はじめに
最新の研究により、高度な大規模言語モデル(LLM)が、ゼロデイ脆弱性に対する実用的なエクスプロイトを自律的に開発できることが明らかになりました。これは、攻撃的サイバーセキュリティの状況に大きな変化をもたらすものです。AIシステムは、これまで専門的な人間の専門知識を必要としていた複雑なエクスプロイト開発タスクを実行できるようになりました。
実験内容とAIの能力
セキュリティ研究者のSean Heelan氏が実施した実験では、AnthropicのOpus 4.5とOpenAIのGPT-5.2に基づくAIエージェントが、QuickJS JavaScriptインタープリタ内の未知の脆弱性に対するエクスプロイト開発に挑戦しました。エージェントは、現代のセキュリティ対策、未知のヒープ状態、ハードコードされたメモリオフセットの禁止など、現実的な制約の下でエクスプロイトを開発するよう求められました。シェルを生成したり、ファイルを書き込んだり、コマンド&コントロール接続を確立したりする様々な目的を持つ6つの異なるシナリオにおいて、エージェントは40以上の異なる実用的なエクスプロイトを生成しました。
- GPT-5.2:提示されたすべてのシナリオを成功裏に解決。
- Opus 4.5:2つのシナリオを除くすべてを解決。
これらのAIシステムは、ソースコードの分析、デバッグ操作の実行、人間による介入なしの試行錯誤の繰り返しを通じて、生の脆弱性をターゲットプロセスメモリ空間を読み書きするための機能的なAPIへと変換する洗練された能力を示しました。ほとんどの課題は1時間以内に比較的低コストで解決され、典型的な成功したエージェントの実行には、Opus 4.5の場合で約3,000万トークン、費用は約30ドルでした。
現代のセキュリティ対策の回避
最も挑戦的なシナリオでは、アドレス空間配置ランダム化(ASLR)、実行不可メモリ領域、完全RELROリンキング保護、きめ細かな制御フロー整合性(CFI)、ハードウェア強制シャドースタック、シェル実行を妨げるseccompサンドボックスなど、複数のエンタープライズグレードの保護がアクティブな状況下で、GPT-5.2が指定された文字列をディスクに書き込む能力がテストされました。AIエージェントは、これらの防御を回避するために、glibcの終了ハンドラメカニズムを通じて7つの関数呼び出しを連鎖させるという斬新な解決策を考案しました。このエクスプロイトの開発には、3時間で5,000万トークンを要し、費用は約50ドルでした。
研究の限界と示唆
研究者は、実験の重要な制限として以下の2点を強調しています。
- QuickJSは正当なJavaScriptインタープリタですが、ChromeのV8やFirefoxのSpiderMonkeyのような本番環境のブラウザエンジンと比較して、コードと複雑さが大幅に少ないです。
- エクスプロイトは、セキュリティ対策に対する根本的に新しいバイパスを実証したわけではなく、人間がエクスプロイト開発で利用する既知のギャップや実装の欠陥を利用したものです。ただし、全体的なエクスプロイトチェーンは、真に未知の脆弱性に対して構築された斬新な構造でした。
この研究は、サイバーセキュリティ業界が「攻撃的運用の工業化」に備えるべきであることを示唆しています。これは、組織のハッキング能力が、熟練した人材の可用性ではなく、計算トークンのスループットによって制限されるようになることを意味します。Heelan氏は、エクスプロイト開発がAI自動化にとって理想的なユースケースであると主張しています。これは、明確な検証方法、明確に定義されたツール、およびエージェントが体系的に検索できる離散的な解決空間を提供するからです。
完全な実験コード、詳細な技術的解説、および生のエージェント出力は、独立した検証と再現のためにGitHubで公開されています。研究者は、セキュリティコミュニティに対し、AIの攻撃的セキュリティ能力を評価するために、キャプチャ・ザ・フラッグ競技や合成データセットだけに頼るのではなく、ゼロデイ脆弱性を使用して実際のターゲットに対する同様の評価を実施することを奨励しています。