私たちが生きる現代において、新しいLLM(大規模言語モデル)のリリースには常に多くの最上級の賛辞が伴いますが、実際の使用においてそれが常に裏付けられるわけではなく、必然的に失望を招くことも少なくありません。こうした背景の中、Anthropic社の最新モデル「Mythos」のリリースは、一つの特異点として映ります。
確かに、今回も最上級の賛辞は存在します。しかし、このモデルは一般公開されるのではなく、Anthropic社によって厳選された一握りのIT企業にのみ提供されています。
この限定的なリリースの理由は、このモデルのかなり予想外の能力に関連していると言われています。それは、アプリケーションコード内のセキュリティの脆弱性を発見する能力に極めて長けているという点です。実際、このモデルは多数のゼロデイ脆弱性の特定を可能にするとされており、ソフトウェア設計者(特にオープンソース分野)にとって非常に有用である反面、悪意のある目的で使用された場合には極めて危険なものとなります。
しかし、そもそもゼロデイ脆弱性とは何でしょうか?それは、システム内に存在するものの、まだ特定されていない欠陥のことです。その存在が知られていないということは、悪意のあるハッカーがそれを発見した場合、欠陥が特定されてパッチ(修正プログラム)が提供される前に、それを悪用してシステムに侵入し、悪意のあるコードを実行できることを意味します。これは、サイバーセキュリティにおいて最悪のシナリオを構成します。ウェブブラウザやオペレーティングシステムに存在するゼロデイ脆弱性は、毎年甚大な被害をもたらしています(2026年には推定11兆ドルに達すると予測されています)。
このような状況において、これらの脆弱性を発見するための効果的なツールの登場は、貴重な味方となります。しかし、このツールのリリースをめぐる条件は、同時に論争を巻き起こしています。
当初は、モデルが一般公開されていなかったため、その能力の現実を測ることは困難でした。最近まで、一般の人々にとっての唯一の情報源は、Anthropic社が提供した(包括的で膨大な)モデルのドキュメントのみでした。しかし現在、より多くの情報が明らかになり始めており、特にMozillaによる発表では、Mythosが実に271件もの脆弱性の修正に貢献したと述べられており、この分野における同モデルの優れたパフォーマンスを裏付けているようです。
もう一つの論争の的は、Mythosにアクセスできる組織や企業をAnthropic社が単独で決定しているという事実です。これは、ソフトウェアエコシステム全体にとっての技術的な問題であるだけでなく、公平性に関する大きな問題を提起する可能性があります。実際、数百万人のユーザー、プログラマー、企業によって使用されている多くのオープンソースソフトウェアは、時間と専門知識を無償で提供する小規模なボランティアチーム(時にはたった一人のプログラマー)によって維持されています。これらのチームや中小企業は、おそらくMythosを使用することはできないでしょう。これは、増大するセキュリティリスクが、こうした小規模な組織に重くのしかかる状況を生み出す可能性があります。
それにもかかわらず、私たちOMNiceSoftは、Mythosにアクセスできない非常に小規模な組織ではありますが、コードの検証およびレビューツールとしてLLMを非常に早い段階で導入しました。したがって、私たちはこのモデルの登場を歓迎しています。ソフトウェアエンジニアに取って代わるモデルであると偽って提示されるのではなく、地に足のついた強力なバグ発見ツールとしての地位を確立し、いつの日か世界中のすべてのエンジニアのツールキットに加わることを私たちは願っています。