米アンソロピックの新たな
人工知能(AI)モデルMythos(ミトス)その威力と脅威の検証は2月に、インドネシアで始まった
AI研究者のニコラス・カルリーニ氏はバリ島で出席していた結婚式の合間に席を外し、ノートパソコンを開いた
社内レビュー向けに公開されたばかりのミトスが、どのような問題を引き起こす可能性があるのかをチェックするため
アンソロピックからは、ハッカーがAIをスパイ行為や窃盗、破壊工作に悪用できるかどうかを検証するストレステストの実施を頼まれていた
カルリーニ氏は数時間のうちに、世界中で使われているシステムに侵入する複数の手法を見つけた
サンフランシスコ中心部にあるアンソロピックのオフィスに戻ってからは、ミトスが自律的に強力な侵入ツールを作り出せることを確認
そこには、現代のコンピューティングの大半の基盤となるオープンソースの基本ソフト(OS)Linux(リナックス)を標的としたものも含まれていた
セキュリティープロトコルを突破してネットワークに侵入し
オンライン上の資産にアクセスできるデジタル金庫に到達した
AIは従来、個別の防御を破る段階にとどまっていたが、一連の侵入行為全体を遂行できる段階に達していた
カルリーニ氏は同僚数人と、発見した内容についてスタッフへの注意喚起に着手した
その後も日々、ミトスが照準を定めたシステムからは重大性の高い不具合や致命的な欠陥が次々と見つかった
こうした脆弱(ぜいじゃく)性は通常、世界でもトップクラスのハッカーが発見する類いのもの
一方、アンソロピックのフロンティア・レッドチームも同様の検証を進めていた
15人の社員で構成されるこのチームの目的は、同社AIモデルが人類に害を及ぼす形で利用されないようにすることだ
ロボット犬を倉庫に持ち込み、エンジニアとともに同社のAIツールClaude(クロード)が悪意ある形でそれらを制御できるかを試したり
生物学者と協力して同ツールが生物兵器の開発に使われる可能性があるかを検証したりしている
そしてミトスがもたらす最大のリスクはサイバーセキュリティーにあると認識するに至った
フロンティア・レッドチームを率いるローガン・グラハム氏
「このモデルを入手してから数時間で、従来とは異なると分かった」
従来モデルのOpus 4.6(オーパス4.6)は、ソフトウエアの脆弱性を悪用する手助けができる兆候を示していた
一方、ミトスは自ら脆弱性を突いて攻撃できる
そう指摘するグラハム氏は、国家安全保障上のリスクだとして経営陣に警告
アンソロピックにとって新しい収益源となるはずのモデルが、公開するには危険過ぎると上司に伝えざるを得なくなった
同社の共同創業者で最高科学責任者(CSO)のジャレッド・カプラン氏
ミトスの開発過程を「非常に注意深く」監視してきたと話した
1月の時点で、同モデルが脆弱性の発見で極めて高い能力を持つことに気づき始めたと
理論物理学者でもあるカプラン氏は、こうした欠陥が単なる興味深い現象なのか
それとも「インターネットのインフラにとって極めて重大な問題」なのかを見極める必要があったが、最終的に後者だと結論付けた
2月終盤から3月初めにかけての1-2週間
カプラン氏は共同創業者のサム・マッキャンドリッシュ氏とともに、このモデルを公開できるかどうかを検討した
3月第1週ごろには、ダリオ・アモデイ最高経営責任者(CEO)、ダニエラ・アモデイ社長、ビタリー・グダネツ最高情報セキュリティー責任者(CISO)ら経営陣が集まり、カプラン氏とマッキャンドリッシュ氏の提案を聞いた
ミトスを一般公開するにはリスクが大き過ぎるとの判断に至った
一方で、場合によって競合も含む他社にも試用させるべきだとした
カプラン氏
「これは従来のリリースとは異なる、かなり異例の対応になるとすぐに明らかになった」
アンソロピックは3月第1週までに
サイバー防御ツールとしての利用を承認し、導入を決定した
なお、アンソロピックは今月16日、AIモデル オーパス4.7を発表した
ソフトウエアエンジニアリング能力の向上を目的としたものだが、サイバーセキュリティー用途でミトスほどの能力は持たないとい
