U.S. Officials Consider Three-Day Patch Rule in Wake of Anthropic’s Mythos
2026/05/04 SecurityBoulevard — Anthropic の Mythos および OpenAI の GPT-5.4-Cyber といった先端 AI モデルの登場を受け、政府当局が関連機関に課している重大な脆弱性の修正期限について、大幅な短縮を検討していると報じられている。これらの AI モデルは、ソフトウェア脆弱性の検出だけではなく悪用にも優れている。
Reuters によると、米国 National Cyber Director Sean Cairncross と CISA の Acting Head である Nick Andersen は、すでに悪用されている脆弱性の修正期限を、現行の 2 週間から 3 日へ短縮することを検討している。
この大幅な期限短縮の背景にあるのは、Mythos/GPT-5.4-Cyber の公開により高まる脆弱性悪用に対する懸念である。この 2 つのモデルは限定的に公開されているが、その能力はサイバー・セキュリティの将来に大きな影響を与えると見られている。
Mythos と Project Glasswing を紹介するブログポストで Anthropic は「脆弱性の発見/悪用において、高度な専門家を上回るレベルに AI が到達したという事実を、一連の汎用モデルが示している」と述べている。
脆弱性の検出と悪用
脅威アクターが Mythos や GPT-5.4-Cyber にアクセスし、ベンダーやセキュリティ研究者が把握していない脆弱性を特定し、迅速にエクスプロイトを生成する状況が生じ得る。これにより、悪用までの時間は数週間または数日から、数時間または数分へと短縮される。
Anthropic は、「経済/公共安全/国家安全保障への影響は深刻なものになり得る。Project Glasswing は、これらの能力を防御用途へ活用するための緊急的な取り組みである」と述べている。
政府の懸念
Mythos および GPT-5.4-Cyber は、連邦政府の内外で懸念を引き起こしている。Mythos の公開直後に、財務長官 Scott Bessent と連邦準備制度理事会議長 Jerome Powell は、Citi や Bank of America を含む大手銀行の CEO と会合を行い、AI の能力がサイバー犯罪者の手に渡った場合のリスクについて議論した。
その一方で、Anthropic が Mythos へのアクセスを、約 70 の組織へ拡大するという計画に対して、ホワイトハウス当局は反対を表明している。理由は、不正利用のリスクと Anthropic のインフラ要件にある。Mythos の公開直後には、非認可ユーザーによるアクセスの報告があった。
それに加えて、Anthropic のコンピュート・インフラが、追加ユーザーを支えるだけの十分な容量を持つのかという点も問題視されている。リソースが不足している場合には、Mythos を利用する政府機関のセキュリティ業務に影響が生じる可能性がある。
有効だが実装は困難
セキュリティ専門家たちは、連邦政府機関における脆弱性の修正の期限短縮は有効であるが、即時実現は困難であると指摘している。その一方で、AI を悪用する攻撃者は、すでに 3 日未満で侵入が可能な状況にあるため、構造的な課題が浮き彫りになっている。
Merlin Group の Chief Strategy Officer でありDHS/CISA に所属していた Matthew Hartman は、「多くの組織は、サービス停止や不完全な修正を避けながら、積極的に悪用されている脆弱性を、この速度で検証/優先付け/修正するだけの体制を整えていない。このギャップ解消には、優先順位の精緻化/自動化に加えて、リアルタイムで資産を可視化するための投資が必要である」と指摘している。
構造的課題
ColorTokens の Federal CTO である Louis Eichenbaum は、この方針は正しい方向にあるが、不十分であると指摘する。
彼は、「仮に 3 日以内にパッチ適用が可能であっても、AI を使用する攻撃者がほぼリアルタイムで脆弱性を発見/悪用する状況においては、それでも遅い。また、レガシー・システムや OT システムの多くは、迅速なパッチ適用が困難または不可能である」と指摘する。
Eichenbaum は、「パッチ適用だけでは不十分であり、封じ込め戦略が必要である。マイクロ・セグメンテーションの導入により、トラフィック制御とラテラル・ムーブメント防止が可能となり、侵害範囲の限定と可視性が向上する」と述べている。
パッチ適用の複雑性
BeyondTrust の Chief Security Advisor である Morey Haber は、期限短縮の実効性に懸念を示している。ベンダーやオープンソース・コミュニティが、短期間でパッチを提供できない場合があるためである。また、提供された場合においても、品質の検証が必要になる。
彼は、「大規模組織におけるパッチ適用は単一の作業ではなく、資産発見/影響分析/回帰テスト/変更管理/停止調整/規制検証などの複数工程を伴う。特に重要インフラや金融システムでは、ダウンタイムを伴うパッチ適用に対しては、慎重な対応が求められる」と述べている。
さらに Haber は、「自動化/リアルタイム脆弱性管理/アイデンティティ中心の制御などを整備している組織のみが、短縮スケジュールに対応可能である。リスク可視化と報告の高速化なしに、修正期間の短縮は不可能である」と結論付けている。
訳者後書:驚異的な能力を持つ先端 AI モデルの登場により、政府機関における脆弱性の修正期限を 2 週間から 3 日へと短縮する検討が始まったというニュースです。2026年に入ってから、すでに “3 日で修正せよ” という命令が、CISA から連邦政府機関に出されたこともあります。その原因は、最新の AI が脆弱性を見つけるだけでなく、それを悪用するプログラム (エクスプロイト) を人間よりも速く、正確に作り出せるレベルに達してしまったことにあります。よろしければ、Mythos での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.