AIシステムが12のOpenSSLゼロデイ脆弱性を発見、AIスパムによりCurlがバグ報奨金プログラムを中止

AISLEのサイバーセキュリティ発見用自動AIシステムは、OpenSSLの最近のセキュリティリリースにおける12件のゼロデイ脆弱性をすべて発見しました。一方、curlはAI生成のスパム提出によりバグ報奨金プログラムを中止しました。これは、厳格に監査されたインフラストラクチャに対して、この規模でAIベースのサイバーセキュリティが実証された初の事例となります。

ソースからの主要な詳細

このAIシステムは、世界のインターネットトラフィックの少なくとも3分の2の暗号化を支えるOpenSSLの脆弱性を発見しました。システムはバグ報奨金プログラムで「Giant Anteater」という偽名で活動し、エリートセキュリティ研究を反復可能な産業プロセスへと転換することを目指しています。

2025年秋の以前の成果には以下が含まれます：

• CVE-2025-9230: CMSパスワードベース暗号化のRFC 3211 KEKアンラップ操作における境界外読み取り/書き込み。メモリ破損やコード実行につながる可能性があり、このバグは2009年から存在していました。
• CVE-2025-9231: 64ビットARM上のSM2楕円曲線署名におけるタイミングサイドチャネル。実行時間の変動により、リモート観測を通じた秘密鍵の回復が可能になる可能性があります。
• CVE-2025-9232: IPv6ホストの解析時のHTTPクライアントno_proxy処理における境界外読み取り。制御されたクラッシュを引き起こします。

システムは、スキャン、分析、トリアージ、エクスプロイト構築を含む完全なループを処理します。OpenSSLのメンテナーはCVEの発行に関して有名なほど保守的であり、彼らの受け入れは厳格な外部ベンチマークとなっています。

一方、curlは、AISLEが5件の本物のCVEを報告したにもかかわらず、AI生成のスパム提出の洪水によりバグ報奨金プログラムを中止しました。これは、AIの二重の影響を示しています：提出物の平均的な品質を低下させながらも、重要なインフラストラクチャにおける本物のゼロデイ脆弱性の発見の上限を引き上げています。

2025年のフロンティア・オブ・ザ・イヤー予測プロジェクトは、AI駆動の脆弱性発見を、期待される影響において全体で第3位に位置づけ、一般化する確率を0.9としています。