サイバーセキュリティ企業FuzzingLabsは、Y Combinatorが支援するスタートアップGecko Securityが、自社の脆弱性開示を模倣し、ブログ記事の日付を遡って投稿したと非難しています。
同社によると、GeckoはFuzzingLabsが以前に開示した2つの脆弱性についてCVEを申請し、「PoCをコピーして再提出し、クレジットを奪った」としています。
Gecko Securityは不正行為を否定し、これらの主張は開示プロセスに関する誤解だと述べています。
FuzzingLabsが不正を訴える
FuzzingLabsがY Combinator支援の企業を、脆弱性の発見をコピーし複数のCVE IDのクレジットを主張したと非難したことで、FuzzingLabsとGecko Securityの2つのサイバーセキュリティスタートアップ間で公の論争が勃発しました。
「彼らは私たちのPoCをコピーし、CVE IDを主張し、ブログ記事の日付まで遡って投稿しました」とFuzzingLabsはSNSで主張しています。
「これは2つのCVEだけの問題ではなく、セキュリティ研究における誠実さの問題です。私たちは責任ある開示を行っています。彼らは私たちの公開レポートを待ち、PoCをコピーして再提出し、クレジットを奪いました。」
FuzzingLabsが言及している脆弱性は以下の通りです:
- Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性:オリジナルレポートは2024年12月24日に提出。後にCVE-2025-51471が割り当てられました。
- Gradio (gradio-app/gradio) 任意ファイルコピー&フラグ機構によるDoS(サービス拒否):オリジナルレポートは2025年1月16日に提出。後にCVE-2025-48889が割り当てられました。
FuzzingLabsは、AIを活用した攻撃的セキュリティやファジングのためのオープンソースツールを開発している研究志向のサイバーセキュリティ企業で、代表的なものにFuzzForgeがあります。Geckoは「あなたのコードベースのためのAIセキュリティエンジニア」として、自社のコードベース内のセキュリティ脆弱性の発見と修正を支援すると謳っています。
FuzzingLabsの調査によると、Geckoが提出したプルリクエスト(PR)は「私たちの正当なHuntrレポートが公開された後に作成された」ものであり、いくつかの脆弱性には、オリジナルのhunter.devレポート由来のCVE IDと、Geckoが提出したPR由来のCVE IDが複数割り当てられていたといいます。
さらにFuzzingLabsは、Geckoがブログ記事の日付を遡って投稿し、実際の開示よりも古く見せかけていたと主張しています。
同社はまた、「Geckoが私たちのエクスプロイトを一行ずつコピーした『動かぬ証拠』がある」とし、「盗用があった場合に自社の作業を特定できるよう意図的に挿入した独自の指紋」が含まれていたと述べています。
「しかも私たちだけでなく、彼らのウェブサイト上の少なくとも7つの脆弱性が他の研究者から盗まれたもののように見えます」とFuzzingLabsは同じスレッドで述べ、タイムスタンプ付きの詳細な調査結果を紹介しています。
GitHubは一部のアドバイザリを更新し、FuzzingLabsのオリジナルレポートにクレジットを与えているようです:
Gecko Security、不正行為を否定し研究者にクレジット
Geckoはその後、以前のブログ記事を編集し、FuzzingLabsの研究者Mohammed Benhelli氏とPatrick Ventuzelo氏にクレジットを与え、公開日も更新しました。
Geckoはこの状況を意図的な盗用ではなく、不運な重複だと説明し、自社のワークフローはサードパーティプラットフォームを介さず、プロジェクトメンテナーと直接調整するものだと強調しています。
スタートアップを非難するSNS投稿に対し、Geckoは簡潔に回答しました:
「まず連絡を取ることなく公に非難されたことは残念です。特に競合製品をリリースした直後だったので。
私たちはGitHubを通じてメンテナーと直接やり取りしており、バウンティプラットフォームは利用していません。私たちもメンテナーも、当時Huntrレポートの存在を知りませんでした。知っていれば重複としてマークされていたはずです。
2件のCVEについては、FuzzingLabsの発見が先だったことを公にクレジットしましたし、今後も私たちより先に発見した方には必ずクレジットします。
盗用CVEの主張については、あなた方が提示した多くのリンクがすでにHuntr上で『重複』または『無効』とマークされていたことからも成り立ちません。」
セキュリティコミュニティの一部はGeckoの説明に疑問を呈し、また他の一部は、特にCISAのCVEプログラムの今後が不透明な中で、重複する脆弱性報告のトリアージの難しさを指摘しました。
BleepingComputerは本件についてFuzzingLabsとGecko Securityの両社に追加質問を送りましたが、Geckoからの返答はありませんでした。
FuzzingLabsのPatrick Ventuzelo氏はメールで、同社がSNSで既に述べた内容を改めて強調しつつ、Geckoが投稿後に行った更新を歓迎すると述べました。
「しかし、当初の出来事の流れや、遡って投稿されたブログ記事は、彼らの全体的なプロセスに関してより大きな懸念を生じさせます」とVentuzelo氏はBleepingComputerに語りました。
「彼らはこれらのケースを『重複』と呼んでいますが、PoCが完全に一致し、私たち自身が挿入した独自のマーカーがあることは、その主張と矛盾します。」
この出来事は、責任ある脆弱性開示におけるクレジットや調整の難しさを浮き彫りにしています。特に、複数の研究者や企業が異なるプラットフォームで独立して類似の脆弱性を発見した場合や、ウェブから脆弱性データを取り込む場合には、その傾向が顕著です。
