Anthropic Mythos流出、最強security narrativeが自社の足元から崩れる

tweetが示したこと

The Vergeのtweetは短いが方向は明確だった。Anthropic’s Mythos breach was humiliating. vendor accountのproduct postとは違い、これは報道シグナルである。Verge accountは自社記事やcommentaryを流すため、重要なのはproduct teaseではなく、Mythosをめぐるsecurity concernが公的なbreach narrativeへ変わったことだ。

linked reportが伝えた内容

リンク先のVerge記事によれば、Anthropicのsecurity postureはそれほど高度ではない失敗で揺らいだ。Bloombergを引用し、少数のunauthorized usersがAnthropicが限定企業向けにMythosを出し始めた当日からアクセスしていたと述べる。記事の説明では、そのグループはMercor breachで露出した情報と、model evaluationに関わるcontractor accessを組み合わせてMythosの場所を推定した。問題なのは、AnthropicがMythosを“watershed moment for security”と位置づけ、主要なoperating systemやweb browserの脆弱性を見つけられるほど危険だと語っていた点だ。

さらに記事は、これが最初の露出ではなかったと指摘する。Mythosはrelease前にもwebsite contentに関するunsecured data troveから存在が漏れていた。つまり問題は、アクセスが起きたことだけではない。AI safetyをアイデンティティにしてきた会社が、高度に制限されたmodelを目立つ標的にし、侵入を先に見つけられなかった可能性があることだ。記事ではAnthropicに利用をlog and trackする能力があったとも述べられており、なぜもっと早く検知できなかったのかという疑問が残る。

次に見るべき点

次に必要なのは、Anthropicによる詳細なincident account、contractorとsupply chainの統制強化、そして今後Mythos accessをどう監視するかの具体策である。より大きな論点もある。frontier labはsecurityをbrandやrelease rationaleの一部として使っているが、この種のincidentはその言葉を実際のoperational disciplineと照合できる対象に変えてしまう。

Sources: X source tweet · The Verge report · WSJTech tweet on unauthorized access