AIが2つの脆弱性文化を崩壊させる：調整された開示とLinuxの「バグはバグ」

Jeff Kaufmanの投稿「AI Is Breaking Two Vulnerability Cultures」は、調整された開示とLinuxの「バグはバグ」アプローチの間の緊張を、AIによって加速された形で考察しています。Copy Fail脆弱性（2026年5月報告）はその崩壊を例示しています：Hyunwoo Kimは標準的なLinux手順に従い、閉じたセキュリティエンジニアのリストに非公開で報告し、公開の場で静かに修正しました。しかし、誰かが差分に気づき、セキュリティへの影響を認識してすぐに公開し、エンバーゴは終了しました。

二つの文化

• 調整された開示： 非公開で報告し、メンテナに約90日間の修正期間を与える。目標は、一般が知る前にパッチを当てること。しかし、AI支援によるスキャンで、独立した再発見は一般的です。この場合、Kimの報告からわずか9時間後に、Kuan-Ting Chenが同じバグを独立して発見しました。
• Linux「バグはバグ」： 注目を集めずに迅速に修正する。論拠：カーネルが何か間違ったことをすれば、誰かが武器化するかもしれない。しかし、AIが脆弱性発見に優れてくると、コミットのシグナル対ノイズ比が上昇し、精査がより魅力的で安価になります。

なぜAIがすべてを変えるのか

Kaufmanは修正（f4c50a403）に対して3つのAIモデルをテストしました：Gemini 3.1 Pro、ChatGPT-Thinking 5.5、Claude Opus 4.7はすべて即座にセキュリティパッチと識別しました。差分のみ（コンテキストなし）でも、Geminiは確信、GPTは可能性が高い、Claudeは可能性が高いと判断しました。これは、エンバーゴがたとえ短期間でもますます脆弱であることを意味します。防御側もAIを使用できますが、攻撃側はコミットをより速くスキャンできます。

Kaufmanは、非常に短いエンバーゴ（そして時間の経過とともにさらに短縮）を現実的な対応として提案し、AIを活用して防御側を加速させます。長期のエンバーゴは、非緊急性の誤った感覚を生み出し、修正に取り組める人を制限します。

詳細な分析とKaufmanがテストに使用した具体的なプロンプトについては、全文をお読みください。