【元記事】https://note.com/grandchildrice/n/n871088ba195f
3行まとめ
- AnthropicのClaude Mythosが数千件のゼロデイを自律発見し、脆弱性発見がAIによって自動化された
- コード監査・ペンテスト・バグバウンティなど「脆弱性を見つける」ビジネスはコモディティ化し、既存商品の価値が崩壊する
- しかし実際の事故は運用・人間・環境の攻撃が原因であり、次のセキュリティは動的・運用中心・封じ込め中心へ移行する必要がある
要約
背景・課題
- Claude MythosやXBOWなど、AIによる脆弱性発見が人間を超える精度と速度で進行している
- 既存のセキュリティ商品(監査、ペンテスト、自動スキャナ、バグバウンティ)の多くが「コードの脆弱性を見つける」ことに価値を置いている
- しかし実際の大規模事故(Ronin、Harmony、WazirXなど)はコードの脆弱性ではなく、運用プロセスやソーシャルエンジニアリングが原因
アプローチ
- 脆弱性発見の自動化は「起きるかどうか」ではなく「いつか」の話として受け入れる
- 次世代セキュリティは静的検査から継続的アテステーション、コード中心から運用を含めた検証、予防から封じ込めへ転換する
- 失敗モードの設計、自動発射の安全機構、継続的な敵対的テストなどを新たな柱とする
成果・ポイント
- 「監査済み」「MPCを使っている」などのラベルはAI時代に差別化要因にならなくなる
- セキュリティ業界は静的証明書から動的検証、コード完璧さから運用含む全系の頑健性へ価値が移行する
- 規制当局も「監査を受けたか」から「継続的にアテステーションを発行しているか」を要求する方向へ動く