攻撃的AIの新たな閾値が、防御の再考を迫っている
IEEE Spectrumの4月23日付ゲスト記事の主張は明快だ。AnthropicのClaude Mythos Previewは、専門家の支援なしにソフトウェアの脆弱性を自律的に見つけ、武器化し、実際に動作するエクスプロイトへ変えられるという。仮にその説明が実運用でも成り立つなら、サイバーセキュリティは新しい段階に入り、攻撃的な発見の速度と規模が、多くの組織の受け止め能力を上回るペースで進むことになる。
記事の著者であるBruce SchneierとBarath Raghavanは、副題でその含意を簡潔に示している。新しい現実は、継続的にテストされ、継続的に修正されるシステムを報いる、ということだ。ここが核心である。エクスプロイトを構築できるモデルの直近の重要性は、攻撃が単に作りやすくなるという点だけではない。断続的なスキャン、定期更新、遅れた是正という従来のリズムが、構造的に不十分に見え始める点にある。
技術的な詳細が長く並んでいなくてもMythosの議論が重要なのはこのためだ。中心課題はアーキテクチャにある。攻撃能力がより自動化されるなら、防御も断続的なままではいられない。
なぜ自律性がサイバーセキュリティの方程式を変えるのか
サイバーセキュリティには長年、不均衡の問題がある。攻撃者は有効な突破口を一つ見つければよいが、防御側は重要なものをすべて守ることが求められる。脆弱性を独自に見つけ、それを実働するエクスプロイトに変換できるAIシステムは、発見から攻撃までの時間を短縮することで、この不均衡をさらに広げる恐れがある。
原文で重要なのは「専門家の支援なしに」という表現だ。すでに多くのセキュリティツールはアナリストの作業を高速化しており、多くの攻撃ワークフローも自動化で加速できる。しかし、人間の専門知識への依存を大きく減らすシステムは、誰が高度な作業を試みられるか、そしてどれくらい頻繁に試みられるかを変えてしまう。より多くの能力を外へ押し出すのだ。
だからといって、すべての主体が即座に高い効果を発揮するわけではない。運用コンテキスト、標的の選定、アクセス、そして実行の持続性は依然として重要だ。だが、技術的な作業のより大きな部分が機械に委ねられることは意味する。その状態が当たり前になれば、防御側への圧力は一気に高まる。
実務上、脆弱性はもはや有識者が気付くのを待つ単なるバグではない。テストし、反復し、欠陥を展開可能なものへ梱包できるシステムへの候補入力になる。弱点と武器の距離が縮まる。
