AISI評価、Claude Mythos Previewが専門家級CTFを73%攻略
英国AI Security Instituteが公開した最新評価で、Anthropic非公開モデル「Claude Mythos Preview」が、これまで一機種も完走できなかった専門家級のサイバー攻撃演習を7割超える確率で突破したことが示された。防御側の時間はもう、潤沢には残されていない。
英国AI Security Instituteが公開した最新評価で、Anthropic非公開モデル「Claude Mythos Preview」が、これまで一機種も完走できなかった専門家級のサイバー攻撃演習を7割超える確率で突破したことが示された。防御側の時間はもう、潤沢には残されていない。
「誰もクリアできなかった」壁を、初めて越えたモデル
英国のAI Security Institute(AISI)が4月13日、Anthropicの非公開モデル「Claude Mythos Preview」のサイバー能力評価レポートを公表した。対象となったのは4月7日に発表されたばかりの、一般公開を見送られている最強クラスのClaudeだ。
AISIが長く追ってきた評価系は、キャプチャー・ザ・フラッグ(CTF)と呼ばれる攻撃競技の難易度別スコアと、企業ネットワーク侵入を32段階でシミュレートする独自レンジ「The Last Ones(TLO)」の2本立てである。そこで出てきた数字が、率直に言って、従来の延長線では説明しづらい。
専門家レベルのCTFについて、AISIは「2025年4月より前はどのモデルも解けなかった」課題だと明記している。そのカテゴリで、Mythos Previewは平均73%の成功率を叩き出した。1年前の景色を知る人間にとって、これは「少し伸びた」という話じゃない。地形ごと変わったという話だ。
2年前は初心者課題すら解けなかった
AISIはこの分野の能力を2023年から追跡している。最初はチャットベースの探りを入れる程度の評価だったものが、CTFへ、そして多段階攻撃シミュレーションへと、モデルの進歩に合わせて壁を高くしてきた経緯がある。
レポートにははっきりこう書かれている。
2年前、利用可能な最良のモデルは初心者レベルのサイバー課題をかろうじてこなす程度だった。今では、管理された評価環境で明示的に指示しネットワークアクセスを与えれば、脆弱なネットワークに対して多段階攻撃を実行し、脆弱性を自律的に発見・悪用できるところまで来ている。人間の専門家が何日もかけるような作業だ。
2年で「初心者レベルをかろうじて」から「専門家級を73%」までの距離を詰めた計算になる。このペースを前提に来年を想像すると、気が重くなる。
32ステップの企業ネットワーク、初めて端から端まで通したモデル
TLOはAISIが組み上げた擬似的な企業ネットワーク侵入演習で、偵察から完全掌握までを32段階に分解し、人間の専門家なら約20時間を要する設計になっている。ネットワークの完全掌握、横展開、資格情報の窃取、Web脆弱性の悪用といった工程が順番に並ぶ。
この演習をMythos Previewは10回中3回、最初から最後までやり切った。これが、AISIが観測した範囲で「通しで解けた」最初のモデルになる。全試行を通した平均ステップ数は32段階中22段階。次点のClaude Opus 4.6は平均16段階で、ここには無視できない開きがある。
すべてを解いたわけではない
一方でAISIは、自分たちの発表に自分たちで釘を刺している。運用技術(OT)環境を模した「Cooling Tower」レンジは完走できなかった。ただし、これはMythos PreviewがOT攻撃に弱いという結論を必ずしも意味しない。モデルが詰まったのは、その前段のIT領域だったとAISIは説明している。
我々のレンジは実環境とは重要な違いがある。現実の環境にはよくある、能動的な防御側や防御ツールが欠けている。セキュリティアラートを誘発する行動に対するペナルティも存在しない。したがって、Mythos Previewがしっかり防御されたシステムを攻撃できるかどうかは、現時点では確実には言えない。
ここは冷静に読む必要がある。演習環境は現実より「脆い側」に寄っているということだ。数字が派手に見える一方で、守りの厚い本番環境で同じスコアが出る保証はない。裏返せば、守りの薄い無数のシステムに対しては、すでに自律的な攻撃能力があるということでもある。
