Anthropicの最新AIモデルがオープンソースソフトウェアでバグを検索しました。多くのバグを発見しました。
Claude Mythos Preview、同社の自律的な脆弱性検出モデルは、OSS-Fuzzコーパスから抽出された1,000以上のオープンソースプロジェクト全体で23,000件以上の潜在的なセキュリティ脆弱性を特定しました。そのうち1,726件は外部レビューにより確認されています。確認されたバグの1,000件以上が高または重大な深刻度と評価されています。
数十年前のバグが新たに浮上
Mythosが特定した脆弱性には、OpenBSDにおける27年間放置されてきたセキュリティ上の欠陥と、FFmpegにおける16年間放置されてきた脆弱性が含まれます。どちらも広く使用されている、オープンソースインフラの基盤的なコンポーネントです。
Mythosが発見したゼロデイ脆弱性の99%以上が、開示時点においてパッチが適用されていなかったと、モデルの評価結果は示しています。
Project Glasswingと1億ドルのコミットメント
Anthropicは、選ばれたパートナーにMythos Previewへのアクセスを提供し、自社ソフトウェアの重要な脆弱性を特定して修正できるようにする制御されたコンソーシアム「Project Glasswing」を開始しました。
パートナーにはAWS、Apple、Google、Microsoft、NVIDIA、JPMorgan Chaseが含まれます。Anthropicはこの取り組みを支援するために最大1億ドルのモデル利用クレジットを提供すると約束しています。さらに、オープンソースプロジェクトのセキュリティ強化のために400万ドル以上が専用に確保されています。
Anthropicは、Mythosを広く公開するのではなく、制限付きアクセスプログラムの下で提供することで、独自の優位性を維持しています。同様の脆弱性検出を公開モデルで実現できるかどうかについて、すでに議論が広がっています。
これがサイバーセキュリティの景観に与える意味
単一のスキャンで23,000以上の潜在的な脆弱性を特定し、そのうち1,000以上が高または重大な深刻度と確認されたことで、議論は理論的から運用的なものへと移行しました。
確認された1,726の脆弱性は、検証のために外部レビューが必要でした。Mythosが発見したゼロデイの99%以上が公開時にパッチが適用されていなかったことから、パッチ適用および対策はAIが発見する速度に追いついていません。