技術的な説明
360 Digital Security Groupは2026年4月24日、内部開発したマルチエージェント協調脆弱性発見システムが、Microsoft OfficeとOpenClaw(オープンソースのAIエージェントフレームワーク)の欠陥を含む、約1,000件の未知の脆弱性を発見したと発表し、このシステムをAnthropicのMythosモデルに対する中国の回答として位置付けた。
攻撃経路
具体的な技術詳細は開示されていないが、360はAIが「補助的なツールからセキュリティ脆弱性発見のコアエンジンへ進化した」と述べており、自動化されたファジング、エクスプロイトチェーン構築、およびコードベース全体のパターン認識を示唆している。一部の脆弱性主張については、Natto Thoughtsの分析によると、異議を唱えられているか、他の研究者によるものとされている。
影響を受けるシステム
Microsoft Office(未指定のコンポーネント)、OpenClaw AIエージェントフレームワーク、およびまだ公開されていない約998の他のシステム。広がりから判断すると、ターゲットは生産性ソフトウェア、AI/MLツーリング、および潜在的には重要インフラに及ぶと考えられる。
緩和策
組織はCVEフィードとベンダーアドバイザリーを監視し、360の研究からの今後の開示に備えるべきである。企業が脆弱性を公開前に政府機関に報告することを求める中国の法的要件は、非対称の脅威ウィンドウを生じさせ、国家行為者がパッチが利用可能になる前にこれらの発見を悪用するための早期アクセスを持つ可能性があると想定すべき。更新がリリースされたときのAI/MLフレームワークとMicrosoft生産性スイートへのパッチ適用を優先すること。