Five Eyes、frontier AIのサイバー脅威は「数年」ではなく「数カ月」

AIによるサイバーリスクの時間軸が、「いつか備える問題」から「すぐに備える問題」へ短くなっている。The Guardianの報道によると、米国、英国、カナダ、オーストラリア、ニュージーランドのFive Eyesに属するサイバー情報機関は、frontier AIが攻撃と防御の両方の能力を数カ月以内に大きく変える可能性があると警告した。

焦点はスピードだ。各機関は、AIが長期的には防御を改善し得る一方で、攻撃者の速度、規模、複雑さも高めると見ている。報道によれば、共同声明はfrontier AI modelsが現在の業界予想を超え、offensiveとdefensive cyber capabilitiesを根本的に変える可能性があるとした。時間軸は「years」ではなく「months」だという表現が重い。

この警告は、AnthropicのFable 5とMythos 5をめぐるアクセス制限の議論の直後に出た。The Guardianは、米政府が6月にこれらの高性能モデルをforeign nationalsから遮断するよう求め、Anthropicが規制対応としてより広いアクセス制限に動いたと報じている。Five Eyesの声明そのものは特定の企業やモデルを名指ししていない。ただし政策・安全保障の関心は、frontierモデルが脆弱性の発見や攻撃自動化にどこまで使えるのかに集まっている。

企業側にとって、この警告はセキュリティ部門だけの話ではない。共同声明はサイバーリスクをbusiness continuity、market confidence、long-term valueに関わるleadership responsibilityとして扱うべきだと位置づけている。AIが高度な攻撃の参入障壁を下げるなら、対応もツール導入だけでは足りず、組織運用、権限管理、インシデント対応、サプライチェーン管理まで含む経営課題になる。

今後の論点は三つある。政府はfrontier modelへのアクセス制限をどの基準で決めるのか。企業はAIを防御に使いながら、モデルの誤用やデータ流出をどう防ぐのか。そして同盟国外から同等のモデルが公開されたとき、同じ統制が機能するのか。「数カ月」という警告は、調達やポリシー策定をゆっくり進める余裕が薄いという実務上の合図でもある。