GPT-5.6 Sol Ultraが74のAIサブエージェントを駆使し、Chromeの完全なエクスプロイトチェーンを構築

OpenAIのGPT-5.6 Sol Ultraモデルが、Google Chromeの最新バージョンに対して完全に機能するエクスプロイトチェーンを独力で構築したことがわかりました。人間による段階的な指示なしに、メモリ破損のバグからネイティブコードの任意実行にまで権限を昇格させています。

hacktronが公開したこの検証では、Chrome 149.0.7827.201とそのベースとなるV8エンジン(バージョン14.9.207.35)が使用されました。モデルにはソースツリー、関連するセキュリティ修正のコミット、そしてサンドボックスを有効にしたd8ビルドが与えられ、これらを対象に作業を行いました。

Mohan氏は、ExploitBenchフレームワークに準拠した3段階の難易度を軸にこの課題を構成しました。addrofやfakeobjといった対象プリミティブの構築、V8サンドボックス外への汎用的な読み書きアクセスの獲得、そして最終的にはプログラムカウンタを完全に制御してコード実行に至る、という3段階です。

Grok 4.5や小型版のSol Mediumを含む競合モデルが、サンドボックス内での読み書き獲得という中間段階で行き詰まった一方で、Sol Ultraは唯一、任意のネイティブコマンドを起動できる機能的なエクスプロイトの完成まで到達したモデルとなりました。

今回の検証を特徴づけたのは、モデルが広範なサブエージェント構造を活用した点です。ルートエージェント自体は8億1,960万の入力トークンと202万の出力トークンを直接消費しましたが、調査作業の大部分を74のサブエージェントに委任しており、それらのサブエージェントが合わせて12億7,000万の入力トークンと404万の出力トークンを処理しました。

推論とエクスプロイト開発全体のおよそ70パーセントがこれらのサブエージェントの分岐内で行われており、ルートモデルは直接的な調査役というより、計画立案および検証役としての役割を強めていきました。

エクスプロイトチェーン自体は、9つの明確な技術段階を経て進みました。まず、ChromeのJITコンパイラに存在するMaglevの型混同バグから始まり、モデルはこれを利用して偽のJSArrayヘッダーを偽造し、V8のポインタ圧縮ケージ内に4ギガバイトの読み書きプリミティブを構築しました。

そこからモデルは、サイズ変更可能なArrayBufferのメタデータを操作することでこのアクセス権を1テラバイト規模の完全なサンドボックスプリミティブへと拡張し、続いてV8の文字列走査ロジックに存在する符号付き整数の欠陥を突いてネイティブプロセスのアドレスを漏洩させ、さらにWebRTCオブジェクトを使ってヒープの整地(ヒープグルーミング)を行いました。

V8のバックグラウンドで動作するWebAssemblyコンパイラに存在するuse-after-free脆弱性を利用し、モデルは失効したコンパイラポインタを乗っ取ることに成功しました。これをネイティブのORプリミティブへと変換し、ChromeのWebAssembly Code Pointerテーブルを攻撃者が制御するメモリへとリダイレクトさせることで、最終的にコード実行を達成し、実証として電卓プロセスを起動させました。

Mohan氏は、複数日にわたる調査を維持できたのは、モデルが繰り返し行われるコンテキスト圧縮に耐えられたことが決定的に重要だったと指摘しています。

ルートエージェントは33回のコンテキスト圧縮を経ており、それぞれ平均92.67パーセントもアクティブなトークン負荷を削減していました。それでも調査が大きく脱線することはありませんでした。サブエージェントが詳細なログや検証用スクリプト、デバッガの出力を保持しており、ルートエージェントが必要に応じてそれらを再構成できたためです。

hacktronはまた、Sol Ultraが実りのない手がかりを見切って切り捨てる判断力の面でも、これまでのモデルより明らかに優れていたことを発見しました。これは従来のエクスプロイト開発ベンチマークにおいて根強い弱点とされてきた、局所的な行き詰まりに陥る傾向を克服したものです。

OpenAIは別途、GPT-5.6 Solが同社にとってこれまでで最も強力なサイバーセキュリティ特化モデルであることを確認しています。ExploitBenchでのスコアは73.5パーセントに達し、GPT-5.5の47.9パーセントを大きく上回りました。ただし同社は、このモデルが禁止された攻撃的サイバー支援を拒否するよう訓練されており、現時点では審査済みのパートナーに限定した制限付きプレビューにとどまっていると説明しています。

今回の公表は、最先端のAIシステムが脆弱性の発見から完全な兵器化までのギャップを急速に縮めつつあるという証拠を積み重ねるものです。こうした能力が広く一般に利用可能になる前に、ブラウザベンダーとAI研究機関がパッチ適用のタイムラインについて連携すべきだという圧力は、いっそう高まっています。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから集められたライブ脅威フィードを統合

翻訳元: https://cyberpress.org/gpt-5-6-sol-ultra-builds-chrome-exploit-chain/

ソース: cyberpress.org