7万社の玄関ドアを開けられるマスターキーがあるのに、鍵屋がその弱点を直そうとしない――そんな状況を想像してください。まさにそれが、XSpeederのネットワーク機器で見つかったセキュリティ脆弱性で起きています。この問題は調査会社pwn.aiによって発見され、同社は独自のAIツール(同じくpwn.aiという名称)を用いて、ハッカーに悪用される前に脆弱性を見つけ出しました。
この脆弱性はCVE-2025-54322として追跡され、満点の10.0(Critical)という最高の脅威評価を獲得しました。というのも、パスワード不要で外部の第三者がデバイスの「root」権限を完全に掌握できてしまうからです。私たちが知るとおりrootアクセスはハッカーにとって究極の戦利品であり、通信の監視、データの窃取、さらにはシステムの完全停止まで可能にします。
AIはいかにして穴を見つけたのか
XSpeederは、ルーター、SD-WANアプライアンス、スマートTVコントローラーといった「エッジ」デバイスで知られる中国のベンダーです。同社の中核ソフトウェアSXZOSは、工場や遠隔オフィスで広く利用されています。
脆弱性を見つけるために、pwn.aiツールはAIエージェントの「スウォーム(群れ)」に、これらのデバイスをエミュレートして弱点を探すよう指示しました。これらのエージェントは、数十年にわたるハッキング経験に基づく独自アーキテクチャを用い、デバイスの挙動を再現して脆弱な箇所をスキャンします。
Hackread.comと共有された技術的な調査によると、AIはvLogin.pyというファイルを標的にしました。chkidパラメータと呼ばれるデータフィールドに悪意あるコードを詰め込むことで、デバイスに任意のコマンドを実行させる手口を突き止めたのです。研究者らは、これが「公表されたものとしては史上初の、エージェントが発見した遠隔から悪用可能な0デイ」であると述べています。
7か月間の沈黙
AIが悪用目的で使われる話はよく耳にします。たとえば2025年11月には、中国の国家支援グループによる「高度に洗練されたAI主導のスパイ活動キャンペーン」についてのAnthropicの報告がありました。しかし今回の事例は、AIが防御においても強力なツールになり得ることを示しています。
とはいえpwn.aiにとって、脆弱性の発見は戦いの半分にすぎませんでした。チームは7か月以上にわたりXSpeederに修正を求め続けましたが、残念ながら「パッチもアドバイザリも発行されていない」といいます。
研究者らは次のように記しています。「他のベンダーとは異なり、7か月以上にわたって働きかけたにもかかわらずXSpeederから一切の反応を得られなかったため、これを最初の開示対象として選びました。その結果、公開時点で残念ながらこれは依然としてゼロデイ脆弱性のままです。」
なお、この悪用に天才的な技術は不要である点は注目に値します。ブログ投稿によれば、「攻撃者が知る必要があるのは標的のIPだけ」です。
修正の見通しが立たないまま、現在オンライン上で7万のシステムが露出しており、産業環境や拠点(ブランチ)環境へのリスクは甚大です。Pwn.aiの調査は、同ツールがすでに他にも約20件の重大な脆弱性を発見していることを示しており、セキュリティ脆弱性を見つけ、対抗する方法が永遠に変わったことを明確にしています。
脆弱性の開示や警告を無視するベンダー
一部のベンダーは脆弱性報告に対して迅速に、かつ責任をもって対応しますが、別のベンダーは無視したり、リスクを過小評価したり、さらには報告した研究者に逆上することさえあります。最近の例として、欧州の鉄道サービス大手Eurostarが、AI搭載チャットボットの深刻な欠陥を報告したPen Test Partnersの研究者を、脅迫だとして非難した件が挙げられます。
このような出来事は珍しくありません。世界各地で起きており、ポルトガルのような国々が、セキュリティ問題を特定して報告しただけで倫理的ハッカーや研究者が訴追されないよう、サイバー犯罪法の改定を進めている理由の一つかもしれません。
翻訳元: https://hackread.com/xspeeder-0day-flaw-devices-vendor-ignores-alert/
