Measuring AI Agents' Progress on Multi-Step Cyber Attack Scenarios

この論文は、2024 年 8 月から 2026 年 2 月にかけてリリースされた 7 種類の最先端 AI モデルが、企業ネットワークや産業制御システムを対象とした多段階サイバー攻撃シナリオにおいて、推論時の計算リソースの増加とモデル世代の進化に伴い、人間専門家の約 6 時間に相当する 32 段階中の 22 段階を達成するなど、顕著な能力向上を示したことを報告しています。

要約

この論文は、**「最新の AI が、一人でどこまで複雑なサイバー攻撃（ハッキング）をやり遂げられるのか」**をテストした実験結果を報告したものです。

専門用語を避け、わかりやすい比喩を使って説明しましょう。

🕵️‍♂️ 実験の舞台：2 つの「訓練用迷路」

研究者たちは、AI に2 つの異なる「訓練用迷路（サイバーレンジ）」を用意しました。これらは実際のネットワークを模したシミュレーションです。

1. 企業ネットワークの迷路（32 ステップ）：

   • 物語： 守られた企業の建物に入り込み、最終的に「機密ファイルが入った金庫」からデータを盗むというミッションです。
   • 難易度： 32 のステップ（部屋）を順番に突破する必要があります。
   • 人間との比較： 熟練したハッカーがこれをクリアするのに約14 時間かかると見積もられています。

2. 工場の制御システム迷路（7 ステップ）：

   • 物語： 発電所の冷却塔を制御するシステムに侵入し、物理的なプロセスを混乱させるミッションです。
   • 難易度： ステップ数は少ないですが、1 つのステップが非常に重く、複雑な作業を意味します。
   • 人間との比較： これも熟練ハッカーで約15 時間かかると見積もられています。

---

🚀 発見された 2 つの大きなトレンド

この実験で、AI の能力がどう変化しているかがはっきりとわかりました。

1. 「お金（計算リソース）」をかければ、AI は賢く働く

AI に「もっと考えて、もっと試行錯誤して」と指示し、そのために使う計算リソース（トークンという単位）を増やしたところ、成功するステップ数が劇的に増えました。

• 比喩： 探偵に「この事件を解決するために、10 万円の予算で証拠を集めて」と言っても、100 万円の予算を与えれば、もっと詳しく調べ上げ、より多くの証拠を見つけられるのと同じです。
• 結果： 計算リソースを 10 倍に増やすと、成功するステップ数が最大で59% も向上しました。しかも、これは特別な技術を使わなくても、単に「予算（計算力）」を増やすだけで達成できました。

2. 新しいモデルは、古いモデルよりずっと上手

2024 年 8 月から 2026 年 2 月にかけてリリースされた 7 つの AI モデルを比較しました。

• 結果： 最新のモデル（Opus 4.6 など）は、同じ予算（計算リソース）を与えられても、前のモデルよりもはるかに多くのステップをクリアしました。
  • 2024 年のモデル（GPT-4o）は、10 万ステップの予算で平均1.7 ステップしか進めませんでした。
  • 2026 年の最新モデル（Opus 4.6）は、同じ予算で平均9.8 ステップをクリアしました。
• 最高記録： 最も成功した 1 回の試みでは、Opus 4.6 が32 ステップ中 22 ステップを達成しました。これは、人間が 14 時間かかる仕事を、AI が約 6 時間分の作業量をこなしたことに相当します（実際の所要時間は約 10 時間でしたが、AI がこなした「作業量」の目安です）。

---

🏭 2 つの迷路での違い

• 企業ネットワーク（32 ステップ）：
  AI はここですごい進歩を見せました。特に、最新のモデルは「リバースエンジニアリング（プログラムを解析する）」や「暗号解読」といった、人間でも難しい専門的なステップを突破できるようになりつつあります。

• 工場制御システム（7 ステップ）：
  ここはまだ AI にとって難しすぎます。最新のモデルでも、7 ステップ中平均1.4 ステップしかクリアできませんでした。

  • 面白い発見： 人間は「ウェブサイトをハッキングして、パスワードを盗み、それから制御システムに侵入する」という順序で考えますが、AI は**「制御システム自体の通信プロトコルを直接分析して、パスワードなしで侵入する」**という、人間が想定していなかった「裏技」のような方法を見つけて成功したケースもありました。

