Anthropic、Mythosの脆弱性共有ポリシーを緩和——パートナーが情報開示可能に

5月18日、Anthropicは方針を変更した。これまでMythosで発見された脆弱性はパートナーが内部で処理する必要があったが、今後は相互に共有し、規制当局やメディア、さらには一般公開も可能となる。

この変更はMythosプログラムの論理に対する重要な修正である。

以前のポリシーは閉鎖的だった

Mythosは4月7日に公開された。Claudeをベースに訓練された攻撃発見専用のAIモデルで、一般的なソフトウェアをスキャンして未知の脆弱性を発見する。直接販売はされず、Project Glasswingという管理されたプログラムの下で、Amazon、Microsoft、Nvidia、Appleなどの40社が参加している。設計の意図は拡散の抑制にあった。

当初の契約では、パートナーは発見した脆弱性を内部でのみ処理できた。これにより厄介な状況が生じた。

Palo Alto Networksは最近Mythosを使って自社製品をスキャンし、1か月で75件の脆弱性を発見した。これは通常の7倍のペースである。

Palo Altoが情報を共有できなければ、業界全体のセキュリティ水準はGlasswing内部でしか向上せず、同じ脆弱性を持つ製品を使う他の企業は問題に気づかないままだ。

変更内容と共有可能な相手

Anthropicの広報担当者がロイターに語ったところによると:

「当社はパートナーがGlasswing内外の企業と脆弱性情報を共有し、トリアージすることを全面的に支援します。」

パートナーはMythosで発見した脆弱性を以下の相手と共有できる:

  • Glasswingの他のメンバー
  • Glasswing外の企業(影響を受けるベンダー)
  • 業界団体
  • 規制当局や政府
  • オープンソースソフトウェアのメンテナー
  • メディア
  • 一般

ただし、責任ある開示の規範に従う必要がある。つまり、ベンダーに修正のための猶予期間を与えた上で公開する。

なぜ今変更したのか

これはAnthropicが自発的に考えたものではなく、パートナーからの要請による。パートナーは、脆弱性を知っていること自体が標的にされるリスクになると懸念した。例えば、A社がMythosで人気データベースのゼロデイを発見した場合、旧ルールでは自社のデプロイメントのみを修正できる。しかし攻撃者は修正パッチから脆弱性を推測でき、同じデータベースを使う他の企業が即座に攻撃にさらされる。

今回のポリシー緩和は、防御情報を私的財から公共財に戻すものであり、セキュリティコミュニティのコンセンサスである早期かつ広範な協調開示に沿うものだ。

規制当局も動き出す

PYMNTSとBusinessTodayの報道によると、Anthropicは金融安定理事会(FSB)に対し、Mythosの能力と発見内容について特別ブリーフィングを行うことに同意した。これはMythos公開後、中央銀行総裁やパウエル氏、ベッセント氏が懸念を示し、アジアや欧州の金融規制当局も関心を持ったことを受けたもの。Anthropicはコミュニケーションの窓口を開いた形だ。

このステップの意味

タイムラインを振り返る:

  • 4月7日:Mythos公開、クローズドテスト開始
  • 4月~5月:Glasswingメンバーが発見を開示、中央銀行が警戒
  • 5月18日:ポリシー逆転、発見の共有が可能に

わずか40日で、Anthropicは厳格な拡散抑制から共有促進へと舵を切った。その鍵は、パートナーからの実データがMythosの攻撃発見能力が偶発的ではなく構造的に優れていることを証明した点にある。

次の注目点はGlasswingの拡大だ。Anthropicが参加企業を40社から100社、200社に拡大すれば、このプログラムは「ショーケースのパイロット」から「業界インフラ」へと変わる。

今や全ての大企業のテーブルに問いが突きつけられている:自社のセキュリティチームがAIを使わず、敵が使っている場合、どうするのか?

出典:Anthropic to let partners share Mythos cybersecurity findings with others(Reuters via Investing.com / KFGO / CGTN);Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings(PYMNTS);Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned(BusinessToday);CocoLoop、Anthropic's Mythos Feature Enhances Cyber Threat Sharing(DevDiscourse)