最近、サイバーセキュリティ界隈がこれまでにないほどザワついています。
その中心にいるのが米国Anthropic (アンソロピック)社が発表した次世代AIモデル「Claude Mythos (クロード・ミトス)」です(=゚ω゚)ノ
4月7日に米国で発表されるや否や、その圧倒的な脆弱性発見能力が「攻撃側に渡れば、既存の金融・公共インフラが文字通り崩壊しかねない」と危惧され、ベッセント財務大臣が主要金融機関の代表を緊急招集する事態に発展しました。
日本でも政府が官民連携のサイバー防衛体制強化を発足させるなどまさに国家レベルの激震が走っています。
Anthropic自身もこのMythosの危険性を考慮しているのか一般公開を見送り、その代わりにテック企業等と連携して活用を模索する「Project Glasswing」を立ち上げました。
透明な羽を持つ蝶の名を冠したこのプロジェクトは、AIを使って脆弱性を「攻撃者より先に」見つけて修正する、まさにAIによる盾です。
オープンソースの「Clearwing」を触りはじめてみた
Mythosが一部の企業に限定公開される一方で、誰でも使える一般的なLLM (GPT-5やClaude Opusなど)をエンジンに使い、自律的なセキュリティチェックを実現しようとする動きも出ています。
その一つが今回触りはじめた「Clearwing」です(=゚ω゚)ノ
Clearwingは、米国Lazarus-AI社がGitHub上で公開したオープンソースのツールです。
MITライセンスで提供されており、いわば「Project Glasswingの民主化版」を目指したようなプロダクトです。
これまでのAI支援と違うのは、単に「コードを読んで脆弱性を指摘する」だけでなく、AIが自律的にツールを選定し、検証し、さらにはネットワーク越しにペネトレーションテスト(侵入テスト)まで実行する点にあります。
Clearwingが持つ「2つの顔」
実際に動かしてみると、次の2つのモードが非常に強力だと感じました。
- ソースコードハンティング(Source Code Hunter)
指定したリポジトリを自律的に巡回し、LangGraph(グラフ構造のワークフロー)を活用して、静的解析から動的検証までをワンストップで行います。
単なる指摘に留まらず、修正パッチの提案までAIが行うところが驚異的です。 - ネットワークペンテスト(Network Pentest Agent)
これが情シス・情報セキュリティ担当として最も期待している機能です。
AIが自律的にスキャンを行い、発見したサービスに対して既知の脆弱性を突き、侵入の可否を自ら検証します。
先日、開発部門に「脆弱性検査のためにOWASP ZAPをかけてほしい」と依頼した際、「ZAP?やり方教えてくれたらやりますけど?」と、経営役への報告までに時間を要した苦い記憶が蘇ります(ノД`)・゜・。
このツールが使えれば「こっちで勝手にスキャンして、ダメだったら経営役に言っておくね~」と、情シス・情セ側のプレゼンスを劇的に高めてくれる期待感があります(´艸`*)
PoC環境での検証と注意点
Clearwing自体にはハッキングツールが全て内蔵されているわけではないようです。
OpenAIやAnthropicのAPIと連携し、AIが「今はこのツールが必要だ」と判断し、ツールを読み込んで実行していくスタイルのようです。
逆に言えば、インターネット上のAIに「うちのネットワークのここを攻撃してみて」と指示を出すようなものなので、いきなり本番環境で動かすのは怖すぎます(^▽^;)
というわけで、現在はAzure上の閉じた空間にPoC (概念実証)用に、ハニーポット的環境を作り、壊しては直しながらツールの動きを確認しています。
AIが試行錯誤しながら脆弱性を突いていくログを見るのは、不気味でありながら非常にエキサイティングです。
おわりに
「Claude Mythos」のような超強力なAIの登場で、もはや人間対人間のサイバー戦は終わりを告げようとしているのかもしれません。
Clearwingのようなツールを使いこなし、いかに自律的に予防的防御を回しつつ、実環境でもAIを全力で活用して違和感を見つけ出していくか。
攻撃の全部が、こういったAI使ってますよね?ってバレバレなフィッシング詐欺メールだったらどんなに楽なんだろうかなぁ…と思ってしまいます(^▽^;)
