Cloudflare、Anthropic製AI「Mythos」でサイバー防衛テスト──脆弱性悪用が数分に短縮と警鐘

米CDN大手Cloudflareは5月18日、Anthropicのプレビュー版AIモデル「Mythos Preview」を自社の50以上のリポジトリでテストした結果を公表した。この取り組みは、サイバーセキュリティ防衛を目的とする共同プロジェクト「Project Glasswing」の一環として実施された。

Project Glasswingは、AnthropicのほかAWS、Google、Microsoft、CrowdStrikeなどIT大手が結集し、AIの力で世界的なソフトウェアインフラを保護・強化することを目的としている。基盤となるMythos Previewは、ソフトウェア脆弱性の発見と実証（悪用）を可能にする最先端AIモデルのプレビュー版で、攻撃者に先んじて防御に活用する狙いがある。

Cloudflareによれば、Mythos Previewは従来の汎用AIモデルから飛躍的に進歩しており、複数の軽微なバグを組み合わせたエクスプロイトチェーンの構築や、コード作成・実行による概念実証（PoC）の生成で高い能力を示した。PoCが提示されることで誤検知が劇的に減少し、人間によるトリアージの手間が大幅に削減された一方、正当な調査でもガードレールが作動してタスクを拒否する事例も確認された。

同社は重要な知見として、強力なAIでも汎用的なコーディングエージェントをコードベースに適用するだけでは機能しない点を挙げる。コンテキスト制限や処理能力の課題を克服するため、タスクを細分化し複数の特化型エージェントを並行実行させる専用パイプラインを構築したことで、効果的な脆弱性調査を実現したと説明する。

Cloudflareはさらに、AIの登場により脆弱性の発見から悪用までの時間が数カ月から数分へ短縮されたと警告する。今後はパッチ適用の迅速化だけでは不十分で、脆弱性が存在しても攻撃者が到達できない防御層を設けるなど、アプリケーションのアーキテクチャ全体の見直しが必要だと結論づけている。