Anthropic社の最新モデル「Mythos」に関する最近の報道は、ほぼすべて、このモデルが攻撃者にどのような利点をもたらすかという点に焦点が当てられている。リークされたブログ記事の草案によると、 『フォーチュン』誌が入手したリークされたブログ記事の草案では、このモデルについて「防御側の対応をはるかにエクスプロイト 」と説明されている。その影響は甚大であるため、Anthropicは慎重に進める意向を示しており、今後の展開に先立ち、このモデルがもたらす「サイバーセキュリティ分野における短期的なリスク」を十分に把握したいとしている。
その後、予想通りの展開となった。「AIがもたらすサイバーの悪夢」といった見出しが飛び交い、サイバーセキュリティ企業はサイバー攻撃の「民主化」を警告し、バランスが崩れたという認識が広く浸透した。
不吉な感じがするよね?
まあ、表面的には確かにそうでしょう。しかし、まだ決定的な局面には至っていません。「破滅的」という見方は、モデルの能力がそのまま攻撃者の優位性につながるという前提に基づいています。しかし、我々のデータはそうではないことを示唆しています。
「ミソス」の物語の背景にある前提
確かに、AIモデルが攻撃のワークフローを加速させることはわかっています。しかし、その効果はシステムの詳細な状況に大きく依存しており、攻撃者にはそうした情報がほとんどないのが実情です。
Mythosのようなモデルに期待されるサイバーセキュリティ機能は、管理されたセキュリティテスト環境においてAIシステムがすでに実行している作業と大きく重なっています。脆弱性 、コードの推論、多段階攻撃などです。当社が実施した1,000件の実環境におけるAIペネトレーションテストの経験は、さまざまな条件下でパフォーマンスがどのように変化するかを把握する手がかりとなっています。
この傾向は一貫している。対象アプリケーションのソースコードが利用可能なホワイトボックステストでは、ソースコードへのアクセスが制限されたグレーボックステストと比較して、重大および高深刻度の問題が7倍多く発見され、効率も約2倍高かった。これは、AIの有効性が単なる純粋な能力ではなく、文脈に大きく左右されることを示唆している。
実際には、その文脈は静的解析と動的解析を組み合わせることで得られます。コードや動作を単独で検討しても、得られるのは部分的な見解に過ぎません。両方の手法を併用することで、記述されたコードと実行時の動作とを結びつけることができ、その結果、得られる知見の深みも変わります。また、コスト面でも変化が生じます。有意義な問題を洗い出すために必要な試行回数(ひいてはリソース)が削減されるのです。
Mythosをめぐる現在の議論では、攻撃者は最新のフロンティアモデルからより多くの利益を得られると想定されています。しかし実際には、攻撃者の方がコンテキストが限られているという点が考慮されていません。攻撃者は外部からシステムの詳細を推測しているのに対し、防御側はすでにそれらのシステムが実際にどのように機能しているかを知っているのです。
重要なのは能力ではなく、制約条件である
実際、モデル開発者自身がその機能をどのように説明するかが非常に重視されています。Anthropic社が、Claude Opus 4.6がオープンソースライブラリにおいて500件以上の高深刻度脆弱性を発見したと主張した際も、同様のことがありました。こうした主張は、理想的な条件下でモデルが何ができるかを示すものです。しかし、システム全体を完全に把握できない状態で動作させた場合、パフォーマンスがどのように変化するかについては、ほとんど語られていません。
ここで重要なのは「コンテキスト」です。ソースコードやアプリケーションの内部ロジックへのアクセス権の有無によって、テストエージェントが有意義な評価を行える範囲が決まります。機能性だけでは結果にはつながりません。十分な静的および動的なコードのコンテキストがなければ、たとえ最先端のモデルであっても、対象システムの理解が不完全であるため、軽量なオープンソースモデルを上回るパフォーマンスを発揮することはできません。
NPMレジストリで最も広く利用されているパッケージの一つであるAxiosが最近侵害された事例を考えてみよう。攻撃者はソースコードを変更しなかった。彼らはメンテナーのアカウントを乗っ取り、新しい依存関係を追加して、アップデートを公開した。この攻撃が成功したのは、照合すべき既知のCVEが存在せず、フラグを立てるべき悪意のあるコードのパターンもなく、スキャナーが検知できるシグネチャもなかったためだ。攻撃が成功したのは、一連のプロセスに関わるすべてのツールが、実際に何が変更されたのかを確認するためのコンテキストを欠いていたからである。
依存関係ツリーを詳細に把握している組織――単にどのパッケージを使用しているかだけでなく、それらのパッケージが何を実行し、どのように動作し、正当な更新がどのようなものかを理解している組織であれば、その変更に疑問を抱く根拠を持てたはずです。それがなければ、どれほどスピードや能力があっても意味がありません。だからこそ、現在の「AIは攻撃者に有利に働く」という見方は、本質を見失っているのです。AIを活用したテストへのアプローチは、まさにこの点で分岐し始めます。 コードと実行時の挙動にわたる完全なコンテキストを把握することで、これらの特権的なエージェント型ツールは、表面的なテストでは見逃されてしまう問題を特定します。
とはいえ、コードや実行時の可視性において防御側が持つコンテキスト上の優位性が、永久に続くわけではない。もちろん、AIによってコンテキストを取得するためのコストも低下するだろう。しかし、現在の議論からは、バランスが一夜にして変化したかのような印象が受けられる。 真のシステム理解を構築することは、時間のかかる複雑な作業である。AIモデルは文脈の特定の側面を推論できるようになっていくとはいえ、実際のソースコード、API アプリケーションの認証情報やトークンへのアクセスAPI 組織が社内に保有するアプリケーションコンポーネント、マイクロサービス、統合機能にわたる内部ビジネスロジックを迅速に解析する能力から得られる明快さには、決して及ばないだろう。
振り返ってみれば、特にセキュリティに関する悲観論が好んで流布される傾向を考えると、これらすべては当然のことのように聞こえるかもしれません。しかし、実際にどのような影響があるかを真に検討するには、目の前に提示されている情報をより厳密に精査する必要がある場合もあります。 新しいAIモデルが状況を一変させるだろうというのが一般的な見方であり、それはある程度正しい。AIは攻撃者にスピード、広範な攻撃範囲、そして能力をもたらし、アプリケーション、システム、インフラを防御する側には悪影響が及ぶことになるだろう。
しかし、重要な点は、その有効性は状況に大きく左右され、その状況は不均等に分布しているということです。幸いなことに、状況は防御側の有利に働いています。つまり、攻撃者はMythosやCapybaraといった最先端のAIモデルからいち早く恩恵を受けるかもしれませんが、防御側は、自社のコードが実際にどのように機能するかという、深く構造的な知識という点で既に優位に立っているのです。AIによって、アプリケーションセキュリティにおける状況理解の価値はかつてないほど高まっています。問題は、防御側がすでに持っているこの優位性を活用できるかどうかです。
