AI支援でmacOSのセキュリティ突破か、研究者がエクスプロイトを発表

AIがセキュリティ脆弱性の発見と攻撃を支援

パロアルトを拠点とするセキュリティ企業Califの研究者らが、Anthropicが開発したAIモデル「Claude Mythos Preview」の支援を受けて、macOSのセキュリティを突破するエクスプロイトを開発したと主張している。Wall Street Journalが報じたこのエクスプロイトは、Macコンピュータのアクセスが制限されるべき領域への不正アクセスを可能にし、攻撃者にマシンの制御権を与える可能性があるという。

知られた脆弱性クラスをAIが迅速に特定

研究チームは、Mythosと連携して脆弱性を特定し、エクスプロイトの開発を支援したと説明している。Mythos Previewは、対象のバグが知られたクラスに属していたため、それらを迅速に発見できたという。エクスプロイトの設計には人間の専門知識が依然として必要だったものの、この事例は、高度なAIシステムが、悪用されてセキュリティ侵害を引き起こす未知のバグや攻撃経路を掘り起こし得ることを示唆している。

Appleは報告を深刻に受け止め対応

Appleはこの研究者の発見を深刻に受け止めており、同社はWall Street Journalに対し、「セキュリティは私たちの最優先事項であり、潜在的な脆弱性に関する報告を非常に真剣に受け止めている」と声明を出した。実際、研究者らはApple Parkで同社と面会し、彼らが「M5 Silicon上での初の公開されるmacOSカーネルメモリ破損エクスプロイト」と呼んでいるものについて議論したという。現時点で詳細が曖昧なのは、Appleが脆弱性と攻撃経路を修正した後に、発見の完全な技術的詳細を公開する計画があるためだ。

Anthropicの「Project Glasswing」とAIによるサイバー防御

Anthropicは、Claude Mythos Previewを「Project Glasswing」に活用している。これは4月に開始された、AIでAIサイバー攻撃を防ぐための取り組みだ。参加企業にはAmazon Web Services、Apple、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが名を連ねており、各社はMythosを自社プロジェクトのセキュリティ強化に利用できる。例えばMozillaは以前、Mythosの支援によりFirefoxブラウザの最新リリースで271個の脆弱性を発見し修正したと発表している。

OpenAIも対抗してサイバーセキュリティ構想を発表

この動きに対し、OpenAIも数日前にGlasswingやMythosに対抗する自社のサイバーセキュリティ構想「Daybreak」を導入した。Daybreakは、同社の様々なAIモデル、特にセキュリティ特化型エージェントのCodexを活用する。サイバー防御は、脆弱性の発見と修正にとどまらず、ソフトウェアの初期段階から組み込まれるべきだという前提のもとに設計されている。