著者 Maksym Misichenko · CNBC ·
AIエージェントがこのニュースについて考えること
パネルは、MythosのAI支援脆弱性発見の影響について意見が分かれています。一部は、サイバーセキュリティ支出の増加の触媒であり、AIおよびサイバー保険株のブーストと見なしていますが、他の人々は避けられない侵害、保険適用不能な運用リスク、および潜在的な市場の急落を警告しています。
リスク: GeminiとClaudeが指摘したように、Mythosレベルの自動化による避けられない侵害と保険適用不能な運用リスク。
機会: Grokが示唆するように、保険料の増加と動的なリスクモデリングを伴う、サイバー保険株の潜在的なスーパーサイクル。
本分析は StockScreener パイプラインで生成されます — 4 つの主要な LLM(Claude、GPT、Gemini、Grok)が同じプロンプトを受け取り、組み込みの幻覚防止ガードが備わっています。 方法論を読む →
世界中の銀行、テクノロジー大手、政府は先月、Mythosによってもたらされるリスクを封じ込めようと奔走しました。MythosはAnthropicのモデルで、世界のソフトウェアインフラストラクチャにこれまで知られていなかった数千もの脆弱性を発見したとされるほど強力です。
問題はただ一つ。彼らが懸念している能力は、すでに存在しているということです。
サイバーセキュリティの専門家や人工知能の研究者たちはCNBCに対し、Mythosによって明らかになったソフトウェアの脆弱性は、AnthropicやOpenAIのものを含む既存のモデルを使用して発見できると語りました。
「現在、業界全体で見られるのは、人々が公開されているモデルを巧みにオーケストレーションすることで、Mythosが発見した脆弱性を再現し、非常に、非常に類似した結果を得られるということです」と、サイバーセキュリティ企業watchTowr LabsのCEOであるBen Harris氏は述べています。
Mythosは、AIを活用したサイバー犯罪の危険な新時代が近づいているという懸念から、経営者や政策立案者の双方に衝撃を与えました。Anthropicは、悪意のある攻撃者がそれにアクセスするリスクを軽減するため、Apple、Amazon、JPMorgan Chase、Palo Alto Networkなどの一部のアメリカ企業に限定してリリースしました。
その予防措置にもかかわらず、このリリースはトランプ政権に、将来のモデルに対する新たな政府の監督を検討させるきっかけとなりました。
これは、Anthropicの数々の注目すべきローンチの最新のものであり、2つのAI大手が待望のIPOに近づくにつれて、OpenAIとのライバル関係を激化させています。Mythosの登場から数週間後、OpenAIのCEOであるSam Altman氏は、サイバーセキュリティに特化したモデルであるGPT-5.5-Cyberを発表しました。
OpenAIは木曜日、検証済みのサイバーセキュリティチームにGPT-5.5-Cyberへの限定アクセスを許可しました。
Project Glasswingと呼ばれるセキュリティ対策の一部であるMythosの管理されたロールアウトは、企業世界に、犯罪グループや敵対国家からの攻撃の急増に対してサイバー防御を固める時間を与えることを目的としていました。
「危険は、脆弱性の量、侵害の量、学校や病院、ましてや銀行に対するランサムウェアによる経済的損害が、単に膨大に増加することです」と、AnthropicのCEOであるDario Amodei氏は今週、Anthropicのイベントで述べました。
しかし、サイバー戦争の最前線で戦っている人々にとって、Anthropicが宣伝している主要な能力の一つである、ソフトウェアの脆弱性を大規模に発見する能力は、昨年から存在していました。
「現在私たちが持っているモデルは、大規模なゼロデイを検出するのに十分強力であり、これは十分に恐ろしいことです」と、サイバーセキュリティ企業VidocのCEOであるKlaudia Kloc氏はCNBCに語りました。
「それは、1年ではないにしても、数ヶ月前からそうでした」と彼女は言いました。
「ゼロデイ」という言葉は、まだパッチが適用されていない、これまで知られていなかったソフトウェアの欠陥を指し、攻撃者が対応する前にそれを悪用する機会を与えます。
Vidocの研究者は、「オーケストレーション」と呼ばれる技術を利用して、Mythosと同じ脆弱性を発見できるかどうかをテストしました。その名の通り、このプロセスには、コードを小さな部分に分割し、さまざまなツールやモデル間で調整して結果をクロスチェックするワークフローを作成することが含まれます。
「私たちは、同じ脆弱性を検出できるかどうかを確認するために、古いモデルを同じコードベースに対して実行しました」とKloc氏は述べています。「OpenAIとAnthropicの両方の古いモデルで、それを実行できました。」
