ブリティッシュ・テレコム(BT)は、アンソロピック(Anthropic)の「プロジェクト・グラスウィング(Project Glasswing)」に参加した。これは、攻撃者が悪用する前にAIを活用してソフトウェアのセキュリティホールを見つけ出す取り組みだ。この動きにより、英国最大手の通信事業者の一つが、大規模言語モデル(LLM)を用いた脆弱性スキャンの自動化を目指すプログラムに加わったことになる。
プロジェクト・グラスウィングの標的
プロジェクト・グラスウィングは、アンソロピックが自社の生成AIモデルをコード監査人に変える試みである。AIはコードの作成や要約だけでなく、バッファオーバーフロー、SQLインジェクション箇所、認証の欠陥といった一般的な脆弱性を識別するよう訓練されている。このプロジェクトに参加することで、BTはこれらのスキャンツールへの早期アクセスを得るとともに、フィードバックを提供してモデルの改善に貢献することになる。
何百万もの顧客と企業にわたるネットワークを運営する通信大手にとって、自動スキャンの魅力は明らかだ。手動でのコードレビューは時間がかかり費用も高む。ソフトウェアサプライチェーンには現在、数千ものオープンソースコンポーネントが含まれており、それぞれが侵害の侵入口となる可能性がある。AIがコードベースを数週間ではなく数分でスキャンできれば、脆弱性が導入されてからパッチが作成されるまでの時間を大幅に短縮できる。
BTがなぜ適任なのか
BTのサイバーセキュリティ部門は、長年にわたり重要国家インフラの保護に注力してきた。同社は英国最大級のプライベートネットワークを運営し、政府機関、銀行、医療機関のデータを扱っている。同社のシステムで侵害が発生すれば、電話料金に影響が出るだけでなく、緊急サービスや金融取引が中断される可能性もある。
サンフランシスコに拠点を置くAI研究所で、Claudeモデルファミリーの開発元であるアンソロピックは、安全性をブランドの中核に据えている。プロジェクト・グラスウィングはそのミッションの一部であり、他のシステムを防御できるAIシステムを構築することを目指している。BTのような通信事業者を巻き込むことで、アンソロピックは隔離された実験環境では得られない、実世界での展開データとストレステストを得ることができる。
展開時期などの詳細は未公表
BTとアンソロピックは、スケジュール、財務条件、スキャンツールがBTの既存のセキュリティパイプラインにどの程度統合されるかについて、いずれも明らかにしていない。また、AIスキャンがBTのエンタープライズ顧客にサービスとして提供されるのか、内部に留められるのかも不明だ。
判明しているのは、BTがプロジェクトの研究段階に参加し、脆弱性データセットとユースケースを提供するということだ。これによりアンソロピックは、大規模通信ネットワークで実際に動作するコード——レガシーシステム、サードパーティソフトウェア、カスタム構築インフラが混在するコード——を基にモデルを改良できる可能性がある。
規制と信頼性に関する課題
コードのスキャンにAIを使用することは、それ自体にリスクを伴う。モデルが誤検知(偽陽性)を報告すれば、エンジニアは幻を追うことになる。実際の脆弱性を見逃せば、システムは誤った安心感を与えるものになる。英国や欧州の規制当局は、重要部門でのAIの導入状況を監視しており、BTのネットワークに関わるいかなるインシデントも厳しい監視の対象となるだろう。
BTは、AIスキャンが独立した第三者機関によって監査されるのか、また、独自コードをアンソロピックのクラウドにアップロードすることによるプライバシーへの影響をどのように扱うのかについて、まだ明らかにしていない。これらの疑問は、この提携が本格化するにつれて解明されることになる。
