自動化されたバグ検出AIの能力が急速に向上しており、Anthropicの新型モデル「Claude Mythos」の登場によってAIがハッキングスキルを持たない「スクリプトキディ」の手にも渡る危険性が現実化しつつある。業界専門家は2026年が重大な転換点になると警告している。
昨年8月、DARPAの人工知能サイバーチャレンジ(AIxCC)でラスベガスに集結した最高峰のサイバーセキュリティチームは、AIを活用したバグ発見システムの実力を披露した。DARPAが意図的に埋め込んだ欠陥を含む5400万行の実際のソフトウェアコードをスキャンしたこれらのツールは、ほとんどの人工的なバグを特定しただけでなく、DARPAが挿入していない新たなバグを12個以上発見してしまった。
Anthropicが今月公開した新型AIモデル「Claude Mythos」——あらゆるソフトウェアの脆弱性を見つけ出すことができるように見える——による業界の激震が起きる前から、自動化されたシステムはコーディング欠陥の発見能力を急速に高めていた。懸念されているのは、AIが単に欠陥を検出するだけでなく、それらを悪用するためにも使用される可能性があり、ハッキングスキルを地球上のすべての人々の手に委ねることになるという点だ。
「Mythosの有無に関わらず、これは来る」と業界関係者は警告している。
これは空脅しではない。数十年間、スクリプトキディと呼ばれるスキルのないハッカーは、インターネットから盗んだスクリプトや悪用キットからコピーしたスクリプトを実行することで被害をもたらしてきた。彼らはこうしたスクリプトを自分で書く技術知識や深い理解を持たなかったが、それでもウェブサイトを改ざんするなどの攻撃を実行できていた。
「大波が来ている。それが見える。私たち全員が見ている」とサイバーセキュリティ企業Trail of Bitsの最高経営責任者兼共同創業者で、このチャレンジの準優勝企業Dan Guidoは述べた。「寝転んで死を待つのか、それとも何かしらの行動を起こすのか」
AnthropicによるMythosの発表は業界全体に衝撃を与えたが、AIのサイバーセキュリティへの影響に関する警告信号はすでに存在していた。
AIxCCが開催される時点で「すでに10〜20種類の異なるバグ発見システムが存在し、私たちがパッチを当てられる数より何桁も多くのバグを発見できるようになっていた」とGuidoは指摘した。「これは実は新しいことではない」
「2026年はすべてのセキュリティ負債が返済期限を迎える年だ。2026年は成功か失敗かの分かれ目の年である」
AIはパターンマッチングに優れており、すでに知られているバグの亜種や未発見のバグを見つけることがますます簡単になっている。同時に悪用コードの作成も容易になってきた。
「AIツールを使い、最小限の人間の指導で、場合によっては人間の指導なしに、広く使われているソフトウェアのゼロデイ脆弱性を発見できる」とTheorieのシニアセキュリティ研究員Tim Beckerは述べた。