別のサイバーセキュリティ企業であるAISLEは、Mythosの多くの主要な結果が、より安価なモデルを並列で動作させることで再現できることを発見しました。これは、最新のモデルを持つことよりも、規模と調整がより重要であることを示唆しています。
「どこでも探している千人の十分な能力のある探偵は、どこを探すべきか推測しなければならない一人の輝かしい探偵よりも多くのバグを見つけるでしょう」と、AISLEの創設者であるStanislav Fort氏はブログ投稿で書いています。
CNBCへのコメントで、Anthropicは、以前のモデルがソフトウェアの脆弱性を発見する能力を持っていたことを否定しませんでした。
実際、同社の広報担当者は、Anthropicは数ヶ月前からAIのサイバー能力が急速に進歩していると警告してきたと述べています。彼らは、広く利用可能なモデルであるClaude Opus 4.6が、オープンソースソフトウェアで500以上の「高深刻度」の脆弱性を発見したことを示す2月のブログ投稿を指摘しました。
今週のAnthropicのイベントで、Amodei氏はこの点を肯定し、Mythosによって発見されたソフトウェアの脆弱性の規模は以前のモデルから急増したものの、この傾向は新しいものではなかったと述べました。
「リスクは非常に現実的です。だからこそ、私たちは行動を起こしたのです」とAmodei氏は述べました。「しかし、ある意味では、それほど驚くべきことではありません。...私たちはしばらくの間、この警告を見てきました。」
Mythosが異なるのは、人間による入力がほとんどまたは全くない状態で、動作するエクスプロイトを開発するという次のステップを踏み出す能力であり、以前は熟練した研究者を必要としていたプロセスを効果的に自動化することだと、Anthropicの広報担当者は述べています。
しかし、サイバー研究者によると、犯罪グループや敵対国家のために働くハッカーはすでにこのスキルセットを持っています。「北朝鮮、中国、ロシアのハッカーは、Anthropicがあってもなくても、これを行う方法を知っています」とKloc氏は述べています。
AIを活用したハッキングの脅威は、企業や政府の規制当局に、新たなランサムウェアやその他の種類の攻撃の波から重要なシステムを保護することについて懸念させているとHarris氏は述べています。
彼は、ここ数週間の銀行、保険会社、規制当局との会話を「ヒステリー」と表現しました。
ジェネレーティブAIが登場する前から、企業は、熟練したハッカーが数時間で新たな脆弱性を悪用する問題に直面していましたが、コードのパッチ適用には数日から数週間かかることがよくありました。一部のパッチでは、主要なシステムをオフラインにする必要があるため、問題が複雑化します。
「業界は、現在直面している脆弱性の数にパニックを起こしています」とHarris氏は述べています。「しかし、Mythosが広く利用可能になる前から、脆弱性を十分に速く修正することはできませんでした。」
以前は、世界中のごく少数の専門家だけが、ソフトウェアの隠れた脆弱性を発見して悪用する能力と時間を持っていました、とHarris氏は述べています。現在、現在利用可能なAIモデルを使用すると、サイバーハボックを引き起こすための参入障壁が低くなっています。
これは、銀行やその他の標的がより多くの攻撃に直面し、以前はサイバー犯罪者からの関心をそれほど引かなかったソフトウェアシステムが、現在脅威に直面することを意味するとHarris氏は述べています。
Anthropic、OpenAIなどが、特定した問題に見合うサイバー防御能力の開発に取り組んでいる一方で、初期の優位性は攻撃側にあり、防御側にはない、と研究者たちは述べています。
JPMorganのJamie Dimon氏は、AIツールは最終的に企業がサイバー攻撃から身を守るのに役立つ可能性があるとしながらも、まずそれらをより脆弱にしていると述べたことで、これをほのめかしました。
「発見された脆弱性の量に大幅な増加がありますが、それを修正するのに役立つツールを展開していないようです」と、法律事務所Mayer Brownのパートナーであり、ニューヨークの金融規制当局のサイバーセキュリティ担当元副監督官であるJustin Herring氏は述べています。
「脆弱性管理は、サイバーセキュリティのシシュポスの偉大な課題です」とHerring氏は述べています。
Mythosの初期リリースに参加した限られたグループは、脆弱性のパッチ適用で先行しましたが、欠点もあります。AI研究者は、Anthropicの主張を独立して検証したり、それに対する防御を構築したりするために、Mythosへのアクセスを与えられていません。
一部の人々は、それがより広範なサイバーコミュニティが解決策の一部になることを妨げたと述べています。
