AIによる脆弱性発見が焦点
米AI企業アンソロピックが開発した「クロード・ミュトス」をめぐり、サイバー分野での影響に関心が集まっている。ダリオ・アモデイCEOは5月5日、ニューヨークでのイベントで、ソフトウエアの欠陥を見つける能力を持つAIについて説明した。中国勢が同水準の能力に6か月から12か月で近づくとの見方も示した。
ミュトスは、OSやウェブブラウザなどの脆弱性を特定できる高い能力を備えているとされる。ソフトウエアの不備を早期に見つけることは、防御面では大きな意味を持つ。企業や政府機関が修正作業を進めれば、サイバー攻撃を受ける可能性を下げることにつながる。
悪用防止へ利用範囲を制限
アンソロピックは、ミュトスの提供を限られた企業にとどめている。高性能なAIが犯罪集団や敵対国に利用されれば、発見された脆弱性を攻撃に転用される危険があるためだ。報道では、グーグルなどのIT企業や金融機関が提供先として挙げられている。
アモデイ氏は、AIを使って数万件のソフトウエア脆弱性を発見したと述べた。これは、防御側にとって有効な技術である一方、欠陥が修正されないまま残れば深刻なリスクとなる。脆弱性を知る能力が広がるほど、修正の遅れは攻撃機会の拡大につながる。
中国AIの追随に強い懸念
アモデイ氏は、中国のAIモデルについて、現時点ではミュトスより6か月から12か月遅れているとの認識を示した。そのうえで、この期間内に中国勢が追いつくとの見通しを語った。AI開発の進展が速い中、サイバー分野での技術差は長く維持されないとの見方を示した形だ。
この発言は、AIモデルの性能競争が単なる技術開発にとどまらないことを示している。脆弱性を発見するAIが広がれば、企業や政府が抱える未修正の欠陥は攻撃対象になりやすい。高度なAIの普及速度に合わせ、防御体制の整備も早める必要がある。
放置された欠陥が攻撃対象に
アモデイ氏は、競合国のAI開発が進むまでにソフトウエアの欠陥を修正しなければ、「悪者が脆弱性を突くだろう」と述べた。発言は、見つかった問題を把握するだけでは不十分であり、修正まで完了させる必要があるとの警告である。サイバー防衛では、発見と対応の両方が重要となる。
政府機関や企業が利用するシステムには、多くのソフトウエアが組み込まれている。脆弱性が残れば、業務停止や情報流出などの被害につながるおそれがある。ミュトス級のAIが広がる前に、欠陥を減らす取り組みを進めることが重要になる。
安全なAI利用へ対応急務
アモデイ氏は一方で、最新AIを正しく使えば「よりよい世界になる」とも述べた。高度なAIはリスクを持つ一方、防御技術として活用すれば、社会全体のサイバー安全性を高める手段となる。重要なのは、発見された脆弱性を管理し、修正につなげる仕組みである。
今回の発言は、AIの能力向上に合わせて安全管理を強化する必要性を示した。中国勢が短期間でミュトスに近づくとの見通しは、企業や政府に対応を急がせる材料となる。AI開発競争が進む中、脆弱性対策の遅れは、サイバー攻撃への備えに直接影響する課題となっている。
