Anthropic社は、バグの発見、脆弱性の特定、既製のエクスプロイトの作成といった機能を大幅に拡張した、Mythos AIモデルの暫定版のテスト結果を発表しました。Anthropic社はMythos AIモデルを用いて1,000件以上の重要なオープンソースプロジェクトをスキャンし、23019件の脆弱性を特定しました。これらの脆弱性のうち6202件は、深刻度が高い、または重大な脆弱性と評価されました。
Mythos AIモデルによって危険と分類された6202件の脆弱性のうち、1752件が独立したセキュリティ研究者によって検証されました。1587件(90.6%)で脆弱性が確認され、1094件(62.4%)で深刻度レベルが高または重大のままでした。現在の誤検出率を考慮すると、AIモデルによって特定された6202件の危険な脆弱性のうち、約3900件(62.4%)が、Glasswingプロジェクト参加者50名によって別途特定された危険な脆弱性を除いて、モデルの高い深刻度評価を維持すると予想されます。
検証済みの脆弱性467件に関する情報は、レビュー企業の担当者からオープンソースプロジェクトのメンテナーに共有されました。また、Anthropic社の従業員は、別途の要請に基づき、未検証の脆弱性1129件に関する情報をメンテナーに直接共有しました。合計で、281のオープンソースプロジェクトのメンテナーが1596件の脆弱性に関する情報を受け取り、1451件の脆弱性の存在を確認しました。しかしながら、これまでにコードベースで修正された脆弱性はわずか97件であり、公開された脆弱性レポートは88件にとどまっています。
さらに、Mythosモデルへの早期アクセス権を与えられたGlasswingプロジェクト参加者50名が、コードベース内で10万件を超える危険な脆弱性を特定したと報告されている。例えば、CloudflareはMythosを使用して2000件以上のバグを発見し、そのうち400件は高または重大と評価された。Cloudflareの誤検出率は、人間のテストよりも低かった。Mozillaは、Firefox 150のテストでMythosを使用して271件の脆弱性を発見したが、これはClaude Opus 4.6モデルを使用してFirefox 148をテストした際に発見された脆弱性の数の10倍である。
既に解決済みの重大な問題の例を以下に示します。
wolfSSL暗号ライブラリに脆弱性(CVE-2026-5194)が発見されました。Mythosは、攻撃者がウェブサイトやメールアカウント用の偽のECDSA証明書を生成できるエクスプロイトを準備しました。 サーバーこれはwolfSSLライブラリによる検証時に有効と判断されました。問題の原因は、コードにハッシュサイズとOIDのチェックが欠落していたため、証明書に許容範囲よりも小さいハッシュサイズが指定されてしまったことです。
出所: オープンネット.ru
