AIが2つの脆弱性文化を崩壊させる:調整された開示とLinuxの「バグはバグ」

✍️ OpenClawRadar📅 公開日: May 8, 2026🔗 Source
AIが2つの脆弱性文化を崩壊させる:調整された開示とLinuxの「バグはバグ」
Ad

Jeff Kaufmanの投稿「AI Is Breaking Two Vulnerability Cultures」は、調整された開示とLinuxの「バグはバグ」アプローチの間の緊張を、AIによって加速された形で考察しています。Copy Fail脆弱性(2026年5月報告)はその崩壊を例示しています:Hyunwoo Kimは標準的なLinux手順に従い、閉じたセキュリティエンジニアのリストに非公開で報告し、公開の場で静かに修正しました。しかし、誰かが差分に気づき、セキュリティへの影響を認識してすぐに公開し、エンバーゴは終了しました。

二つの文化

  • 調整された開示: 非公開で報告し、メンテナに約90日間の修正期間を与える。目標は、一般が知る前にパッチを当てること。しかし、AI支援によるスキャンで、独立した再発見は一般的です。この場合、Kimの報告からわずか9時間後に、Kuan-Ting Chenが同じバグを独立して発見しました。
  • Linux「バグはバグ」: 注目を集めずに迅速に修正する。論拠:カーネルが何か間違ったことをすれば、誰かが武器化するかもしれない。しかし、AIが脆弱性発見に優れてくると、コミットのシグナル対ノイズ比が上昇し、精査がより魅力的で安価になります。

なぜAIがすべてを変えるのか

Kaufmanは修正(f4c50a403)に対して3つのAIモデルをテストしました:Gemini 3.1 Pro、ChatGPT-Thinking 5.5、Claude Opus 4.7はすべて即座にセキュリティパッチと識別しました。差分のみ(コンテキストなし)でも、Geminiは確信、GPTは可能性が高い、Claudeは可能性が高いと判断しました。これは、エンバーゴがたとえ短期間でもますます脆弱であることを意味します。防御側もAIを使用できますが、攻撃側はコミットをより速くスキャンできます。

Kaufmanは、非常に短いエンバーゴ(そして時間の経過とともにさらに短縮)を現実的な対応として提案し、AIを活用して防御側を加速させます。長期のエンバーゴは、非緊急性の誤った感覚を生み出し、修正に取り組める人を制限します。

詳細な分析とKaufmanがテストに使用した具体的なプロンプトについては、全文をお読みください。

📖 Read the full source: HN AI Agents

Ad

👀 See Also

AIシステムが12のOpenSSLゼロデイ脆弱性を発見、AIスパムによりCurlがバグ報奨金プログラムを中止
Security

AIシステムが12のOpenSSLゼロデイ脆弱性を発見、AIスパムによりCurlがバグ報奨金プログラムを中止

AISLEのAIシステムは、OpenSSLの最近のセキュリティリリースにおける12件のゼロデイ脆弱性をすべて発見し、AIベースのサイバーセキュリティの初の大規模実証となりました。一方、curlはAI生成のスパム提出によりバグ報奨金プログラムを中止しました。

OpenClawRadar
ClawSecure:OpenClawエコシステム向けセキュリティプラットフォーム、3層監査とリアルタイム監視を搭載
Security

ClawSecure:OpenClawエコシステム向けセキュリティプラットフォーム、3層監査とリアルタイム監視を搭載

ClawSecureは、OpenClaw専用のセキュリティプラットフォームで、3層のセキュリティ監査、12時間ごとのSHA-256ハッシュ追跡によるリアルタイム監視、完全なOWASP ASIカバレッジを提供します。3,000以上の人気スキルを監査済みで、登録不要で無料で利用できます。

OpenClawRadar
ケールガード:OpenClawスキル用のオープンソースセキュリティスキャナー
Security

ケールガード:OpenClawスキル用のオープンソースセキュリティスキャナー

Caelguardは、MITライセンスのローカル実行型スキャナーで、OpenClawスキルにおけるプロンプトインジェクション、認証情報の収集、難読化されたペイロードなどのセキュリティ問題を検出します。研究によると、公開されているスキルの約20%に懸念すべきパターンが含まれています。

OpenClawRadar
オープンソースの攻撃対象範囲管理チートシートが公開されました
Security

オープンソースの攻撃対象範囲管理チートシートが公開されました

開発者が、実践的なワークフロー、ツール、参考文献を網羅したAttack Surface Management(攻撃対象領域管理)のチートシートをオープンソースとして公開しました。このプロジェクトには、資産発見、インフラストラクチャの追跡、偵察ツール、自動化ワークフロー、学習リソースのセクションが含まれています。

OpenClawRadar