Anthropicが開発した新たなAIモデル「Claude Fable 5」は強力なサイバー攻撃ツールとしての潜在力を持つ一方で、安全フィルターを搭載している。今年に入り8億4,000万ドル超の被害が発生しているDeFi業界は、もしこのフィルターが突破されれば、最も大きな損失を被る分野の一つとなる可能性がある。
Anthropicの最新AIモデルは、より強力で高速な推論能力とコーディング能力を提供し、セキュリティ上の課題を抱える暗号資産市場に新たなリスクをもたらす可能性がある。
同社は火曜日にClaude Fable 5を公開し、これはMythosクラスとしての初のパブリックモデルにあたる。Anthropicによると現時点で最も強力なモデルであり、その強力さから幅広い利用を想定したバージョンと、より制限された利用者向けの2種類をリリースしている。
パブリック版は強化された推論能力とコーディング能力を備え、最も危険な使用はブロックする設計だ。制約の少ないモデル「Claude Mythos 5」はサイバーセキュリティや重要インフラ関係者の厳選された利用者に限定されている。
専門家らはMythosモデルがゼロデイ脆弱性、すなわちこれまで知られていなかったソフトウェアの欠陥を発見し、それらを連鎖して実際の攻撃に変える支援が可能であると指摘。Anthropicによると、高リスクのリクエストを検知し攻撃の可能性を遮断しようと試みる仕組みを実装している。検知時は脆弱性の低いモデル「Claude Opus 4.8」に処理を移す。
Anthropicの説明では、このフォールバックは利用セッションの5%未満にしか発動しない。専門のサイバーセキュリティチームによる検証や1,000時間超の外部バグ報奨プログラムにより、システムを破る普遍的な手法は確認されていないという。
ただし同社はこのシステムを完全無欠とは考えておらず、高い価値を持つ能力のため、意欲的で資金力のある攻撃者が試みを続けることを想定している。
同社はブログ投稿で「Mythosレベルの能力は、多くの敵対者、とくにサイバー攻撃で利益を得る可能性がある者にとって非常に価値があるため、我々の安全措置を回避しようと動機づけられていると認識している」と述べた。
「……決意の固い敵対者に対する信頼できる制御手段ではない」ともしている。
標的の脆弱性を特定すること自体は、AIがハッカーの新たなツールとなる革新の本質ではない。真に重要なのは超人的な速度であり、AIモデルに導入された制限はこれを抑制するには十分でない可能性がある。
ハードウェアウォレットメーカーLedgerのCTOであるCharles Guillemet氏はCoinDeskへのメールで、「現在のAIガードレールは妨げにはなるが、決意の固い敵対者に対する信頼できる制御手段ではない」と指摘する。
彼の説明によると、変化はAIが新規のハックを作り出すことより、攻撃方法を発明する時間短縮にある。推論モデルはソフトウェア開発の過程で「すべてのコミットを解析し、すべての設定を検索し、あらゆるミスコンフィギュレーションを機械的な速度で列挙できる」能力を持つという。
暗号資産は特に脆弱だ。なぜならソフトウェアの欠陥が即座に財務的損失に直結するためである。
ソーシャルエンジニアリング
DefiLlamaのデータによると、今年上半期におけるDeFiプロトコルのハッキング被害は8億4,000万ドルを超える。4月単月では6億ドルを超え、分散型金融業界にとって過去最悪の月となった。
しかし最大2件の事件は、AIが技術的に突破しやすい単純なスマートコントラクトの脆弱性によるものではなかった。
一例は北朝鮮関連のグループが6か月にわたるソーシャルエンジニアリングの結果、管理者権限を奪取し、Drift Protocolから約2億8,500万ドルを流出させた事件。もう一つはKelp DAOで単一検証者の弱点をつき、約2億9,200万ドルを盗み出した。
さらに火曜日には、分散型認証サービスHumanity Protocolがプライベートキーの漏洩で3,000万ドル超を失う事件も発生。CoinDeskによると攻撃者は従業員のノートパソコン内の6つのプライベートキー中3つを入手していた。
問題はここにある。Anthropicのフィルターが検知する明らかなスマートコントラクト脆弱性ではなく、最大の損失は契約のバグを要さなかった点だ。
Guillemet氏はこれらの攻撃が「ソーシャルエンジニアリング、誤った署名フロー、露出したキー、人為的ミス」といったよく知られた弱点に起因すると指摘する。
Claude Fableのようなモデルは、完成形の攻撃手法を提供しなくとも攻撃の経済性に変化をもたらしうる。公開リポジトリの解析、旧バージョン比較、監査報告の要約、人間が見落としがちな細かな運用ミスを発見する説得力のあるメッセージ作成が可能だからだ。
「これらの攻撃はいまだにソーシャルエンジニアリングと人為的ミスに根ざしている」と彼は述べる。
この状況下、防御者はあらゆるキーパス、依存関係、署名フロー、特権アカウントを厳重に保護しなければならない。AIは偵察段階を加速させるため、最終署名段階の重要性が高まっている。プライベートキーは侵害されない場所に保管し、ユーザーは承認内容を確実に表示する信頼できるスクリーンを要求される。
Guillemet氏は「これを正しく認識すべきである。これらの攻撃は未だソーシャルエンジニアリングと人為的ミスに根ざすもので、AIは現実を創造したのではなく、可視化し機械的スピードで加速したにすぎない。唯一の解決策はハードウェアルートオブトラストであり、認証済みセキュアエレメント上でプライベートキーの生成・保持を行い、信頼できる表示と明確な署名を組み合わせることだ」と述べた。
両刃の技術
しかし同技術はコード自体の保護にも役立つ。DeFiイールドプロトコルPendleは、AnthropicモデルのClaude Opus初版を防御的に活用していると語る。チームはAIを用いてコードベースのマッピングを行い、展開直後のスマートコントラクトを含めストレステストし、バグの早期発見とコードの明確化に努めている。
Pendleの開発者はTelegramでのインタビューで、スマートコントラクト自体は恐れるべき対象ではないと説明。短くエントリポイントも十数ヶ所程度に限定されており、熟練した監査者は契約の完全な状態を把握し、境界ケースの検証も可能だとした。
「スマートコントラクト監査で本当にコード行数の多いものは少ない」と開発チームは語る。
つまり、次の大規模な暗号資産ハッキングは目新しい手口ではなく、DeFiが既に直面している変質したパッケージや誤導された開発者、誤った署名フローなど典型的な攻撃手法の延長線上にある可能性が高い。
違いは発生スピードがより速まる点にあると考えられている。
