ソースコードを持つ者だけの最先端AI ── 普通の会社は、攻撃面を“外から”測る
目次
脆弱性を自律的に見つける最先端AIの時代に、普通の会社が今日できること
この数週間で、セキュリティAIをめぐる景色が大きく動きました。
Anthropic は、自律的に脆弱性を見つける「Mythos」というモデルで、参加企業と合わせて1万件超の重大な脆弱性を洗い出していました。そして6月9日に最上位モデル Fable 5 / Mythos 5 を公開した直後、米政府が輸出規制を発動。両モデルは外国籍ユーザーへの提供を止められ、範囲が広すぎて、結局すべてのユーザー向けに停止されました。規制は同盟国にも一律に及ぶため、日本の会社も今日これを合法的には使えません。
この件の是非はさておき、弊社(ペンタコン研究所)が気になったのは、騒ぎの下に隠れた、もっと地味な問いのほうでした。
この力は、いったいどういう条件で発揮されるのか?
ソースコードを持つ者だけが、最先端AIに守ってもらえる
調べてみると、Mythos の戦果には、はっきりした共通点がありました。ソースコードが手元にある、という前提です。
Mythos はそもそも、ソースコードを読んで脆弱性を推論するように作られたモデルです。テスト対象のコードを入れた環境でコードを読み、「ここが危ないのでは」と仮説を立て、実際に動かして確かめ、再現手順つきの報告まで出す。Glasswing の参加企業の使い方も、並べてみるとすべて同じ性質でした。
- 自社のコードベースをスキャンして脆弱性を探す
- リリース前にコードを検査して、そもそも欠陥を作らないようにする
- 古いレガシーコードを、メモリ安全な言語に作り替える
どれも、ソースが手元にあって初めて成り立つ作業です。実際に見つかった対象も、OSS のプロジェクト群、27年間眠っていた OpenBSD のバグ、暗号ライブラリ。いずれも中身(コード)が読めるものでした。
Anthropic 自身も、ここははっきり線を引いています。「これはインターネット越しのブラックボックス検査(=外から、中身を知らずに叩く検査)とは別物だ。Mythos はソースコードのような“情報量の多い入力”でこそ真価を発揮する」と。
念のため補足しておくと、ソースが無ければ AI 攻撃がゼロになる、という単純な話ではありません。バイナリの解析や、外からの挙動推測といった手口は残ります。それでも、**実証された最強の領域は、間違いなく「ソースが見える側」**でした。
つまり最先端AIの防御力には、「ソースを手に入れられる」という大きな前提がついて回るのです。
でも、自社が使うコードの大半は、他人が持っている
ここで、普通の会社の現実に話を戻します。
仮にこの力をそのまま自社防御に使おうとすれば、自社が使っているすべてのソフトのソースコードを、AI に読ませる必要があります。けれど、少し考えればすぐ分かります。それは、ほぼ不可能です。
いまどきのシステムは、自社で一から書いたコードだけで動いているわけではありません。
- 購入したパッケージ製品やSaaS
- 委託先・外注先が書いて納めたシステム
- 大量のオープンソースの依存ライブラリ
これらのソースは、自社の手元にはありません。契約上も、組織上も、そして単純な量の面でも、それら全部を今すぐ自分の監視下に置くことはできない。Glasswing が成り立ったのは、名だたる大企業や OSS コミュニティが「自分たちのコードを差し出した」からです。普通の会社には、差し出すべき他人のコードへのアクセスが、そもそも無いのです。
もちろん、自社で開発した部分にソースAI解析を当てるのは有効です。けれどそれは、自社の攻撃面全体から見れば、一部にすぎません。いちばん見えていない、他人が管理している部分こそ、本当は怖いのに、ホワイトボックスの手法では手が届かない。
だから、「外から攻撃できるか」を測る
では、手の届かないものをどう守るのか。発想を逆にします。
攻撃者は、あなたのソースコードを持っていません。 彼らが見ているのは、外から見えるものだけです。公開されているサーバー、開いているポート、使っている製品のバージョン、設定の不備。そこを突いてきます。
ならば、防御側も同じ視点に立てばいい。攻撃者と同じ「外からの目」で、自社が今どれだけ攻撃可能な状態に晒されているかを把握する。 これなら、ソースを握っていない資産でも──委託先のシステムも、買ってきた製品も──「外から見える攻撃面」としてなら測れます。
そして、ここが重要なのですが、攻撃面は止まっていません。新しいサーバーが立ち、新しい脆弱性が毎日公表され、設定はいつの間にか変わる。「年に1回の診断」では、間の364日が無防備になります。だから、一度きりではなく、継続的に測り続ける必要がある。これが CTEM(継続的な脅威エクスポージャー管理:自社の攻撃面を継続的に把握し、優先度をつけて潰していく考え方)の芯です。
そして AI は、まさにここで効きます。何が外から見えているかの発見は、推測ではなく確実な手段で。見つかった事象が本当に危ないのか、今すぐ直すべきかの判断は、AI で。最先端AI自身が「別物」と線を引いた外側の領域こそ、地道に、継続的にやる価値があるのです。
弊社が作っているもの
この「外から攻撃できるかを、AI を使って継続的に把握・管理する」という発想を、そのまま形にしたのが、ペンタコン研究所が開発する PentaTrail です。
ひとつだけ、先回りでお答えしておきます。「あなたも AI に全張りしているなら、その AI が止められたら終わりでは?」 ── PentaTrail が使っているのは、誰でも使える一般提供の商用AIです。今回規制された、最上位の攻撃的モデルではありません。むしろ今回の件は、手の届く実用的なセキュリティAIの必要性を、はっきり示したと弊社は考えています。
最先端AIがソースを読んで会社を守ってくれるのは、そのソースを差し出せる、ごく一部の組織だけです。残りの大多数にとっての現実解は、外から自分の攻撃面を測り続けること。もしよければ、あなたの会社の「外から見える攻撃面」を、一度のぞいてみてください。
出典
- Anthropic: Expanding Project Glasswing(参加企業による自社コードベースのスキャン/合計1万件超)
- Anthropic: Project Glasswing — An initial update(OSS 1,000+ プロジェクト/Mythos 単体の脆弱性件数)
- Help Net Security: Anthropic project Glasswing update
- IEEE Spectrum: Claude Mythos Preview Exposes Hidden Code Flaws
- Fortune: Anthropic disables Fable and Mythos AI models following U.S. government export ban
- Al Jazeera: US export ban on Anthropic's AI models further strains alliances