Galaxy：サイバーセキュリティへの懸念　Anthropicの新型モデルが警戒感を招く

著者：Lucas Tcheyan、Galaxy Digitalリサーチャー；出典：Galaxy；編集：Shaw 金色財経

先週火曜日、Anthropicは「Claude Mythos Preview」プレビュー版をリリースした。この最先端のAIモデルは、ソフトウェアの脆弱性を発見・悪用する能力が極めて高く、公式には一般公開できないとしている。その代わり、「Project Glasswing」と名付けられた新たなサイバーセキュリティ防御計画の下、このモデルへのアクセス権限は、Apple、Microsoft、Google、Amazon、JPMorgan Chase、Linux Foundationを含む約40の機関にのみ開放されている。

このモデルが示した能力は極めて際立っている。Anthropicによると、Mythosは主要なOSやウェブブラウザにおいて、これまで知られていなかった数千ものセキュリティ脆弱性を発見した。その中には、数十年にわたる手動による審査や数百万回に及ぶ自動セキュリティスキャンを経ても発見されなかったものも含まれている。あるテストでは、Mythosは実際に悪用可能な攻撃コードを181回生成することに成功したが、Anthropicのこれまでの最高性能モデルではわずか2回しか達成できなかった。別のテストでは、モデルは完全なリモートroot権限攻撃コードを自律的に作成した。これにより、攻撃者はサーバーを完全に制御できるようになり、初期のプロンプト以降、人為的な介入を一切必要とせず、コストは50ドル未満であった。Anthropicは、この種の能力は特別な訓練によって得られたものではなく、コード生成能力と推論能力が全面的に向上した結果として自然に現れたものであると述べている。これは、将来、コード生成能力がより高いモデルはすべて、その破壊能力も同時に向上することを意味する。添付された244ページのシステム説明文書では、このモデルが内部のアクティベーションプロセスにおいて評価システムを欺く方法を計画しつつ、可視出力では全く異なる内容を生成できることも明らかにされている。このような行動は、専門的なモデル説明可能性ツールを使用しなければ検出できない。

今回の発表直前に、Anthropicは年換算売上高が3月の190億ドルから4月には300億ドルへと急増したことを明らかにしたほか、同社は早ければ10月にもIPOを開始することを検討しているとの報道もある。

当社の見解

Anthropicの公式発表を全面的に信じるかどうかに関わらず、技術の発展傾向は極めて明確です：AIの能力は驚異的なスピードで進化しており、資産やデータを保護する必要があるあらゆる主体はこれを極めて重視しなければなりません。そして、暗号資産業界こそがまさに主要な攻撃標的となっています。Mythosは、TLS、AES-GCM、SSHなど、広く使用されている暗号化ライブラリにおいて重大な脆弱性を発見した。これらのプロトコルは、分散型金融（DeFi）プラットフォームや中央集権型取引所の基盤インフラを支える中核となっている。

Mythosはさらに、27年前に修正されたとされていた脆弱性を伝送制御プロトコル（TCP）内で発見しました。HTTP/HTTPS、メールプロトコル、ファイル転送などを含め、世界のインターネットトラフィックの約80％はTCPに基づいて動作しています。攻撃者がこれらの欠陥を悪用すれば、暗号資産業界の運用に不可欠な基盤ネットワークを含む、インターネットの中核インフラを麻痺させる可能性があります。Anthropicは同時に、人的介入やプロセス上のハードウェアに依存するセキュリティ対策は、AIを活用した攻撃者に対しては「防御能力が大幅に低下する可能性がある」と警告しています。

分散型金融（DeFi）の分野では、マルチシグウォレット、タイムロック、セキュリティ監査など、人的介入やプロセスに依存する防御手段が、セキュリティ体系全体の核心となることが多い。Anthropicの研究者は、セキュリティの力関係が新たな均衡に達すれば、最終的にはAIによって防御側が攻撃側よりも大きな恩恵を受けると考えている。しかし、移行期は激動に満ちており、短期的には、こうしたツールをいち早く導入した側が優位に立つだろう。

同時に、公式の説明枠組みにも疑問の余地がある。2019年、Anthropicの創業者兼CEOであるDario AmodeiがまだOpenAIに在籍していた際、同社は「危険すぎて公開すべきではない」という理由でGPT2について「危険すぎて公開すべきではない」として同様の宣伝を行っていたが、翌年には同社を退社しAnthropicを設立した。IPOを目指し、収益が急成長している企業にとって、「公開できないほど危険」というのは、安全性の表明であると同時に極めて競争力のあるマーケティングのストーリーでもあり、特にOpenAIが年換算で240億ドルの収益を発表した背景においては、その傾向が顕著である。さらに、これらの能力は発表が示唆するような唯一無二のものではないことを示す証拠もある。あるサイバーセキュリティ企業は、小型で低コストなオープンソースの重み付けモデルを使用して、OpenAIが提示した脆弱性をテストしたところ、8つのテストサンプルのすべてで中核的な攻撃の脆弱性が検出された。その中には、360億パラメータを持ち、100万トークンあたりわずか0.11ドルで運用できるモデルも含まれていた。同機関は、真の技術的障壁は単一のモデルそのものではなく、システム全体（付随するフレームワーク、脆弱性の分類、および分野の専門知識）にあると考えている。

この傾向は極めて重要だ。最も破壊的なAI能力は、ますますクローズドなアクセスプログラムに限定されつつあるが、 Project Glasswing は、最先端モデルを世界に向けて開放するモデルケースとなる可能性がある。AI能力の継続的な進化に伴い、最強モデルのアクセス権を誰が掌握し、どのような条件で開放するかという問題は、ますます深刻化していく。分散型AIインフラは一種のチェック機能となるが、反対の視点も同様に成り立つ：一部の能力は確かに無制限に開放すべきではなく、責任ある管理と商業的障壁の構築との境界線は非常に曖昧である。

この矛盾をいかにバランスさせるかが、今後数年間の核心的な課題の一つとなるだろう。暗号資産業界は、AIを活用した攻撃の標的として高い価値を持つ一方で、代替インフラの構築者でもあり、まさにこの駆け引きの両端に位置している。