アンソロピック社は、敵対勢力による悪用を懸念した米国政府から、最新のモデル「Claude Fable 5」および「Mythos 5」の提供停止を命じられた。
ロイター通信によると、アンソロピック社は、米国政府が国家安全保障上の懸念を理由に外国人に対する同社の最先端AIモデルへのアクセスを停止するよう命じたことを受け、すべてのユーザーに対して同モデルを「突然無効化する」と発表した。
当局は、脱獄により『Fable 5』と『Mythos 5』が悪意ある攻撃者による脆弱性発見ツールに転用される恐れがあると見ているとのことで、Anthropic社は、全ユーザーの国籍を確認することは事実上不可能であるため、国籍によるアクセス制限を試みるのではなく、全世界でこれらの機能を無効化すると発表している。
Anthropicは自社のウェブサイトに掲載した声明で次のように述べている:
「その書簡には、国家安全保障上の懸念に関する具体的な詳細は記載されていませんでした。私たちの理解では、政府は『Fable 5』を迂回する、いわゆる「脱獄」の手法が判明したと認識しているようです。私たちは、この特定の技術を用いて、以前から知られていた少数の軽微な脆弱性を特定する実演を確認しました。これらの脆弱性はすべて比較的単純なものであり、他の一般に公開されているモデルでも、迂回することなく同様に発見できることが判明しています。」
Mythos 5は非公開のフルバージョンであり、現在は政府機関や選定された企業パートナーのみがシステムのセキュリティ強化のために使用しています。Fable 5はMythosクラスのモデルであり、一般利用においても安全であるとされています。
『Fable 5』のジェイルブレイクが容易であるならば、それが『Mythos 5』と同じ制限の対象となるのは理にかなっていると思います。しかし、Anthropic社は、同モデルには組み込みの安全策が施されており、特定のトピックに関するクエリに対しては、次善のモデルである『Claude Opus 4.8』からの応答が返されるようになっていると主張しています。
軍事利用、監視、自律型兵器をめぐる緊張の後、米国政府の一部では、米国政府とアンソロピック社の関係に緩和の兆しが見られていた。3月、ピート・ヘグセット国防長官は、サンフランシスコに拠点を置く同社を「国家安全保障上のサプライチェーンリスク」に指定した。
この議論の本質を理解するには、Mythos 5 が、銀行やその他の重要インフラに見られるような複雑なレガシーシステムに潜む長年のバグを含め、ソフトウェアの脆弱性を特定する上で特に有効であると、複数の報告書で指摘されていることを把握しておく必要がある。多くの人はこれを「軍民両用」と見なしており、防御体制の強化には極めて有効である一方、悪用されれば壊滅的な被害をもたらす可能性がある。
マイクロソフトやグーグルといった大手ソフトウェアベンダーによる最近のアップデートでは、各社が自社ソフトウェアの新たな脆弱性を検出するためにAIを活用した検索を導入し始めて以来、修正された脆弱性の数が増加していることが確認されています。また、MozillaがAnthropic社の新しいモデル「Claude Mythos」を活用して、Firefoxの脆弱性を270件以上発見したことも明らかになっています。
これはどういうことか
悪意のある者の手に渡れば、これらの脆弱性は間違いなく大きな被害をもたらす可能性があります。そのため、一般ユーザーや開発者が『Fable 5』や『Mythos 5』を完全に利用できるようになるまでには、まだしばらく時間がかかりそうです。ただし、既存のAnthropicモデル(旧バージョンのClaude)は引き続き利用可能です。
単にクロードとチャットを楽しんだり、基本的なスクリプト作成の補助として利用していた一般ユーザーにとっては、この変更は、AI機能全体が利用できなくなるというよりは、あくまで「この特定のバージョンが利用できない」という形で現れるでしょう。
高性能な脆弱性検出モデルが広く流通しなくなっても、リソースの乏しいサイバー犯罪者が、一般消費者向けのソフトウェアやサービスにおける複雑なバグの検出を自動化するのに必要な労力は、それほど増えないだろう。闇市場には、これと同等の効果を持つ他のモデルも流通している。そして、ほとんどのサイバー犯罪者にとって、脆弱性をエクスプロイトで活用できる手法に変えることの方が、はるかに重要なのである。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
