欧州中央銀行(ECB)は、高度な人工知能モデル、特にAnthropicのClaude Mythosがもたらすサイバーセキュリティ脅威について、主要銀行を緊急協議に招集した。ECBは、攻撃者がセキュリティ修正を30分未満でリバースエンジニアリングできるようになったと警告。この速度は従来のパッチサイクルを上回る恐れがある。規制当局がAI主導の脆弱性による脅威の拡大に対応する中での動きだ。
AIモデルが防御ベンチマークを突破
英国のAIセキュリティ研究所がClaude Mythos Previewをテストしたところ、エキスパートレベルのCapture the Flagチャレンジの73%をクリアした。これは2025年4月以前にはどのAIモデルも達成していなかった節目である。Capture the Flag演習は実際のサイバー攻撃を模擬し、高度な技術的推論を必要とする。研究所の結果は、フロンティアAIシステムが人間のセキュリティチームが緩和策を講じるよりも速く脆弱性を特定・悪用できることを示唆している。
Mozillaのパッチ対応
Mozillaは、Claude Mythosが発見した脆弱性に基づき、Firefox 150に271件のセキュリティパッチを発行せざるを得なかった。この数は、以前のモデルOpus 4.6から生成されたパッチを大幅に上回り、AIが広く使われるソフトウェアの欠陥をいかに迅速に見つけられるかを示している。この事例は、攻撃者が脆弱性を武器化する前に開発者が修正を急ぐ必要性を浮き彫りにしている。
ECBの緊急性:「アンダンテからプレストへ」
ECB副総裁のフランク・エルダーソンは、AIが脅威を加速させているため、銀行はパッチ展開を「アンダンテ」から「プレスト」のテンポに加速する必要があると述べた。ECBはユーロ圏の111の主要銀行を監督しているが、その大半は銀行主導のプロジェクト・グラスウィングを通じてClaude MythosのようなフロンティアAIモデルに直接アクセスできない。このギャップにより、多くの金融機関は、敵対者が使用する可能性のあるツールそのものを把握できずにいる。
エルダーソンの警告は単純な問題を指摘している。防御側が最新のAIに対してテストできなければ、AIが可能にする攻撃を予測できないのだ。ECBはコンプライアンスの期限を明示していないが、メッセージは明確である——遅いパッチサイクルはもはや許容されない。
フロンティアAIへの不平等なアクセス
プロジェクト・グラスウィングは銀行に高度なAIモデルへのアクセスを提供するために設立されたが、参加は限定的である。ECB監督下の銀行の大半は依然としてアクセスを制限されている。この非対称性は危険な力学を生み出す——攻撃者は、防御側がまだモデル化すら見ていない脆弱性を悪用できるのだ。ECBはより広範なアクセスを求めているが、時期は発表されていない。
当面の課題は、ECBの監督下にある111行が追いつくために必要なツールを入手できるか、それとも攻撃と防御のギャップが拡大し続けるかである。
