StraikerのAI Research(STAR)チームは、中国のCyberspikeグループが開発した、人工知能を基盤とするネイティブなペネトレーションテスト・フレームワーク「Villager」を特定しました。このツールはレッドチーム向けソリューションとして提示されており、プロトコルMCPを介してKali LinuxのツールとAIモデルDeepSeekを組み合わせ、セキュリティテスト作業を完全に自動化するよう設計されています。
VillagerはPython Package Index(PyPI.org)で公開され、世界中から自由にアクセスできます。公開後最初の2か月で1万ダウンロードを超え、悪用の潜在的リスクによりアナリストの注目を集めました。
Straikerによれば、高度な自動化と参入障壁の低さの組み合わせにより、VillagerはCobalt Strikeのようなツールと同様の軌跡をたどる可能性があるとされています。これらは正当な用途のために生まれたものの、その後、悪意あるアクターにより大規模に採用されました。
二重用途のフレームワーク
Villagerは、複雑な攻撃活動を実施するために必要な技能レベルを大幅に引き下げます。ペネトレーションテストのツールチェーン全体を自動化することで、経験の浅いオペレーターでも高度な侵入を実行できるようになります。
さらにPyPIを通じた配布は、サプライチェーン上の潜在的なベクターにもなり得ます。攻撃者にとって、信頼できるチャネルでツールを入手し、自身の運用フローに統合する手段を提供してしまうためです。
運用面では、Villagerの不正利用により、自動化されたスキャン、エクスプロイト、ポストエクスプロイト活動が大幅に増加し、検知およびインシデント対応チームの負荷が増大する可能性があります。
MCP(Model Context Protocol)とは
MCP(Model Context Protocol)は、人工知能モデルが外部ツール、サービス、システムリソースと構造化された形で相互作用できるようにするための標準です。単なる推論APIとは異なり、MCPはAIが運用コンテキストを受け取り、利用可能なツールを理解し、制御された形でそれらを呼び出すための仕組みを定義します。これによりモデルは、純粋な会話エンジンから、複雑なワークフロー内で能動的に機能するコンポーネントへと変わります。
技術的には、MCPはモデルと、実行環境、コンテナ、自動化ブラウザ、システムユーティリティなどのいわゆる「ツール」との間のメッセージ交換を制御するオーケストレーション層を導入します。各アクションは構造化された形式で記述・返却され、AIが複数の操作を連結し、タスク間の依存関係を管理し、エラーに反応できるようになります。これにより、一連の複雑な作業を計画・実行・検証し、一貫性と追跡可能性を維持するエージェントを構築できます。
MCPの価値――そして同時にリスク――は、サイバーセキュリティのようなセンシティブな文脈に適用されたときに顕在化します。言語モデルを攻撃用またはテスト用ツールに接続することで、プロトコルは運用チェーン全体の自動化を可能にし、人間の介入を大幅に減らします。そのためMCPは、一方では開発・テスト・防御を効率化し、他方ではVillagerのような自律的攻撃フレームワークの作成に悪用され得る、実現技術(イネーブリング・テクノロジー)と見なされています。
組織への潜在的影響
企業は、外部からのスキャンやエクスプロイト試行の増加、反応のための猶予を縮めるより高速な攻撃サイクル、そして標準ツールがハイブリッドなキャンペーンで使われることによる帰属の困難化に直面する可能性があります。
さらに、パッケージがCI/CDワークステーションやテストシステムにインストールされた場合、サプライチェーンや開発環境に関する追加リスクも生じます。
アナリストは、MCPプロトコル向けのセキュリティゲートウェイを実装し、AIエージェントとツール間の通信をリアルタイムで検査・フィルタリングできるようにすることを提案しています。また、サードパーティAI統合の徹底的な見直し、AI利用に関するガバナンスポリシーの採用、AI駆動の攻撃に焦点を当てた脅威インテリジェンス能力の整備も推奨されています。
示されている対策には、AIによって増幅されたインシデントに特化した対応手順の定義や、MCP対応アプリケーションを対象とした継続的なセキュリティテストの実施も含まれます。
Cyberspikeとは
Cyberspikeは、Straikerの研究者が報告するところによれば、2023年11月27日に初めて登場し、cyberspike[.]topというドメインが登録されました。このドメインは、中国企業Changchun Anshanyuan Technology Co., Ltd.に関連付けられており、同社はAIソリューションおよびアプリケーションソフトウェアの提供者とされています。