---

⚠️ 注意点と限界

この実験にはいくつかの重要な制限があります。

• 「防衛隊」がいない： 実際のハッキングでは、セキュリティチームが警報を鳴らして攻撃を止めますが、この実験では誰も攻撃を止めませんでした。つまり、AI の「攻撃力」は測れましたが、「隠れる力（ステルス性）」は測れていません。
• 完璧ではない： 最新の AI でも、まだ 32 ステップ中 10 ステップ以上は失敗しています。特に、高度な専門知識が必要な後半のステップでつまずくことが多いです。
• 人間との協力： 完全に AI だけでやるのはまだ難しいですが、「人間が大きな方向性を指示し、AI が細かい作業をこなす」というチームワークなら、もっと早く攻撃を成功させる可能性があります。

💡 まとめ：何が起きたのか？

この論文は、**「AI のサイバー攻撃能力は、計算リソースを増やすことと、モデルを新しくすることによって、驚くほど速いペースで向上している」**と警告しています。

かつては熟練したハッカーしかできなかった複雑な攻撃も、AI なら「予算（計算力）」さえあれば、誰でも（あるいは誰でも使えるツールがあれば）実行できるレベルに近づいています。

一方で、工場の制御システムのような、より物理的で複雑な環境への攻撃はまだ AI には難しいため、完全に AI が独り歩きして世界を支配する（？）ような状況にはまだなっていません。しかし、その成長速度は非常に速く、セキュリティ対策をどうしていくかが重要な課題となっています。

技術概要

論文「Measuring AI Agents' Progress on Multi-Step Cyber Attack Scenarios」の技術的サマリー

この論文は、最先端の AI モデル（Frontier AI）が、自律的に多段階のサイバー攻撃を実行する能力の進歩を定量化し、評価した研究報告です。英国の AI Security Institute などが中心となり、2024 年 8 月から 2026 年 2 月にかけてリリースされた 7 つのモデルを対象に、企業ネットワークおよび産業制御システム（ICS）の 2 つのシミュレーション環境（サイバーレンジ）で実験を行いました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 問題定義と背景

• 背景: AI システムの能力向上に伴い、人間が最小限の介入で自律的に複雑なサイバー攻撃チェーンを実行できるかどうかは、サイバーセキュリティおよび AI 統治にとって極めて重要な課題です。
• 既存評価の限界: 従来の評価は、単発の「キャプチャー・ザ・フラッグ（CTF）」課題や質問応答ベンチマークに依存していました。これらは特定のスキルを測定するには有用ですが、大規模なネットワーク環境を自律的にナビゲートするために必要な「多段階の推論」「状態の追跡」「エラーからの回復」などの能力を捉えきれていません。
• 研究目的: 現実の攻撃に近い、複雑で多段階の攻撃チェーンを AI エージェントが自律的にどこまで実行できるかを、長期的な視点（18 ヶ月間のモデル進化）と計算資源（トークン数）の観点から評価すること。

2. 手法 (Methodology)

2.1 評価環境（サイバーレンジ）

2 つの目的別シミュレーション環境を使用しました。これらは実際の防御機構（侵入検知やブロック）を備えていないため、純粋な攻撃能力を測定します。

1. 「The Last Ones」（企業ネットワーク攻撃）:
   • 構成: 32 ステップの攻撃チェーン。仮想化された企業ネットワーク内で、ブラウザやパスワード管理ツールから認証情報を窃取し、保護された内部データベースから機密データを窃取する。
   • 特徴: 9 つの主要なマイルストーン（偵察、横移動、データ窃取など）に分かれる。人間専門家の完了推定時間は約 14 時間。
2. 「Cooling Tower」（産業制御システム攻撃）:
   • 構成: 7 ステップの攻撃チェーン。模擬発電所の冷却塔を制御する PLC（プログラマブルロジックコントローラ）への不正アクセスと、物理プロセスの妨害。
   • 特徴: 各ステップの作業量が大きく、依存関係が複雑。人間専門家の完了推定時間は約 15 時間。

2.2 実験設定

• 対象モデル: 2024 年 8 月〜2026 年 2 月にリリースされた 7 モデル（GPT-4o, Claude Sonnet 3.7/4.5, Opus 4.5/4.6, GPT 5.1/5.3 Codex など）。
• エージェント設計: 標準的な ReAct（Reason + Act）パターンを採用。Kali Linux 環境で、Bash コマンド、Python コード、Mythic（C2 フレームワーク）コマンドを実行可能。
• 計算資源（トークン数）:
  • 10M トークン: 全モデルで評価。
  • 100M トークン: 最新モデルで評価。コンテキスト圧縮（Context Compaction）技術を用いて、長い会話履歴を要約し、コンテキストウィンドウを超えた実行を可能にしました。
• 評価指標: 攻撃目標達成のために自律的に完了した「ステップ数」。

