はじめに
セキュリティ企業FuzzingLabsが、Y Combinator支援の新興企業Gecko Securityに対し、脆弱性開示の複製とブログ投稿のバックデートを巡る疑惑を提起し、両社間で公の論争が勃発しています。FuzzingLabsは、Geckoが以前にFuzzingLabsが公開した2つの脆弱性についてCVEを申請し、さらには「PoCをコピーし、再提出して功績を奪った」と主張しています。これに対しGecko Securityは、開示プロセスに関する誤解であるとして、一切の不正行為を否定しています。
FuzzingLabsの主張
FuzzingLabsはソーシャルメディア上で、「彼らは我々のPoCをコピーし、CVE IDを主張し、さらにはブログ投稿をバックデートした」と強く非難しています。同社はこれを単なる2つのCVEの問題ではなく、セキュリティ研究における誠実さの問題であると強調しています。FuzzingLabsが言及している脆弱性は以下の通りです。
- Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性: 2024年12月24日に最初の報告が提出され、後にCVE-2025-51471が割り当てられました。
- Gradio (gradio-app/gradio) フラグメカニズムを介した任意のファイルコピーおよびサービス拒否 (DoS): 2025年1月16日に最初の報告が提出され、後にCVE-2025-48889が割り当てられました。
FuzzingLabsの調査によると、Geckoが提出したプルリクエスト(PRs)は、FuzzingLabsの正当なHuntrレポートが公開された後に作成されており、一部の脆弱性には複数のCVE IDが存在すると主張しています。さらに、FuzzingLabsは、Geckoがブログ投稿をバックデートして、実際の開示よりも古く見せかけたと主張しています。同社は、「意図的に我々の作業を特定するために挿入した独自のフィンガープリント」がGeckoの悪用コードにラインごとにコピーされているという「議論の余地のない証拠」を持っていると述べています。
Gecko Securityの反論と対応
Gecko Securityは不正行為を否定し、この状況を意図的な盗用ではなく、不運な重複であると説明しています。同社は、サードパーティのプラットフォームを介するのではなく、プロジェクトのメンテナーと直接連携するワークフローであることを強調しています。ソーシャルメディアでの批判に対し、Geckoは「競合製品を立ち上げた後に、まず連絡することなく公に非難されることに失望している」と反論しました。また、Geckoは、FuzzingLabsの発見が先行していた2つのCVEについて、ブログ投稿を編集してFuzzingLabsの研究者であるMohammed Benhelli氏とPatrick Ventuzelo氏にクレジットを付与し、公開日を更新したことを明らかにしています。
脆弱性開示における課題
この一件は、責任ある脆弱性開示における功績の帰属と調整の複雑さを浮き彫りにしています。特に、複数の研究者や企業が異なるプラットフォームで同様の欠陥を独立して特定したり、ウェブから脆弱性データを取り込んだりする場合に、このような問題が発生しやすいことが示されました。FuzzingLabsのPatrick Ventuzelo氏は、Geckoの更新を歓迎しつつも、「しかし、一連の出来事…そしてバックデートされたブログ記事は、彼らのプロセス全体についてより広範な懸念を提起する」と述べ、「彼らはこれらのケースを『重複』と呼んでいるが、同一のPoCと我々自身が挿入した独自のマーカーが存在することは、その主張と直接的に矛盾する」と付け加えています。