🔴 🛡️ セキュリティ 公開日: · 3 分で読めます ·

Anthropic:Claude Mythos PreviewがFirefoxとWindowsのエクスプロイトを数日ではなく数時間で作成

編集イラスト:ノードのネットワークと脆弱性のマーカーが表示されたサイバー脅威のデジタルマップ

Frontier Red Teamの研究者たちは、Claude Mythos Previewがパッチ済み脆弱性に対する機能するエクスプロイトコードを数時間以内に自律的に作成することを発表しました。このモデルはFirefox SpiderMonkeyに対して12時間で8件の機能するエクスプロイトを作成し、Windowsカーネルに対しては6時間で18件のPoC(概念実証)コードを生成しました。最初のPoC完成は31分でした。

🤖

この記事はAIにより一次情報源から生成されました。

N-day:既知の脆弱性、エクスプロイトは今や迅速に利用可能

N-day脆弱性という用語は、ベンダーがすでにパッチを適用し、そのパッチが公開されているソフトウェアのセキュリティ上の欠陥を指します。攻撃者は把握しているがベンダーは把握していないゼロデイ脆弱性とは異なり、N-dayは影響を受けたシステムにパッチが適用されていない限り特別な危険性を持っています。脆弱性の窓は影響を受けたマシンにパッチが適用されるまで毎日開いたままです。これまでは、複雑な脆弱性に対する機能するエクスプロイトの作成には、カーネルコードとリバースエンジニアリングの専門的な分析に数週間または数ヶ月が必要とされていました。2026年6月8日に発表されたAnthropicの研究はその前提を覆しています。

FirefoxとSpiderMonkey:12時間未満で8件のエクスプロイト

Frontier Red Teamは、Firefoxのエンジン最も複雑なコンポーネントの一つであるJavaScriptエンジンSpiderMonkeyの18件のパッチ済み脆弱性に対してClaude Mythos Previewをテストしました。モデルは追加の指示なしに自律的に動作し、パッチを分析して攻撃ベクターを特定しました。結果:リモートコード実行のための8件の完全に機能するエクスプロイト。速度も同様に注目すべきものでした:最初のエクスプロイトは1時間未満で完成し、8件すべてのエクスプロイトが約12時間以内に完了しました。FirefoxはオープンソースプロジェクトであるためMythos Previewはパッチ分析時にソースコードにアクセスできました。

Windowsカーネル:6時間以内に18件の概念実証コード

クローズドソースコードは障壁になりませんでした。オペレーティングシステムの保護された高度にセキュアなレイヤーであるWindowsカーネルにおいて、Claude Mythos Previewは21件のパッチ済みカーネル脆弱性を分析し、わずか6時間以内に8件の完全な権限昇格チェーン18件の概念実証(PoC)コードを生成しました。最初のPoCは31分で完成しました。 権限昇格チェーンにより攻撃者は初期の管理者権限なしにシステムの完全な制御を取得できます——これはセキュリティの脅威環境において最も危険なエクスプロイトクラスの一つです。

「N-day」という呼称は誤った名称になりましたか?

研究著者たちによると、答えは肯定的です:「N-day」という古典的な呼称は、パッチ公開からの日数が攻撃の危険性と相関するという前提に基づいており、その前提はもはや時代遅れになっています。Winnie Xiao、Tim Abbott、Nicholas Carlini、Newton Cheng、David Forsythe、Keane Lucas、Milad Nasr、Shikhar Sakhujaは、エクスプロイトの時間は現在、日単位ではなく時間単位で測定されると結論付けています。モデルがパッチ分析から機能するエクスプロイトまで1時間未満で到達できる場合、N-dayカテゴリは時間的な意味を失います。この研究はオープンソースとクローズドソースの両方のターゲットをカバーし、コードへのアクセスタイプが制限要因ではないことを確認しています。

コストと民主化:専門家なしのサイバー脅威

1回のエクスプロイト実行にかかるAPIコストは2,000〜15,700ドルです。この金額は個人には高額ですが、以前は専門的な専門知識を持っていなかった国家主体、組織化された犯罪グループ、十分な資金を持つ攻撃者には利用可能です。攻撃者の能力のこの民主化——専門知識から財務リソースへの主要な制限要因のシフト——がこの発見の中心的なセキュリティ上の意味です。Frontier Red Teamは2026年6月8日に、セキュリティコミュニティがリスク評価、パッチ優先度、重要インフラへのパッチの迅速な適用を積極的に調整するために、この研究を発表しました。

よくある質問

N-day脆弱性とゼロデイ脆弱性の違いは何ですか、なぜN-dayは依然として危険なのですか?
ゼロデイ脆弱性はベンダーが把握しておらずパッチがない一方、N-dayはすでにパッチ済みですが、ソフトウェアをまだ更新していないシステムでは依然として危険です。エクスプロイトの作成速度が自然な障壁でしたが、この研究はその障壁がもはや存在しないことを示しています。
一般的な攻撃者はAIを使ってカーネル脆弱性のエクスプロイトを作成できるようになりましたか?
1回の実行コストは2,000〜15,700ドルで、個人の能力を超えますが、以前は専門的な知識を持っていなかった組織化されたグループや国家主体にとっては利用可能になっています。

📬 AIニュースをあなたの受信箱へ

毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。