AIモデル「ミュトス」利用で1万件超の脆弱性確認、修正急務に

2026-05-23

高性能AIで欠陥1万件超

米アンソロピックは22日、高性能な人工知能（AI）モデル「ミュトス」を利用した企業で、危険度が高いソフトウエアの脆弱性が1万件以上見つかったと明らかにした。同社は、同水準のAIが広く使われる前に、企業はソフトの修正対応を前倒しする必要があるとしている。

アンソロピックは4月、ミュトスをサイバー攻撃能力が高いとして一般公開せず、米テック企業を中心とする約50社に優先提供している。これらの企業が自社ソフトを検証したところ、1社あたり数百件、合計で1万件超の脆弱性が見つかったという。

脆弱性はソフトやシステムの欠陥で、悪用されれば不正アクセスや情報漏洩につながる恐れがある。ソフトの設計や動作を決めるプログラムは膨大で更新も頻繁なため、脆弱性そのものは珍しくない。

新たに報告された脆弱性は25年だけで4万6000件に上り、国際団体が重大度に応じて「緊急・重要・警告・注意」の4段階に分類している。今回、利用企業やアンソロピックが指摘したものは、全体の半数を占める「緊急・重要」レベルにあたるとみられる。

同社は、公開され誰でも利用できるオープンソースソフト1000件超を解析した。ミュトスはこの検証で危険度が高い脆弱性を6200件見つけたという。さらに1700件を再評価したところ、約6割が実際に高リスクの脆弱性だった。

例えば、世界で広く使われる暗号通信ソフトでは、ミュトスが証明書を偽造してなりすましを可能にする攻撃手法を作成した。この脆弱性は開発企業に報告され、すでに修正済みという。

AIの進化は速く、ミュトス並みの性能を持つAIが今後利用可能になるとみられる。防御側が大量の脆弱性を発見できても、修正ソフトの作成や適用が追いつかなければ、攻撃側に悪用されるリスクは高まる。

アンソロピックは、脆弱性の検証や修正を人手だけに頼るのは大きなボトルネックになると指摘した。時間短縮に向けてAIの活用を進めるほか、修正ソフトの検証手続きの簡素化や確認頻度の引き上げといった仕組みづくりが必要だとしている。

ミュトスは現在、利用が限定されているが、日本の3メガバンクなども近くアクセス権を得る見通し。アンソロピックは、米政府や同盟国政府を含む重要なパートナーと連携し、提供先をさらに広げる方針だ。

この記事が役に立ったら、ぜひシェアしてください。