Vigoliumは、決定論的スキャンとAI駆動の監査を組み合わせたオープンソースの脆弱性スキャナーで、今月初回のオープンソースリリースを開始しました。このプロジェクトには235以上のスキャナーモジュールと、自律的なエンドポイント探索、攻撃計画立案、発見事項のトリアージを処理するoliumというインプロセスエージェントランタイムが含まれています。
このツールは2つのスキャンパスを提供します。vigolium scanは、コンテンツ探索、ブラウザベースのスパイダリング、アクティブおよびパッシブ監査をカバーするマルチフェーズの決定論的パイプラインを実行します。vigolium agentは制御をLLM駆動のハーネスに委ね、モジュールの選択、カスタムJavaScript拡張機能の生成、動的スキャンと並行したソースコード監査を実行します。
予算上限とエージェント自律性のコスト
エージェント型セキュリティツールは、オペレーターにとって繰り返し問われる問題を提起します。それは、自律型監査者がその出力が有用でなくなる前に、どれだけの費用と時間を消費することを許可すべきかという問題です。Vigoliumは、トークン数、ツール呼び出し数、トリアージの反復回数、および実行時間に対する上限を設定できます。
このツールの作者であるJessie Ho氏はHelp Net Securityに対し、オペレーターは上限を用途に合わせて設定すべきだと語りました。「時間制限のあるペネトレーションテストやCIの実行では、常に完了するよう実行時間と反復回数の上限を活用してください。特定のターゲットへの詳細調査では、トークン数を緩めて再計画を可能にします。広範囲のスキャンでは、ターゲットごとの予算を厳しく維持しないと、一つのターゲットにすべてのリソースが費やされてしまいます。」
同氏は予算不足と予算過多による2つの失敗パターンを説明しました。「予算が少なすぎると、エージェントが調査の途中で打ち切られ、信頼性の低いスタブが残るだけです。多すぎると、ただ彷徨い、費用を浪費し、ノイズを増やすだけです。」新規ユーザーへのアドバイスとして、まず厳しい設定で始め、本当に必要な作業が途中で打ち切られる場合にのみ上限を緩めることを推奨しています。
独立したフェーズとしてのトリアージ
再現できない、もっともらしく聞こえる発見事項は、LLMを活用したセキュリティテストにおける根強い問題です。Ho氏によると、Vigoliumはスキャン後に独立したパスとしてトリアージを実行することでこの問題に対処しています。「スキャナーが候補を見つけた後、別のパスがそれぞれの証拠と照らし合わせて再確認します。」
重複排除については、削除よりもマージを優先する設計になっています。「同一の問題のコピーのみを統合し、境界線上のものについては保持か削除かの判断を一切行いません。エージェントが確信を持てないものはすべてダウングレードして表示され、密かに削除されることはありません。」
拡張機能、サンドボックス、そして将来のレジストリ
VigoliumのJavaScriptエンジンにより、ユーザーはセッション対応のHTTP APIを使ったカスタムスキャンモジュールとフックを作成できます。拡張機能はサンドボックスなしで任意のコマンドを実行できます。コミュニティレジストリが生まれる可能性について尋ねると、Ho氏はそのようなシステムが必要とする信頼モデルについて慎重な姿勢を見せました。
「拡張機能はサンドボックスなしで任意のコードを実行するため、レジストリは実質的に実行ファイルを配布するのと同じです。署名は誰が書いたかを示すだけで、安全かどうかは保証しません。」いかなる共有の仕組みも、出所と署名の保証、明示的なオプトインを伴うデフォルト非信頼のスタンス、そしてオープン投稿ではなくキュレーションが必要だと同氏は述べました。「厳選された小さなセットの方が、検証されていない大きなマーケットプレイスより優れています。」
オープンコアと商用コンソール
Vigoliumは、Cloud Consoleという名のホスト型製品と併せて提供されます。Ho氏は両者の境界を運用の観点から説明しました。「スキャナーはオープンコアであり、運用は商用です。バグを発見する機能はすべてAGPLリポジトリに残ります。Consoleはその上に載る運用レイヤーに過ぎません。ホスティング、コラボレーション、スケール、スケジューリングです。」
コントリビューターの信頼は、ライセンスと時間をかけた目に見える行動によって成り立つと同氏は述べました。「新しい検出機能は最初にオープンリポジトリに追加されます。コア機能がConsoleのアップセルのためにコアから移動し始めた日に、その信頼は失われます。」
VigoliumはGitHubで無料公開されています。
翻訳元: https://www.helpnetsecurity.com/2026/05/27/vigolium-open-source-vulnerability-scanner/
