、AI が出力する exploit chain がそのまま是正計画の根拠資料になる ― これは内製セキュリティチームを抱える銀行ほど効きやすい構造だ。
攻撃者側にも同じ AI は来る #
ただし手放しでは喜べない。同等の AI が攻撃者の手にも渡ることは確実で、ゼロデイの「発見から悪用までの時間」はさらに圧縮される。重要なのは、防御側がパッチ運用の自動化と検証速度で AI に追従できるか ― つまり脆弱性対応のサイクルタイムこそが、これからのセキュリティ運用の新しい競争領域になるということだ。「年 1 回のペンテスト」というモデルは、もはや AI 駆動の継続的脆弱性発見に対抗できる仕組みではない。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。