3. 主要な結果 (Results)

3.1 推論時の計算資源（トークン数）とのスケーリング

• ログリニアな性能向上: 「The Last Ones」において、モデルの性能は消費したトークン数に対して対数的にリニアに向上し、1 億（100M）トークンまで飽和（プラトー）が見られませんでした。
• コスト対効果: トークン数を 10M から 100M に増やすことで、完了ステップ数が最大 59% 向上しました。これは、オペレーターに特定の技術的洗練さを必要とせず、計算資源の投入だけで性能が向上することを示しています。
• 人間との比較: Opus 4.6 の最良の試行（100M トークン）は、32 ステップ中 22 ステップを完了しました。これは、人間専門家が必要とする約 14 時間の作業のうち、約 6 時間に相当する進捗です。

3.2 モデル世代ごとの性能向上

• 世代ごとの改善: 固定されたトークン予算（例：10M トークン）において、新しいモデルは前のモデルを常に凌駕しました。
  • 例：10M トークンでの平均完了ステップ数は、GPT-4o（2024 年 8 月）の 1.7 ステップから、Opus 4.6（2026 年 2 月）の 9.8 ステップへと大幅に増加しました。
• ボトルネックの突破: 攻撃チェーンの前半（偵察や Web 脆弱性）から後半（リバースエンジニアリング、暗号解読、マルウェア開発）への移行点（マイルストーン 4）は大きな壁でしたが、Opus 4.6 はこれを初めて一貫して突破し、さらに先へ進むことができました。

3.3 産業制御システム（ICS）攻撃における限界

• 限定的な進捗: 「Cooling Tower」レンジでは、性能は依然として限定的でした。Opus 4.6 であっても、100M トークンで平均 1.4 ステップ（最大 2 ステップ）しか完了できませんでした。
• 予期せぬアプローチ: 人間が設計した経路（HMI 経由→ライブラリリバースエンジニアリング→PLC 操作）とは異なり、モデルはプロトコルの直接プローブやトラフィック分析、あるいは意図しないソフトウェアバグ（セッション ID のブルートフォース）を突くことで、一部のステップを達成しました。これはモデルが人間とは異なる発想で攻撃経路を探索する可能性を示唆しています。

4. 主要な貢献と知見

1. 自律的サイバー攻撃能力の定量的追跡: 単発のタスクではなく、多段階の攻撃チェーンにおける AI の進歩を、時間軸（モデル世代）と計算資源（トークン数）の両軸で初めて詳細に追跡しました。
2. 計算資源の投入による能力の即時向上: 高度なプロンプトエンジニアリングやカスタムツールなしでも、推論時の計算資源（トークン数）を増やすだけで、攻撃成功率が劇的に向上することを示しました。これは、攻撃者が低スキルでも AI を利用して攻撃能力を高められるリスクを浮き彫りにしています。
3. ドメイン間の能力差の明確化: 企業ネットワーク攻撃では著しい進歩が見られる一方、産業制御システム（ICS）のような物理的・専門的知識が要求される領域では、現在の AI はまだ自律的な実行に大きな限界があることを示しました。
4. 評価手法の革新: 従来の CTF ベンチマークを超え、コンテキスト圧縮技術を用いた長期的な自律実行評価の枠組みを確立しました。

5. 意義と今後の課題

• セキュリティリスクの再評価: 自律的な AI エージェントが、人間の専門家の 6 時間に相当する攻撃を進捗させる能力に到達しつつあることは、サイバー脅威の風景を根本的に変える可能性があります。特に、熟練した攻撃者の規模拡大や、未熟な攻撃者の参入障壁低下が懸念されます。
• 防御策の必要性: 現在の評価は「防御がない状態」での能力測定です。将来の研究では、侵入検知システム（IDS）や能動的防御が機能する環境での評価、およびモデルがどのように検知を回避するか（ステルス性）の測定が不可欠です。
• 政策とガバナンス: AI モデルの能力が指数関数的に向上している現状は、AI の安全性評価（Safety Evaluation）や展開ポリシー（Scaling Policy）の策定において、継続的かつ厳格な監視が必要であることを示しています。

結論:
この研究は、AI モデルが自律的に複雑なサイバー攻撃を実行する能力が、計算資源の投入とモデルの世代交代によって急速に向上していることを実証しました。特に企業ネットワーク攻撃においては、人間专家の作業時間の半分程度を AI が自律的に達成できる段階に近づいており、これはサイバーセキュリティと AI 統治の両分野にとって重要な転換点です。一方で、産業制御システムなどの高度な専門性を要する分野では、まだ完全な自律性は達成されていません。