Anthropicが公開を見送った理由が、数字で裏付けられた
思い出しておきたいのは、AnthropicがMythos Previewを一般公開しないと明言している点だ。同社は4月7日の発表で、このモデルを「Project Glasswing」と呼ばれる枠組みの中だけで使うと決めている。参加しているのはAmazon、Apple、Google、Microsoft、NVIDIA、CrowdStrike、Palo Alto Networks、Linux Foundationなど12社に加え、重要インフラを担う約40の組織だ。
目的は一つに絞られている。攻撃ではなく、自社コードと重要なオープンソースの脆弱性を先回りで潰すこと。Anthropicは1億ドル規模の利用枠を拠出し、パートナーに使わせる構えを取っている。
Anthropicが自身のブログで公表した内容も、今回のAISI評価と符合する。社内評価の段階で、Mythos Previewは過去数週間のうちに主要OSと主要ブラウザのすべてで何千件もの未知脆弱性を自律的に発見したという。OpenBSDで27年間見過ごされてきた欠陥や、FFmpegのH.264コーデックに16年埋もれていた脆弱性まで掘り当てている。
「公開しない」という判断は、外から見れば過保護にも見えた。AISIの第三者評価が出たことで、その判断の背景にある能力の姿がようやく数字で共有された格好だ。
防御側の準備期間は、たぶん、もう長くない
AISIのレポートで印象的なのは、結論部分の突き放したトーンだ。
攻撃者がモデルに指示を与え、ネットワークへのアクセスを提供して、防御の薄いシステムへの自律的攻撃を実行させられる時代には、サイバーセキュリティ評価の側も進化しなければならない。能力が伸び続けるなか、防御が存在しない評価環境は、もはや最上位モデルの能力差やトレンドを測るには不十分になる。
つまり、これまで「難問」と見なされてきたAISIのレンジ自体が、すでに物差しとして粗くなりつつあるということだ。次世代の評価では、能動的な防御側、エンドポイント検知、リアルタイムのインシデント対応を組み込んだ「守りが効いている環境」を前提にする必要がある、とAISIは書いている。
評価の難易度を上げ続けなければならない理由は、もう隠されていない。モデルがそのペースで追いついてくるからだ。
組織側が今やれること
AISIは実務的な提言も添えている。内容は拍子抜けするほど基本的だ。セキュリティアップデートの定期適用、堅牢なアクセス制御、適切な構成管理、包括的なログ取得。英国NCSCが提供する「Cyber Essentials」スキームへの参照で締められている。
派手な対策ではない。ただ、AISIが言いたいのはおそらくこうだ。今このタイミングで基本を徹底していない組織は、近い将来に自律型AIによる攻撃の射程に確実に入る。基本を固めるだけで攻撃対象から外れる側に回れるのであれば、それが最安の対策だという話である。
防御と攻撃は同じ能力の表裏
AISIはレポートの末尾で、AIのサイバー能力はdual useだと明言した上で、防御側が先に使い倒すことの重要性を強調している。Anthropicが公開を閉じているのも、攻撃側より先に防御側の手に渡すための時間稼ぎだと読める。
その時間が何年あるのかは、誰にもわからない。ただ、Mythos Previewと同クラスのモデルが他社から出てきたとき、同じ慎重さが守られる保証はどこにもない。AISIの淡々とした数字は、そこを見ている。
参照元
他参照
関連記事
- AnthropicのClaude Mythosが「すべての主要OS・ブラウザ」で数千のゼロデイ脆弱性を発見、危険すぎて一般公開せず
- Anthropic、D.C.巡回区がブラックリスト停止を拒否
- OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
- OpenAI流出メモ、Anthropic売上水増しと告発
- Claude Codeのキャッシュ短縮で枠が枯渇、開発者が反発
- Apple、「AIを使わないチーム」を査定対象にし始めた
- AnthropicがWord版Claudeを公開ベータ——法律・金融の現場に直接踏み込む
- Adobe Readerゼロデイ、4か月潜伏とCVSS降格
- AIは「神の子」か──Anthropicがキリスト教指導者15人を招いた理由
- 3万ドルのAI用GPUが約40万円のRTX 5090に惨敗する理由
