サイバーセキュリティ企業FuzzingLabsは、Y Combinator支援のスタートアップGecko Securityが自社の脆弱性開示を模倣し、ブログ記事の日付を遡って投稿したと非難しています。
同社によると、GeckoはFuzzingLabsが以前に開示した2つの脆弱性についてCVEを申請し、「PoCをコピーして再提出し、功績を奪った」としています。
Gecko Securityは不正行為を否定し、これらの主張は開示プロセスに関する誤解だと述べています。
FuzzingLabsが抗議
2つのサイバーセキュリティスタートアップ、FuzzingLabsとGecko Securityの間で公開論争が勃発しました。FuzzingLabsがY Combinator支援の同社を、脆弱性の発見を模倣し、複数のCVE IDの功績を主張したと非難したためです。
「彼らは私たちのPoCをコピーし、CVE IDを主張し、ブログ記事の日付まで遡って投稿しました」とFuzzingLabsはSNS上で主張しています。
「これは2つのCVEだけの問題ではなく、セキュリティ研究における誠実さの問題です。私たちは責任ある開示を遵守しています。彼らは私たちの公開報告を待ち、PoCをコピーし、再提出して功績を奪いました。」
FuzzingLabsが言及している脆弱性は以下の通りです:
- Ollama(ollama/ollama)サーバー認証トークン窃取の脆弱性:元の報告は2024年12月24日に提出。後にCVE-2025-51471が割り当てられました。
- Gradio(gradio-app/gradio)フラグ機構を利用した任意ファイルコピー&サービス拒否(DoS):元の報告は2025年1月16日に提出。後にCVE-2025-48889が割り当てられました。
FuzzingLabsは、AIを活用した攻撃的セキュリティやファジングのためのオープンソースツールを開発している研究志向のサイバーセキュリティ企業で、代表的なものにFuzzForgeがあります。Geckoは、自身を「あなたのコードベースのAIセキュリティエンジニア」と称し、コードベースの脆弱性発見と修正を支援するとしています。
FuzzingLabsの調査によると、Geckoが提出したプルリクエスト(PR)は「私たちの正当なHuntr報告が公開された後に作成された」ものであり、一部の脆弱性には、元のhunter.dev報告とGecko提出のPRから、それぞれ異なるCVE IDが割り当てられていたといいます。
FuzzingLabsはさらに、Geckoがブログ記事の日付を遡って、実際の開示よりも古く見せかけていたと主張しています。
また同社は、「盗作が発生した場合に自分たちの仕事を特定できるよう、意図的に挿入した『独自の指紋』が含まれていたため、Geckoが自社のエクスプロイトを一字一句コピーした『動かぬ証拠』がある」と述べています。
「しかも被害は私たちだけではなく、彼らのウェブサイト上の少なくとも7つの脆弱性が他の研究者から盗まれたもののようです」とFuzzingLabsは同じスレッドで述べ、タイムスタンプ付きの詳細な調査結果を紹介しています。
GitHubは一部のアドバイザリを更新し、FuzzingLabsの元の報告に功績を与えているようです:
Gecko Security、不正行為を否定し研究者に功績を与える
Geckoはその後、以前のブログ記事(アーカイブ)を修正し、FuzzingLabsの研究者Mohammed Benhelli氏とPatrick Ventuzelo氏に功績を与え、公開日も更新しました。
Geckoはこの状況を、意図的な盗作ではなく不幸な重複だと説明し、自社のワークフローはサードパーティプラットフォームではなく、プロジェクトのメンテナーと直接調整することに重点を置いていると強調しています。
同スタートアップを非難するSNS投稿に対し、Geckoは簡潔に返答しました:
「まず連絡を取ることなく公の場で非難されたことに失望しています。特に競合製品をリリースした直後です。
私たちはGitHubを通じてメンテナーと直接やり取りしており、バウンティプラットフォームは利用していません。私たちもメンテナーも、あなた方のHuntr報告については当時知りませんでした。もし知っていれば重複としてマークされていたでしょう。
あなた方の発見が先だった2つのCVEについては公にFuzzingLabsに功績を与えていますし、今後も私たちより先に発見された方には喜んで功績をお渡しします。
盗まれたCVEという主張については、あなた方が提供した多くのリンクがすでにHuntr上で『重複』または『無効』とマークされていることからも成り立ちません。」
セキュリティコミュニティの一部はGeckoの説明に疑問を呈し、また他の一部は、特にCISAのCVEプログラムの将来が不透明な中で、重複する脆弱性報告の選別に関するより広範な課題を指摘しています。
BleepingComputerはこの件についてFuzzingLabsとGecko Securityの双方に追加質問を送りましたが、Geckoからの返答はありませんでした。
FuzzingLabsのPatrick Ventuzelo氏はメールで、同社がSNS上で既に述べていた内容を繰り返すとともに、Geckoが投稿後に更新を行ったことを歓迎すると述べました。
「しかし、元々の経緯や…遡って投稿されたブログ記事は、彼らの全体的なプロセスに対するより大きな懸念を引き起こします」とVentuzelo氏はBleepingComputerに語りました。
「彼らはこれらのケースを『重複』と呼んでいますが、PoCが全く同一で、私たち自身が挿入した独自のマーカーが含まれていることは、その説明と矛盾します。」
この出来事は、責任ある脆弱性開示における功績や調整の微妙な問題を浮き彫りにしています。特に、複数の研究者や企業が異なるプラットフォームで同様の脆弱性を独立して発見したり、ウェブ上から脆弱性データを取り込んだりする場合に顕著です。
