現実的なサイバーレンジにおけるAIモデル
最新評価で、現行Claudeモデルは独自ツール不要で、数十台のホストを含むネットワークへの多段階攻撃をオープンソースツールのみで成功させられることが判明。
キーポイント
最新のClaude Sonnet 4.5は、カスタムツールキットなしで標準オープンソースツールのみを使用して、現実的なサイバーレンジ上で多段階攻撃を実行できるようになった
Equifaxデータ侵害の高忠実度シミュレーションにおいて、公開されたCVEを即座に認識・悪用するコードを生成し、個人情報の窃取に成功した
AIの自律的なサイバー攻撃能力が急速に向上しており、セキュリティの基本(脆弱性の迅速なパッチ適用など)の重要性が一層高まっている
AIモデルはまだ完全に自律的ではなく、成功率は限定的だが、カスタムツールから標準ツールへの移行という明確な進化トレンドが確認できる
影響分析・編集コメントを表示
影響分析
この進展は、AIが自律的にサイバー攻撃を実行する障壁が急速に低下していることを示しており、セキュリティ業界に大きな影響を与える。特に、公開された脆弱性の迅速なパッチ適用など、従来からのセキュリティ基本プラクティスの重要性が再認識される一方で、AIを活用した防御技術の開発も急務となる。
編集コメント
AIの攻撃能力の進化が現実の脅威に直結する具体例を示しており、セキュリティ対策のパラダイムシフトを迫る重要なレポート。
AIモデルが現実的なサイバー演習環境において、脆弱性の発見と悪用能力を高めつつある。最近の評価では、現在のClaudeモデルは、数十台のホストからなるネットワークに対する多段階攻撃を、従来世代が必要としたカスタムツールではなく、標準的なオープンソースツールのみを使用して成功させられるようになった。これは、AIが比較的自律的なサイバー攻撃ワークフローで使用される際の障壁が急速に低くなっていることを示し、既知の脆弱性への迅速なパッチ適用といったセキュリティの基本原則の重要性を浮き彫りにしている。
昨年、カーネギーメロン大学CyLabとの共同実験では、Claudeを「キャプチャー・ザ・フラッグ」形式の競技よりも高度で現実的なシミュレーションネットワークに配置した。当時、Claudeを含む先進的AIモデルは、25〜50台のホストからなるネットワークで完全に成功するためには、AIの高レベルの攻撃指示を具体的な低レベルコマンドに変換するカスタムサイバーツールキットの支援を必要としていた。
その後、Incalmo社との協力を継続し、これらのサイバー演習環境(セキュリティテスト用の模擬ネットワーク)での評価を実施している。Claude Sonnet 4.5のテストにおける顕著な進展は、モデルが従来世代が必要としたカスタムツールキットなしでも、一部のネットワークで成功できるようになった点である。特にSonnet 4.5は、歴史的に甚大な被害をもたらしたEquifaxデータ侵害事件を高精度に再現したシミュレーションにおいて、広く利用可能なKali Linuxホスト上のBashシェル(カスタムツールではなく、標準的なオープンソースのペネトレーションテストツール)のみを使用し、すべての(模擬)個人情報を外部に持ち出すことに成功した。Sonnet 4.5は、公表されたCVE(共通脆弱性識別子)を即座に認識し、それを調べたり試行錯誤したりすることなく悪用するコードを記述することでこれを達成した。実際のEquifax侵害が、パッチ適用前の公表済みCVEを悪用して発生したことを想起すると、高度な能力を持つ高速なAIエージェントがこの手法を利用する可能性は、迅速なアップデートとパッチ適用といったセキュリティのベストプラクティスが喫緊の課題であることを強調する。
現状を過大評価すべきではない。Claudeはこれらのテストで毎回成功するわけではなく、Sonnet 4.5はEquifax演習環境において、5回の試行中2回のみ自律的に成功した。また、9つのネットワークのうち5つでは、カスタムツールキットなしでは進展できなかった。しかし、最初は専用ツールを必要とし、その後それらなし(または公開されているツールのみ)で動作できるようになるというモデルの進化の軌跡は、AIの進歩において観察されてきた他の傾向と一致している。これはサイバー領域におけるさらなる改善の前兆と考えられ、その進歩は急速である。例えば、Sonnet 4.5の約1年前にリリースされたClaude Sonnet 3.5は、専用ツールを使用しない場合、Equifaxシミュレーションで5回の
原文を表示
red.anthropic.com AI models are showing a greater ability to find and exploit vulnerabilities on realistic cyber ranges
In a recent evaluation of AI models’ cyber capabilities, current Claude models can now succeed at multistage attacks on networks with dozens of hosts using only standard, open-source tools, instead of the custom tools needed by previous generations. This illustrates how barriers to the use of AI in relatively autonomous cyber workflows are rapidly coming down, and highlights the importance of security fundamentals like promptly patching known vulnerabilities.
Last year, we wrote about experiments with Carnegie Mellon University’s CyLab in which we placed Claude in simulated networks that are more sophisticated and realistic than the environments typical of capture-the-flag-style cyber competitions. At that time, Claude (and other frontier AI models) needed assistance from a custom cyber toolkit, which takes the AI’s high-level instructions about how to attack and converts them into specific low-level commands, in order to completely succeed on any of these 25-50 host networks.
We have continued collaborating with Incalmo to run evaluations on these cyber ranges (simulated network environments for security testing). A notable development during the testing of Claude Sonnet 4.5 is that the model can now succeed on a minority of the networks without the custom cyber toolkit needed by previous generations. In particular, Sonnet 4.5 can now exfiltrate all of the (simulated) personal information in a high-fidelity simulation of the Equifax data breach—one of the costliest cyber attacks in history—using only a Bash shell on a widely-available Kali Linux host (standard, open-source tools for penetration testing; not a custom toolkit). Sonnet 4.5 accomplishes this by instantly recognizing a publicized CVE and writing code to exploit it without needing to look it up or iterate on it. Recalling that the original Equifax breach happened by exploiting a publicized CVE that had not yet been patched, the prospect of highly competent and fast AI agents leveraging this approach underscores the pressing need for security best practices like prompt updates and patches.
It’s important not to overstate the status quo. Claude does not succeed every time in these tests; Sonnet 4.5 succeeded autonomously on the Equifax cyber range in two of five trials. Also, for five of the nine networks it could not make progress without the custom cyber toolkit. But the trajectory of models first needing specialized tools and then being able to operate without them (or using only publicly available tools) is consistent with other trends we have observed in AI progress. We believe it presages further improvement in the cyber domain. And this improvement is happening quickly: Claude Sonnet 3.5, which was released a little over a year before Claude Sonnet 4.5, could not succeed at the Equifax simulation in any of the five trials without use of the specialized cyber toolkit. This trajectory, in conjunction with real-world examples like the recent AI-orchestrated cyber espionage campaign, shows the need for substantial research into how best to equip cyber defenders with the AI-enabled tools they will need to keep pace.
You can read more about these tests at Incalmo’s website or in the Claude Sonnet 4.5 system card (see Section 5 and, especially, Section 5.3). Below, we also present annotated excerpts of the evaluation transcripts. The full transcripts follow in the appendix.
Thanks to Brian Singer for the data and assistance in preparing this post.
Claude Sonnet 3.5 with Bash and Kali
Claude Sonnet 4.5 with Bash and Kali
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み