フロンティアAIモデルの進化と脆弱性の発見
最新世代のフロンティアAIモデルは、もはやユーザーとチャットしたり、画像を生成したり、コードを書いたりするだけではありません。研究者たちは、AnthropicのClaude MythosやClaude Opus 4.8、OpenAIのGPT-5.5などのシステムを使用して、ソフトウェアの脆弱性を特定することが増えており、これらの能力が広く利用可能になると何が起こるのかについて懸念が高まっています。
今週、Zcashの開発者がClaude Opus 4.8が攻撃者に無制限のZECを発行させる可能性のある重大な脆弱性を発見する手助けをしたと発表したことで、暗号投資家は強力なAIからの脅威の高まりに目を覚ましました。
ネットワークの設計上、偽造されたZECが実際に発行されたかどうかを確実に知る方法は現在なく、その不確実性が今週末のZECの価格暴落を引き起こしました。専門家は、AIソフトウェアがより能力を高め、これらのツールがよりアクセスしやすくなるにつれて、今後数週間から数ヶ月でさらに多くの脆弱性が発見される可能性があると警告しています。
AIの進化とセキュリティへの影響
初期のAIモデルは、開発者がソフトウェアを書く、説明する、デバッグするのを助けるコーディングアシスタントとして専門的に使用されていました。技術が進化するにつれて、研究者たちは同じシステムをコードレビュー、ソフトウェア監査、脆弱性研究に使用し始めました。コーディングアシスタントからセキュリティツールへの移行は、ソフトウェア開発内でのAIの使用方法の広範な変化と一致しました。
2025年にClaude Codeが発表された後、Anthropicはエンジニアリングチーム全体でAI生成コードの急増を報告し、コードを提案するモデルからそれを書いて実行できるシステムへの移行を反映しています。セキュリティ専門家は、その影響が開発者がコードを書く手助けをすることを超えていると述べています。
「AIはほとんどの人よりもコードをレビューするのがはるかに得意で、潜在的な脆弱性を見つけることができます」とThreatLockerのCEO兼共同創設者であるダニー・ジェンキンスはDecryptに語りました。
ジェンキンスは、現在のAIシステムはすでに脆弱性の発見を加速させており、Mythosのような新しいモデルはその能力を大幅に拡大する可能性があると述べ、「差し迫った大きな問題」と呼びました。彼によれば、AIは脆弱性研究の参入障壁を下げており、より多くの人々がコードを分析し、弱点を特定し、エクスプロイトを開発できるようにしています。
AIとサイバーセキュリティの未来
AIシステムがより能力を高めるにつれて、企業はそれをサイバーセキュリティに適用し始めました。火曜日、AnthropicはProject Glasswingへのアクセスを拡大し、150の企業や機関にClaude Mythosへのアクセスを提供し、モデルがより広くリリースされる前にソフトウェアの脆弱性を特定し修正する手助けをしました。
また、カリフォルニアの研究者たちは、AppleのM5チップを標的とした最初の公開エクスプロイトの一つを生み出す作業中にMythos Previewを使用しました。元Google DeepMindおよびAnthropicの研究者であり、現在はセキュリティ企業Aisleの創設者兼最高科学者であるスタニスラフ・フォートは、AIによる脆弱性発見に関する懸念は正当であるが、しばしば誤解されていると述べています。
「単純な反応は、強力なモデルへのアクセスを制限しようとすることです。これは本質的に不明瞭によるセキュリティであり、不明瞭によるセキュリティはこの分野で最も悪いアイデアの一つです」とフォートはDecryptに語りました。
フォートは、特にオープンソースのメンテナが攻撃者と同じ高度なAIツールにアクセスできない可能性があることがより大きなリスクであると述べています。「その不均衡が本当の危険です」と彼は言いました。「答えは制限ではなく、防御スタックの民主化です。」
Anthropicはサイバーセキュリティを目的としたAIモデルを推進しているのは彼らだけではありません。5月、MicrosoftはMDASHというエージェント型脆弱性発見システムを導入し、同社はこれが以前は知られていなかったWindowsの脆弱性を特定するのに役立ったと述べました。
暗号とDeFiにおけるAIの影響
暗号とDeFiは、AIによるバグハンティングの影響を感じ始めています。ブロックチェーンプロジェクトは常に魅力的な標的であり、賭けられているお金が多く、コードの多くが公開されているためです。ジェンキンスは、AIがソフトウェアの欠陥を見つけるのが得意になるにつれて、オープンソースの暗号プロジェクトがバグを探しているセキュリティ研究者やそれを悪用しようとする攻撃者にとって、より簡単な標的になる可能性があると述べています。
独立したセキュリティ研究者テイラー・ホーンビーは、Claude Opus 4.8の助けを借りて発見したZcashのOrchardプライバシープールの重大な脆弱性を開示しました。これは、攻撃者が無制限の偽造ZECを作成できる可能性があり、数年間検出されずに放置されていました。
「この脆弱性は、2022年5月のOrchardの有効化から、2026年6月1日に緊急修正が展開されるまで存在していました」とZcash開発の背後にあるShielded Labsは開示投稿で書いています。
この攻撃は、DeFiプロトコルがすでに悪用の最悪の年の一つに直面している中で発生しました。2026年の最初の5ヶ月間で、840百万ドル以上がDeFiプロジェクトから盗まれ、その中にはKelpDAOやDrift Protocolを含む攻撃で4月だけで600百万ドル以上が含まれています。
攻撃者がAIコーディングエージェントを使用して偵察、認証情報の盗難、マルウェア開発、その他のタスクを自動化する「バイブハッキング」と呼ばれる現象の増加は、AIが高度なサイバー攻撃を実行するための障壁を下げているという懸念を引き起こしています。
Web3セキュリティプラットフォームCertiKのシニアブロックチェーン調査員であるナタリー・ニューソンによれば、4月は暗号の悪用にとって異常に厳しいものでしたが、より広いトレンドはより安定しており、過去数年のピーク数よりも下回っています。
「2026年4月は暗号の悪用にとって悪い月でした。少なくとも10,000ドルが盗まれた悪用がない日はわずか3日でした」と彼女は言いました。「しかし、より広い視点で見ると、事件の数(フィッシングを除く)はかなり一貫しており、2023年のピークよりもまだ低いと言えるでしょう。」
AIがDeFiの悪用を実行しやすくしている一方で、BlockaidのCTOであるラズ・ニブによれば、より大きなリスクはAIがハッカーを置き換えるのではなく、彼らを増幅させることであり、攻撃者がより高度な技術に集中できるようにし、AIがルーチン作業を処理することです。
「良いニュースは、防御者も同じツールを使用できることです」と彼は言いました。「AI支援の監視とシミュレーションは、ペースを維持しようとするセキュリティチームにとって不可欠になりつつあります。」
