Anthropicが公開した最新AIモデル「Claude Fable 5」は、強力なサイバー攻撃ツールとしての可能性を秘めつつも、安全フィルターを搭載している。しかし、今年に入ってDeFiで発生した被害は8億4,000万ドルを超えており、もしこのフィルターが突破されれば業界に甚大な損失をもたらす恐れがある。
Anthropicの新モデルは、強化された推論能力とコーディング力を持ち、暗号資産市場の課題であるセキュリティ問題に新たなリスクをもたらす可能性が指摘されている。同社は火曜日に「Claude Fable 5」を公開し、同モデルはMythosクラスで最初のパブリックモデルであり、現時点で最も強力なAIモデルと位置づけている。
このモデルは強力すぎるため、より広い利用を想定した制限付きバージョンと、限定利用者向けの制約の少ないバージョンの二つを用意した。パブリック版は高度な推論やコーディング能力を備える一方で、最も危険な使用はブロックされる。一方で、制限が緩い「Claude Mythos 5」モデルは、サイバーセキュリティや重要インフラ関係者らに限定されている。
専門家はMythosモデルがゼロデイ脆弱性を発見し、連鎖的に実働攻撃に変える支援が可能だと警鐘を鳴らす。Anthropicはこれに対し、高リスクのリクエストを検出し攻撃経路を遮断する仕組みを導入。検出時には脆弱性の低い「Claude Opus 4.8」に処理を切り替えるという。
同社の説明によると、このフォールバックは利用セッションの5%未満で発動し、サイバーセキュリティ専門チームと1,000時間超の外部バグ報奨プログラムによる検証で、普遍的な突破手法は確認されていない。ただし、Anthropicはこのシステムが完全無欠ではなく、多くの資金力ある攻撃者が試み続けることを予想している。
ブログ投稿では「Mythosレベルの能力は多くの敵対者にとって価値があるため、当社の安全措置を回避しようとする動機付けが強い」「決意ある敵対者に対し信頼できる制御手段とは言えない」と表明した。
AIがハッカーの道具箱に加える最大の革新は脆弱性の特定そのものではなく、超人的な速度にある。導入された制限はこの速さを抑えられない可能性がある。
ハードウェアウォレットメーカーLedgerの最高技術責任者チャールズ・ギユメ氏はCoinDeskに「現在のAIガードレールは障害にはなるが、決意ある攻撃者に対する信頼できる制御手段ではない」と指摘する。変化の本質はAIが新規攻撃を発明することではなく、攻撃手法を生み出すまでの時間を劇的に短縮する点だという。AIの推論モデルは「すべてのコミット解析、すべての設定検索、すべてのミスコンフィギュレーションの機械的列挙」が可能だと説明する。
暗号資産は特に脆弱である。ソフトウェアの欠陥が即座に財務的損失に直結するためだ。
ソーシャルエンジニアリングによる被害続出
DefiLlamaによれば、今年初めの5カ月でDeFiプロトコルは8億4,000万ドル超のハッキング被害を受けている。4月単月だけで6億ドル以上に達し、分散型金融業界として過去最悪の月となった。
注目すべきは最大2件の事件がAIが技術的に狙える単純なスマートコントラクトの脆弱性ではなく、より人為的な要素によるものであった点だ。1件は北朝鮮関連グループが半年にわたるソーシャルエンジニアリングにより管理者権限を奪取し、Drift Protocolから約2億8,500万ドルを流出させた。もう1件はKelp DAOの単一検証者の欠陥を突き、約2億9,200万ドルを奪った事例である。
さらに火曜日には分散型認証サービスHumanity Protocolがプライベートキー漏洩により3,000万ドル超を失った。CoinDesk報道によれば、攻撃者は従業員のノートパソコンに保存されていた6つのプライベートキーのうち3つにアクセスしていた。
問題の核心はAnthropicのフィルターで検知できる明白なスマートコントラクトの脆弱性ではなく、最大の損失は契約バグを伴わなかったことにある。ギユメ氏はこれらの攻撃は「ソーシャルエンジニアリング、誤った署名フロー、露出したキー、人為的ミス」など既知の脆弱性に根差していると説明する。
Claude Fableのようなモデルは、完成された攻撃手法を提供しなくとも、攻撃の経済性を大きく変えうる。公開リポジトリの読解、ソフトウェア旧版の比較、監査報告の要約、人間が見逃す細かな運用ミスを察知できる説得力のあるメッセージを生成するからだ。
「これらの攻撃は依然としてソーシャルエンジニアリングや人為的ミスに起因している」という指摘は重い。
このような状況下、防御側はすべての重要パスワード、依存関係、署名フロー、特権アカウントの確実な保護を求められる。AIは偵察の段階を加速し、最終署名の重要性を高めている。一方でプライベートキーは侵害されたノートパソコンからアクセスできない安全な場所に保管し、ユーザーは承認内容を確実に確認できる信頼性の高いスクリーンを必要としている。
ギユメ氏は「これを正しく認識すべきであり、攻撃の本質は変わらずソーシャルエンジニアリングや人為的ミスにある。AIは現実を作り出したのではなく、可視化し、機械的スピードで加速させたに過ぎない。唯一の解決策はハードウェアルートオブトラストであり、認証済みのセキュアエレメント上でプライベートキーを生成・保持し、信頼できる表示とクリアサインを組み合わせることだ」と述べている。
防御面でのAI活用と両刃の剣
しかし同技術はコード保護にも活用されている。DeFiイールドプロトコルのPendleは、Claude Opusの最初のバージョンからAnthropicモデルを防御的に利用していると語る。チームはAIを活用してコードベースのマッピングや、展開直後のスマートコントラクトのストレステストを実施し、バグの早期発見とコード明確化を促進している。
Pendle開発者はTelegramのインタビューで、スマートコントラクト自体は恐れるべき対象ではないと話す。短く限られたエントリポイントを持つため、優秀な監査者は契約全体の状態把握と境界ケースのテストが可能だという。
「スマートコントラクト監査には、実際には行数の多いコードはあまりない」と説明する。
つまり、次の大規模な暗号資産ハッキングは新規性に乏しく、DeFiが既に経験する典型的な手口である汚染されたパッケージ、騙された開発者、誤った署名フローの類である可能性が高い。ただしその違いは、より迅速に発生することであろう。