Anthropic の Glasswing プロジェクトはオンライン セキュリティの向上を目的としています
ジョナサン・ラー/ヌル写真、ゲッティイメージズ経由
ここ数週間、サイバーセキュリティの欠陥を瞬時に特定できる AI である Mythos から、一見憂慮すべきニュースが届けられ、オペレーティング システムやソフトウェアがハッカーに対して脆弱になります。サイバーセキュリティ コミュニティは現在、Mythos がサイバーセキュリティの様相をどのように変えることができるかについて、必ずしも悪い方向にではなく、より良いアイデアを理解し始めています。
ミュトスとは何ですか? なぜ人々はそれを気にするのでしょうか?
Mythos は Anthropic によって作成された AI です。その存在は先月、公開を目的としておらず、誰にも見られないように安全に保管されていなかった同社の Web サイト上のコンテンツを人々が掘り起こしたときに偶然明らかになりました。
Anthropic によると、このモデルが密室に保管されてきたのには十分な理由があります。設計ではなく偶然に、ハッキングに非常に優れているからです。おそらく、ユーザーの入力を許可する、要求があれば、事実上すべてのソフトウェアのバグを発見できると考えられています。
同社によると、Mythos はオペレーティング システムやその他のソフトウェアに重大度の高い重大な脆弱性を数千件発見したという。人類は反応しなかった 若い科学者」同社はコメントを求めたが、同社はウェブサイトで「経済、公共の安全、国家安全保障に対する影響は深刻になる可能性がある」と述べた。
同社は、それを隠すという責任ある措置を講じたとしている。
じゃあ誰も使えないの?
全くない。 Anthropic は、Amazon Web Services、Apple、Google、JPMorganChase、Microsoft、NVIDIA などのハイテクおよび金融大手の選ばれたグループが、Project Glasswing と呼ばれるものの下でこれを利用できるようにすることを決定しました。これにより、彼らは自社のソフトウェアのバグを誰よりも早く発見できるようになります。
プライベートオンラインフォーラムのメンバーもテストに不正アクセスした。報告書によれば、彼らは単にオンライン モデルがホストされる場所について「知識に基づいた推測」を行っただけであり、そもそも Mythos の存在の暴露につながったのと同じ種類の問題でした。おそらく、サイバーセキュリティをこれほど懸念している企業は、自社のセキュリティにももっと注意を払うべきでしょう。
このモデルは当初、秘密にされ使用されないようになっていたが、現在では大きな注目を集めており、世界トップクラスのサイバーセキュリティ専門家によってテストされている。もちろん、これらの企業の多くは Anthropic の最大の潜在顧客でもあり、Mythos の力についての誇大宣伝が Anthropic に悪影響を与えることはありません。
セキュリティ専門家のデイヴィ・オッテンハイマー氏は、ブログ投稿でこの状況を「再構成によって利益を得ている当事者による、文明の脅威として再構成された正当な技術能力」と要約した。
それは人々が考えているほど危険なのでしょうか?
英国アルスター大学のケビン・カラン氏は、ミトスの暴露とそれができる可能性について、「セキュリティ業界全体に警報を発する」可能性があると述べているが、この脅威の深刻さについて研究者の間では意見が分かれている。 「熟練した人間のハッカーが数か月かけて達成する作業を、機械が数秒で実行できるようになったら、何が起こるでしょうか?」彼は不思議に思う
しかし、まだパニックに陥る時期ではないという兆候もある。 Mythos へのアクセスを許可された組織の 1 つである Firefox の Bobby Holley 氏は、ブログ投稿で、このモデルは彼のチームが Web ブラウザーの 271 件の脆弱性を発見するのに役立ったと書いています。これは確かに多数ですが、どれも人間が掘り起こせないほど独創的で、突き抜けられないほど複雑で、高度なものではありませんでした。
「これらの間違いのうちの1つだけでも、2025年には非常警報が出ていただろう。一度に多すぎると、追いつくことが可能なのか疑問に思うだろう」とホリー氏は書いた。 「幸いなことに、私たちにもミスは見られませんでした 私はできませんでした エリートの人間研究者によって発見されました。」
2023年の英国AIサミット後に当時の英国首相リシ・スナックによって設立された人工知能セキュリティ研究所(AISI)もミトスを調査した。テストでは、「小規模で防御が弱く脆弱な企業システム」のみを攻撃できることが判明し、以前のモデルよりも機能が向上していましたが、真に安全なソフトウェアやネットワークが危険にさらされている兆候はありませんでした。そしてAISIは、こうした状況は急速に改善されつつあると警告した。 AISIは質問に対してコメントしなかった 新しい科学者 脅威について話し合うためです。
英国サリー大学のアラン・ウッドワード氏は、Mythos や他のすべての AI モデル全般がもたらす脅威について実用的な見解を示しており、これらの AI モデルには程度の差こそあれサイバー脆弱性を検出する機能もあります。 「AI は人間が見つけられない脆弱性を必ずしも見つけることができるわけではありませんが、AI ははるかに高速で、より徹底的で、より執拗です。そのため、人間が見逃していた脆弱性を見つけることができます。」と彼は言います。 「ミトスが示したように、AI は攻撃者の仕事をより効率化し、防御をより困難にするスピードと機敏性を与えますが、不可能ではありません。」
したがって、Mythos は規模と速度の点で欠点を発見するかもしれないが、それでも壊滅的な危険性を発見することはできないようだ。そして、それが実際に良いことである可能性があると信じる理由さえあります。
AI をハッキングするとどうやってポジティブになれるのでしょうか?
「欠陥は有限であり、私たちは最終的にそれらをすべて見つけることができる世界に入りつつある」とホーリー氏は書いた。本質的に、ソフトウェアを構築または保守する場合、おそらくリリース前であっても、Mythos を使用して独自のコードをフォークし、パッチを適用することもできます。
AI の欠陥発見能力はほぼ確実に向上し、悪意のある攻撃者はほぼ確実にこれによってある程度の利益を得ます。しかし、これはソフトウェアメーカーにとっても助けになるだろうが、何十年も前に書かれた老朽化した不格好な政府ソフトウェアを維持している企業にとっては困難に感じるかもしれない。
Anthropic ですら、AI のハッキングは最終的には攻撃者よりも防御者に利益をもたらすだろうと考えていますが、そうでないと言うと作成が難しくなります。
基本的に、AI はハッキングとハッカーからの防御の両方を容易にしますし、今後もそうですが、このテクノロジーを無視する人は大きな不利益を被ることになります。
「ミトスを警告射撃のように扱ってください」とカラン氏は言います。 「そして、18 か月以内に、同等の能力が敵の手に渡ると仮定してください。先を行くための窓は開いていますが、それは急速に閉まりつつあります。」
トピック:
