Mythos（ミュトス）噂通りの「ヤバいヤツ」であることが判明

小さなバグをつなぎ合わせ「攻撃経路」につながるかを推論

　CloudflareはAnthropicが進めるサイバー防衛プロジェクトProject Glasswingに参加し、未公開AIモデルMythos Previewを自社の50以上のリポジトリに適用した。検証の目的はセキュリティ特化型の大規模言語モデルが自社のインフラやコードベースでどのように機能するかを確かめることである。 従来の汎用AIモデルも個別のバグを発見する能力は持っていたが、それらを連携させて重大な問題として成立するかを検証する段階で限界があった。

　Mythos Previewの大きな特徴として、コード内の小さな弱点を個別に指摘するだけでなく、それらを組み合わせた場合に「実用的な攻撃経路」へつなげることができるかどうかまで自律的に推論できる点を挙げている。現実のサイバー攻撃では、単一のバグだけで重大な被害につながるケースは限られている。実際には、入力チェックの甘さ、メモリ処理の不備、通信処理の抜け穴といった、単体ではバックログに埋もれてしまいがちな、危険度の低い複数の弱点を順番に組み合わせることで、より深刻な侵害へとつなげていく。


　Mythos Previewは、こうした小さな手がかりを一本の鎖のようにつなぎ合わせ、実際の攻撃として成立する可能性を調べ上げる能力を持つ。 具体的な例として、解放後メモリ参照のバグを悪用してメモリの任意の読み書きを行う仕組みへと変換し、プログラムの制御フローを乗っ取った上で、リターン指向プログラミングの連鎖を用いて最終的にシステム全体の制御権を完全に奪取するといった一連の複雑な攻撃プロセスを構築できることが分かった。

　この分析の過程でMythosが見せた推論の質は、従来の自動スキャナーのような機械的な出力ではなく、「熟練したシニアセキュリティ研究者」の作業に近いとされる。さらに同モデルは、疑わしいバグを指摘するにとどまらず、それが本当に再現できるかを確かめるための概念実証コードを自動で生成する。Mythos Previewはバグを引き起こすコードを自ら書き、一時的な環境でコンパイルして実行した。プログラムが期待通りに動作しなかった場合には、失敗の要因を読み取って仮説を調整し、再度実行を試みるという検証ループを繰り返すことができる。