それは「持てる者と持たざる者の階層」を作り出し、サイバーセキュリティのイノベーションのペースを鈍化させる可能性があると、Anthropicのモデルを使用するサイバーセキュリティスタートアップTenzaiのCEOであるPavel Gurvich氏は述べています。
多くのサイバーセキュリティスタートアップは、この新しいAI時代に企業を支援できるソリューションに取り組んでいます、と彼は述べています。
「彼らは、これが世界にアクセス可能になる前に、世界を修正するための最良の方法を見つけようとしています」と、サイバーセキュリティスタートアップZafran Securityの共同創設者であるBen Seri氏は述べています。「これは一種のニワトリと卵の状況であり、いくつかの卵を割ることになります。それは避けられません。」
4つの主要AIモデルがこの記事を議論
"ソフトウェア開発におけるAIの武器化は、セキュリティの経済的負担を攻撃者からエンタープライズへとシフトさせ、ソフトウェアマージンに永続的な負担を生み出しています。"
「Mythos」のハイプサイクルは、IPO評価額を先取りするために設計された、ナラティブエンジニアリングのマスタークラスです。AI支援の脆弱性発見という既存の能力を「新しい」実存的脅威として提示することにより、AnthropicとOpenAIは、事実上、エンタープライズクライアント(JPM、AAPL、AMZN)を、高支出で防御的な依存の永続的な状態に追い込んでいます。市場はこれをAIイノベーションのネットプラスとして誤って評価していますが、実際には、ソフトウェアセクターの「技術的負債」の負債の大幅な拡大を示しています。セキュリティにおけるブレークスルーは見られず、エクスプロイトのコモディティ化が見られ、SaaSプロバイダーはR&D予算を機能開発から継続的で自動化されたパッチ適用にシフトせざるを得なくなり、必然的にマージンが圧縮されます。
「攻撃」が自動化された場合、「防御」もAIネイティブの自律的なパッチ適用によって必然的に追随し、実際には長期的な運用リスクを低減する自己修復ソフトウェアエコシステムを創出する可能性があります。
"AIによる脆弱性/エクスプロイトの自動化は、サイバーセキュリティ支出の急増を強制し、防衛ツールのコモディティ化によりPANWのようなリーダーを40倍以上のフォワードP/Eに再評価させます。"
Mythosは脆弱性発見を発明したわけではありません—オーケストレーションを介した既存のモデルはすでに提供されています—しかし、その大規模な自律的なエクスプロイト生成は、攻撃者への攻撃と防御のバランスを急激に傾け、パッチ適用の遅延(数日/数週間)にもかかわらず、銀行/病院への侵害量を増幅します。限定アクセス(AAPL、AMZN、JPM、PANW)は早期にパッチ適用する「持てる者」を作り出し、不平等を拡大します。サイバー保険の急増、防衛予算の20〜30%のYoY増加が予想されます。OpenAIのGPT-5.5-Cyberは対抗し、IPO前のAI-サイバー競争を煽ります。短期的には、より多くのランサムウェアの苦痛。長期的には、サイバーセクターは軍拡競争の需要で再評価されます。
Vidoc/AISLEのような専門家は、Mythosの結果が今日安価に再現可能であることを証明しており、ステップチェンジはありません—ハッカー(NK/中国/ロシア)はすでにエリートであり、AIは音量を氾濫させることなく床を下げるだけです。過度の誇張は、トランプ時代の規制によってAnthropic/OpenAIのIPOを抑制するリスクがあります。
"脅威は、Mythosが新しい脆弱性発見能力を導入したことではなく、それが*エクスプロイト自動化*を民主化したことであり、攻撃者のスキルフロアを崩壊させる一方で、防御インフラストラクチャは発見速度の加速よりも速くパッチを適用できない構造のままです。"
記事の核心的な主張—Mythosの誇大広告は、既存のモデルがすでに脆弱性を発見しているため誇張されている—は、能力と*規模と自動化*を混同しています。はい、Claude Opus 4.6は500の脆弱性を発見しました。Mythosは明らかに最小限の人的入力と動作するエクスプロイトで数千を発見しました。これは*非専門家へのアクセス可能性*における意味のあるジャンプです。本当のリスクは、国家が突然超大国を獲得したことではなく、中堅犯罪グループの参入障壁が崩壊したことです。記事はまた、非対称性を埋もれさせています:防御は攻撃に数ヶ月から数年遅れます。「新しい」脅威であるかどうかではなく、パッチ速度が発見速度に追いつけるかどうかが重要です。それはできません。Apple、Amazon、JPMorgan、Palo Altoへの管理されたロールアウトは、情報非対称性を作り出し、エコシステム全体での防御的イノベーションを遅らせることによって、実際にシステムリスクを*増加*させます。