しかし、稼働中の企業ウェブサイトや検証可能な商業的プレゼンスが存在しないことから、組織の実態について疑問が生じています。
Wayback Machineによりアーカイブされたスナップショットは、2023年に同社が「Cyberspike」と呼ばれる製品を宣伝しており、侵害されたマシンを監視するためのダッシュボードを備えていたことを示しています。
うたわれていた機能には、リバースプロキシ、マルチステージ生成器、そしてコマンド&コントロール(C2)プラットフォームに典型的なツールが含まれていました。
レッドチームツールからRATへ
2023年12月10日にVirusTotalへアップロードされたCyberspike Studio Installer v1.1.7の分析により、同梱プラグインがRemote Access Trojan(RAT)の完全版に相当することが明らかになりました。確認された能力には、デスクトップへのリモートアクセス、キーロギング、Discordアカウントの侵害、ウェブカメラ制御、その他の監視機能が含まれます。
追加の検証により、Cyberspikeのスイート全体が、2019年以降に知られ広く流通しているAsyncRATのバージョン1.0.7.0と一致することが示されました。AsyncRATからはDCRatやVenomRATといった派生も生まれています。
分析されたコンポーネントは、形式、サイズ、プログラミング言語の点で同一であり、Mimikatzなどの追加プラグインとともに、AsyncRATがCyberspike製品へ直接統合されていることを裏付けています。
PyPIでのVillager公開
2025年7月23日、CyberspikeはPyPI上でVillager Pentesting Toolを公開しました。このパッケージはDeepSeekモデルを用いてセキュリティテストを自動化し、cyberspike[.]topのインフラ上でホストされる「al-1s-20250421」というカスタムモデルへの参照を含んでいます。
作者として記載されている@stupidfish001は、中国チームHSCSECのCTF競技の元参加者であり、関連プロジェクトを複数メンテナンスしていることが確認されています。
公開後2か月で、VillagerはLinux、macOS、Windowsで合計10,030ダウンロードを記録し、3日あたり200件超の平均ダウンロード数となりました。
フレームワークのアーキテクチャと動作
VillagerはMCPに基づく分散アーキテクチャを採用し、メッセージ調整、RAG(Retrieval-Augmented Generation)によるエクスプロイト生成、そしてオンデマンドのKali Linuxコンテナの自動作成に特化したサービスを備えています。オーケストレーションはPydantic AIに基づいており、運用上の一貫性を確保するために出力へ構造化フォーマットを強制します。
重要な要素として、フォレンジック回避メカニズムが挙げられます。コンテナは自己破壊するよう設計され、ログや痕跡を削除し、SSHポートをランダム化することで、インシデント後の分析をより困難にします。
スクリプトベースの従来型フレームワークとは異なり、Villagerは自然言語での対話を可能にします。テキストコマンドは、OpenAI互換APIを通じて利用可能なLangChainとDeepSeek v3との統合により、動的な攻撃シーケンスへ自動的に変換されます。
タスク指向のC2モデル
コマンド&コントロール(C2)システムはFastAPIと高度なタスク管理に基づいています。複雑な目標はサブタスクに分解され、並列実行も可能で、状態の継続的監視と、エラー時の自動回復能力を備えています。このアプローチにより、攻撃全体をキルチェーンに沿って適応的に計画できます。
Webアプリケーションのテストシナリオでは、Villagerは技術の特定、的を絞ったスキャンの実行、脆弱性の適応的な悪用が可能です。
より複雑な状況では、このフレームワークは静的なプレイブックに頼ることなく、ブラウザ自動化、ペイロード生成、ネットワークトラフィック監視、エクスプロイト後の永続化を協調して実行できます。
最終的な考察
Villagerは、人工知能に基づく攻撃ツールの領域における重要な進化を示しています。
複数の攻撃ベクターを動的にオーケストレーションし、人間の介入を最小限に抑える能力により、複雑な作戦を実行するための技術的ハードルはさらに下がります。
VirusTotalのようなプラットフォーム上でフレームワークが活発に存在していることは、AI駆動の攻撃がもはや理論ではないことを裏付けています。言語モデルと攻撃ツールの橋渡しとしてMCPプロトコルを用いることは、将来のマルウェア開発に影響を与えるパラダイムを導入し、AIエージェントに基づく持続的脅威、いわゆるAiPTの拡散に寄与します。