はじめに
サイバーセキュリティ業界で、脆弱性報告の功績を巡る異例の論争が勃発しています。セキュリティ企業FuzzingLabsは、Y Combinatorが出資するスタートアップGecko Securityが、同社が以前に開示した脆弱性報告を複製し、ブログ記事を遡及的に変更して功績を横取りしたと非難しています。Gecko Securityはこれらの疑惑を否定し、開示プロセスに関する誤解であると主張しています。
FuzzingLabsの具体的な告発
FuzzingLabsは、Gecko Securityが同社の脆弱性発見をコピーし、複数のCVE IDの功績を主張したとソーシャルメディアで公に告発しました。FuzzingLabsは、Geckoが「我々のPoC(概念実証)をコピーし、CVE IDを主張し、さらにはブログ記事を遡及的に変更した」と述べています。同社はこれを「セキュリティ研究における誠実さの問題」と位置づけています。
FuzzingLabsが言及している脆弱性は以下の通りです。
- Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性: 2024年12月24日に最初の報告が提出され、後にCVE-2025-51471が割り当てられました。
- Gradio (gradio-app/gradio) フラグメカニズムを介した任意のファイルコピーおよびサービス拒否 (DoS): 2025年1月16日に最初の報告が提出され、後にCVE-2025-48889が割り当てられました。
FuzzingLabsの調査によると、Geckoが提出したプルリクエスト(PR)は、FuzzingLabsの「Huntrレポートが公開された後に作成された」とされています。また、一部の脆弱性には、FuzzingLabsのオリジナルレポートとGeckoが提出したPRの両方から、複数のCVE IDが割り当てられていたと指摘しています。FuzzingLabsは、Geckoが「意図的に挿入した独自のフィンガープリント」を含むPoCをコピーした「議論の余地のない証拠」を持っていると主張しています。さらに、Geckoのウェブサイト上の少なくとも7つの脆弱性が他の研究者から盗用された可能性があるとも述べています。
この論争を受け、GradioのGitHubリポジトリに関連するセキュリティアドバイザリは、FuzzingLabsのオリジナル報告をクレジットするように更新されました。
Gecko Securityの反論と対応
Gecko Securityは、不正行為を否定し、状況を「不運な重複」であり、意図的な盗用ではないと説明しています。同社は、そのワークフローがサードパーティのプラットフォームを介するのではなく、プロジェクトのメンテナーと直接調整することを含んでいると強調しました。Geckoはソーシャルメディアへの返答で、「競合製品を立ち上げた後に、事前に連絡することなく公に非難されたことに失望している」と述べ、FuzzingLabsのHuntrレポートについて、当時、同社もメンテナーも知らなかったと主張しています。もし知っていれば、重複としてマークされたはずだと付け加えています。
Geckoは、FuzzingLabsの発見が先行した2つのCVEについて、FuzzingLabsの研究者であるMohammed Benhelli氏とPatrick Ventuzelo氏に功績を帰すように、以前のブログ記事を編集し、公開日を更新しました。
業界の反応と今後の課題
この論争に対し、セキュリティコミュニティの一部からはGeckoの説明に疑問を呈する声が上がりました。また、CISAのCVEプログラムの将来に不確実性が漂う中、重複する脆弱性報告のトリアージにおける広範な課題を指摘する意見もありました。
FuzzingLabsのPatrick Ventuzelo氏は、Geckoの更新を歓迎しつつも、「元の出来事の順序…そして遡及的に変更されたブログエントリは、彼らのプロセス全体についてより広範な懸念を引き起こす」とBleepingComputerに語っています。彼は、「同一のPoCと我々自身が挿入した独自のマーカーがあることは、その物語と直接的に衝突する」と強調しました。
この一件は、複数の研究者や企業が異なるプラットフォームで独立して同様の欠陥を特定したり、ウェブから脆弱性データを取り込んだりする場合に、責任ある脆弱性開示における功績と調整の微妙な側面を浮き彫りにしています。