アンソロピックがミトスの存在を公表した当日、ベッセント米財務長官とパウエル連邦準備制度理事会(FRB)議長は、首都ワシントンでウォール街の金融機関幹部らを招集
メッセージは明確だった。弱点の洗い出しにミトスを活用せよ、しかも直ちに
事情に詳しい複数の関係者によると、会合に出席した経営陣は
議論の内容を最側近の一部にも明かさなかった
会合の重大性を物語るものだ
ホワイトハウス当局者が、ハッキングツールとしてのミトスの威力に警鐘を鳴らしつつ、防御目的に活用するよう助言していることは
AIがサイバーセキュリティーで決定的な役割を担いつつある現状を浮き彫りにしている
アンソロピックはプロジェクト・グラスウィングの一環として
アマゾン・ウェブ・サービス(AWS)やアップル、米銀最大手JPモルガン・チェースなどに限定公開
ミトスの実験を可能にした
アンソロピックは外部公開に先立ち、ミトスの攻撃・防御の両面にわたる能力について、米政府高官に説明
さらに、各国政府とも協議を続けていると、同社関係者は匿名を条件に語った
競合のOpenAIもこの動きに呼応し、ソフトウエアの欠陥検出を目的としたツールGPT-5.4-Cyberを発表すると14日に明らかにした
アンソロピックはミトスをサイバーセキュリティーツールとして一般公開しておらず
外部研究者も同社の主張を検証する機会を得ていない
ただ、アクセスを制限するという異例の判断は
AIが脆弱性発見のコストを引き下げ、相手を調査する時間を短縮し、攻撃する技術的ハードルを下げることで
サイバーセキュリティーの経済性を変えつつあるとの認識が、業界や政府内で広がっていることを示している
アンソロピックは、自律性の高いミトスの作動の能力にはリスクが伴うと警告
初期版の検証では、数十件の「懸念される」作動を確認
人間の指示に従わないことや、まれなケースでは人間の指示に違反した際にその痕跡を隠蔽(いんぺい)する事例もあった
ある事例では制限された環境から脱出するための複数段階のエクスプロイト(攻撃手法)を自ら構築
インターネットへの広範なアクセスを得た上で、オンライン上に情報を公開し始めた
銀行アプリや病院システムを含め、現代社会を支えるソフトウエアには見つけにくいバグが多数存在
専門家が特定に数週間から数カ月を要することもある
こうした脆弱性をハッカーが先に突けば、大規模な情報漏えいやランサムウエア(身代金要求型ウイルス)攻撃などを招き、深刻な被害につながる恐れがある
~
ハッカーは既に大規模言語モデル(LLM)を活用し、複雑な攻撃を展開している
中国のサイバー諜報(ちょうほう)グループはアンソロピックのクロードを使い、約30の標的への侵入を試みた
AIを用いて政府機関からのデータ窃取やランサムウエアの展開、何百もの防御用ファイアウオールの突破などを行っているハッカーもいる
国防を担当する米政府当局者の間には
ミトスの登場によって、サイバーセキュリティーリスクをどう評価するかを巡り、根本的な不確実性が生じていると、事情に詳しい関係者は指摘
同モデルや同様のAIがハッカーに与えられれば
普通の兵士が特殊部隊の一員に様変わりするのに匹敵するような変化が生じる可能性があると説明
同時にミトスは、能力の増幅にもつながる可能性があると考えられると
つまり犯罪組織が小規模国家並みの攻撃力を持つことや
小国の情報機関や軍のハッカーが中国並みのサイバー攻撃を実行することも可能になると・・・
米国家安全保障局(NSA)の元サイバーセキュリティー責任者、ロブ・ジョイス氏
「AIによって安全性は高まり、一段と強固な防御が実現すると思う」
「だが、現時点から将来に至るまでの間には、攻撃側が優位となる暗い期間が存在し
基本的な対策を講じていない人々は攻撃を受けるだろう」
なお、この種の作業を行っているモデルはミトスだけではない
過去のクロードやグーグルのBig Sleepなど、多くの組織がLLMを用いて脆弱性を検出している
JPモルガンはミトスの発表以前から、同行ソフトウエアの脆弱性を発見するのにLLMを活用してきた。