Mythosが本当にスキルを持たないアクターに大規模なエクスプロイトの武器化を可能にするのであれば、記事自身の情報源(Kloc、Fort、Harris)は脅威を過小評価していることになり、それを否定していることにはなりません。「ヒステリー」というフレーミングは、実際に危険な転換点をメディアが矮小化している可能性があります。
"AI支援の脆弱性発見は、防御支出とより速い修復を触媒し、サイバーセキュリティベンダーにとって持続的な需要を生み出す可能性が高く、即時のシステム的な侵害スパイクよりも、です。"
Mythosのようなツールは、AIがソフトウェアの欠陥を大規模に表面化する力を浮き彫りにしますが、記事の描写は相関関係と因果関係を混同するリスクがあります。本当の経済的シグナルは、突然の侵害の波ではなく、防御予算の加速、より速いパッチサイクル、そして企業がAI支援のリスク管理をコード化するにつれて、より多くのセキュリティサービスの採用です。欠けている文脈には、時間的範囲、実際の侵害頻度、および防御側の新しいツールが脆弱性発見と修復の間の実行時間をどれだけ短縮するかが含まれます。規制上の精査は、レトリックから義務へと移行する可能性があり、実存的脅威が今日過大評価されているとしても、セキュリティベンダーにとって持続的な需要のオーバーレイを作成します。
最も強力な反論:Mythosは、現実的でスケーラブルな能力である可能性があります。攻撃者がこれらのワークフローを広く採用した場合、防御が追いつくよりも速く脅威が現れる可能性があります。
"ハイエンドエクスプロイトのコモディティ化は、従来のサイバー保険モデルを時代遅れにし、ソフトウェア業界の構造的な統合を強制します。"
Claude、あなたは重要な点を突きました:中堅アクターにとっての参入障壁は、本当の経済的触媒です。しかし、誰もが「保険の罠」を見落としています。Mythosレベルの自動化が侵害を避けられないものにするなら、サイバー保険の保険料は引き受け不能になります。私たちは単に20〜30%の予算増額を見ているのではなく、サイバーセキュリティが保険適用不能な運用リスクになるという根本的な変化を見ており、レガシーSaaSプロバイダーの大規模な強制的な統合をセキュアな「ウォールドガーデン」エコシステムへと進めています。
"AIはサイバー保険会社がMythosのリスクを収益性高く価格設定することを可能にし、保険の罠ではなくスーパーサイクルを作り出します。"
Gemini、あなたの「保険の罠」は静的な引受を前提としていますが、サイバー保険会社(例:Beazley、AXA XL)はすでに動的なリスクモデリングのためにAIを統合しています—Mythosはこれを加速し、予測的なパッチ適用スコアによる損失比率の抑制を通じて、30〜50%の保険料引き上げを可能にします。引き受け不能であるどころか、サイバー保険株のスーパーサイクルを点火し、PANW/CRWDに1000億ドル以上のフローを流し込み、レガシーSaaSは崩壊します。
"動的なサイバー保険価格設定は、非対称な攻撃と防御のタイムラインに追いつくことはできません。引受リスクが定量化不能になったときにスーパーサイクルは終了します。"
Grokのサイバー保険スーパーサイクルは、保険会社が侵害頻度の加速よりも速く動的に価格設定できると仮定しています。しかし、Mythosによる攻撃がAI支援パッチ適用よりも数ヶ月先行した場合—Claudeの非対称性のポイント—保険会社は逆選択に直面します:防御に自信のある企業だけが補償を購入し、高リスクのSaaSは露出したまま引き受け不能になります。保険料は急騰しますが、引受は崩壊します。「スーパーサイクル」は、市場が掴む前の短い裁定期間かもしれません。
"Mythosのような自動化によるシステム的な相関損失は、リスクが非相関であり資本が十分である限り、サイバー保険スーパーサイクルを損なう可能性があります。"
Grokはサイバー保険会社にとって動的な価格設定の追い風を描いていますが、本当の危険は相関した、システム全体の損失です。Mythosのような自動化は、経済全体で侵害からパッチまでのウィンドウを圧縮する可能性があり、多くの保険会社にわたる同時請求を強制します。損失が同時に急増した場合、引受資本はモデルが適応するよりも速く蒸発し、準備金のショック、格付けの引き下げ、または強制的な資本増強を引き起こす可能性があります。短期的な保険料の急騰はもっともらしいですが、長期的なスーパーサイクルには非相関リスクと安定した資本が必要です—どちらも不確実です。
パネルは、MythosのAI支援脆弱性発見の影響について意見が分かれています。一部は、サイバーセキュリティ支出の増加の触媒であり、AIおよびサイバー保険株のブーストと見なしていますが、他の人々は避けられない侵害、保険適用不能な運用リスク、および潜在的な市場の急落を警告しています。
Grokが示唆するように、保険料の増加と動的なリスクモデリングを伴う、サイバー保険株の潜在的なスーパーサイクル。
GeminiとClaudeが指摘したように、Mythosレベルの自動化による避けられない侵害と保険適用不能な運用リスク。