技術的な説明
360 Digital Security Groupは2026年4月24日、内部開発されたMulti-Agent Collaborative Vulnerability Discovery Systemが、Microsoft OfficeおよびOpenClaw(オープンソースAIエージェントフレームワーク)の欠陥を含む、これまで未知の脆弱性約1,000件を発見したことを明らかにし、同システムをAnthropicのMythosモデルへの中国の対抗馬として位置づけた。
攻撃経路
具体的な技術詳細は公開されていないが、360はAIが「補助的なツールから脆弱性発見のコアエンジンへ進化した」と述べ、自動ファジング、エクスプロイトチェーン構築、およびコードベース全体のパターン認識を示唆している。Natto Thoughtsの分析によると、いくつかの脆弱性主張は異議を唱えられているか、他の研究者に帰せられている。
影響を受けるシステム
Microsoft Office(未特定コンポーネント)、OpenClaw AIエージェントフレームワーク、および公開されていないその他の約998システム。その広がりは、ターゲットが生産性ソフトウェア、AI/MLツーリング、および潜在的に重要インフラに及ぶことを示唆している。
緩和策
組織は360の研究からの今後の開示についてCVEフィードとベンダー勧告を監視する必要がある。企業が脆弱性を公開前に国家機関に報告することを法的に要求する中国の要件は、非対称的な脅威ウィンドウを生じさせ、パッチが利用可能になる前に国家行為者がこれらの発見への早期アクセスを持っている可能性があると想定すること。更新がリリースされた際にはAI/MLフレームワークおよびMicrosoft生産性スイートのパッチ適用を優先すること。