ゼロデイと呼ばれる未知の脆弱性を特定し、それを悪用するコードを書くのに数日から数週間かかっていた作業が
現在では最短で1時間、場合によっては数分で完了するようになっていると・・・
JPモルガンの主な焦点はサプライチェーンとオープンソースソフトウエアにあり
脆弱性を発見した後はベンダーに通知してきたと
ジェイミー・ダイモンCEOは決算発表後の電話会見でミトスについて
「修正が必要な脆弱性がもっとずっと多いことを示している」
ミトスが一般に知られる前の段階から、JPモルガンはアンソロピックと協議し、そのテストを行っていた
現在では、他のウォール街の金融機関やテクノロジー企業も、ハッカーに侵入経路を見つけられる前に脆弱性をふさぐ目的でミトスの実験を行っている
ゴールドマン・サックス・グループやシティグループ、バンク・オブ・アメリカ(BofA)、モルガン・スタンレーなどが、この技術を社内でテストしているとブルームバーグ・ニュースは先に報じた
米シスコシステムズのスタッフは
侵入者がAIを利用して、ルーターやファイアウオール、モデムなど、同社の世界中のネットワーク機器用ソフトウエアへの経路を見つけようとしないか、特に警戒している
同社の最高セキュリティー&トラスト責任者、アンソニー・グレコ氏
サポート終了となり、同社による更新が行われない機器を標的とするハッカーの活動をAIがどう加速させるかについて憂慮していると
AIツールが発見した脆弱性をふさぐ作業は、依然として課題として残る
このプロセスはセキュリティーパッチの適用として知られるが、組織にとってコストが高く時間もかかる作業であるため
多くの場合バグが放置される
約1億4700万人分の個人情報が盗まれた米消費者信用調査会社エキファックスへの壊滅的な攻撃のような事例は、既知の修正が適用されなかったことで生じた
アンソロピックはAI技術の軍事利用を巡る対立で
米国防総省が同社をサプライチェーンのリスクと認定した後も、連邦政府機関との協議を続けている
米財務省は今週、ミトスへのアクセス獲得を模索しており
ベッセント氏は、このモデルが米国が中国に対してAI分野での優位性を維持する助けになると語った
ある事例では、ミトスは四つの脆弱性を連鎖させたウェブブラウザー向けエクスプロイトを作成した
脆弱性の連鎖は本来は、高度に保護されたシステムへの侵入経路となるもので
イランの核施設にある遠心分離機に損害を与えたマルウエア「Stuxnet(スタックスネット)」攻撃でも用いられたと、複数のサイバーセキュリティー研究リポートは指摘
アンソロピックによればミトスは指示を受けた場合
主要な全てのウェブブラウザーについてゼロデイ脆弱性を特定し、それを悪用することも可能だった
アンソロピックはまた、ミトスを用いてリナックスのコードのエクスプロイトを自律的に発見したとしている
これら複数の欠陥が悪用されれば、マシンを完全に制御されてしまう可能性がある
リナックス財団のエグゼクティブディレクター、ジム・ゼムリン氏
リナックスは「現代のコンピューティングの大半を支える基盤」
採用先にはアンドロイドのスマートフォンやインターネットルーター、米航空宇宙局(NASA)のスーパーコンピューターなどが含まれる
財団では現在、数十人がミトスで実験を行っている
ゼムリン氏にとっての一つの疑問点は
開発者が一段と優れたソフトウエアを設計し、脆弱性を減らすための洞察をミトスがもたらすかどうかだ
「われわれはバグを見つけるのは得意だが、それを修正するのは非常に苦手だ」
・・・こういうのは攻撃側が有利
北朝鮮・中国共産党etcがホしがる
中国は自前で作りそう・・・
最低限、ネット上の金融取引ヤめよっかな~
最近、窓口での手続きが面倒に
だけど面倒だから安心できる部分も
ネット取引してないトコからのメールはサクサク迷惑認定できるし
ただ、ID他をパクられて
ネット取引の口座なんかを作られると・・・
今日は~
フクジュソウ/Adonis ramosa秩父紅
画は3月の始め~中ごろ
ツボミがひらいてオレンジが薄くなりだした
0 件のコメント:
コメントを投稿