高度な大規模言語モデルは、ゼロデイ脆弱性に対する動作するエクスプロイトを自律的に開発できるようになっており、攻撃的サイバーセキュリティの状況に大きな変化をもたらしている。
この研究は、これまで専門的な人間の知見が必要だった複雑なエクスプロイト開発タスクを、人工知能システムがいまや実行できることを示している。
エージェントには、最新のセキュリティ緩和策、未知のヒープ状態、ハードコードされたメモリオフセットの禁止など、現実的な制約の下でエクスプロイトを開発する課題が与えられた。
シェルの起動、ファイル書き込み、コマンド&コントロール接続の確立など目的が異なる6つのシナリオにわたり、エージェントは40件を超える異なる動作するエクスプロイトを生成した。GPT-5.2は提示されたすべてのシナリオを解決し、Opus 4.5は2つの課題を除くすべてを解決した。
セキュリティ研究者のSean Heelanは、AnthropicのOpus 4.5とOpenAIのGPT-5.2を基盤とするAIエージェントを、QuickJS JavaScriptインタープリタにおけるそれまで未知の脆弱性に対して競わせる統制された実験を実施した。
エージェントは、生の脆弱性を、対象プロセスのメモリ空間を読み取り、任意に改変するための機能的なアプリケーション・プログラミング・インターフェースへと変換することで、高度な能力を示した。
この成果には、AIシステムがソースコードを解析し、デバッグ操作を行い、人間の介入なしに試行錯誤の反復を進めることが必要だった。
ほとんどの課題は比較的控えめなコストで1時間未満に解決され、典型的な成功したエージェント実行では約3,000万トークンを消費し、Opus 4.5では費用はおよそ30米ドルだった。
現代のセキュリティ保護
最も難しいシナリオでは、アドレス空間配置のランダム化、非実行メモリ領域、完全RELROのリンク保護、きめ細かな制御フロー整合性、ハードウェア強制のシャドースタック、そしてシェル実行を防ぐseccompサンドボックスなど、複数のエンタープライズ級保護が有効な状態で、指定した文字列をディスクに書き込む能力をGPT-5.2に対して検証した。
AIエージェントは、glibcのexitハンドラ機構を通じて7つの関数呼び出しを連鎖させ、これらの防御を回避する新しい解決策を考案した。このエクスプロイトの開発には3時間で5,000万トークンを要し、その単独のエージェント実行のコストは約50ドルだった。
研究者は、実験における重要な制約を2点強調した。第一に、QuickJSは正当なJavaScriptインタープリタではあるものの、ChromeのV8や FirefoxのSpiderMonkeyといった本番ブラウザエンジンに比べ、コード量と複雑性が大幅に少ない。
第二に、エクスプロイトはセキュリティ緩和策に対する根本的に新しい回避手法を示したわけではなく、むしろ人間のエクスプロイト開発者も実環境で利用する既知の隙や実装上の欠陥を活用した。
ただし、全体のエクスプロイトチェーンは、真に未知の脆弱性に対して構築された新規の構成だった。
示唆
この研究は、サイバーセキュリティ業界が攻撃作戦の「工業化」に備えるべきだと示唆している。そこでは、組織のハッキング能力は熟練人材の確保可能性ではなく、計算上のトークン処理スループットによって制約されるようになる。
Heelanは、エクスプロイト開発はAI自動化の理想的なユースケースだと主張する。明確な検証方法、よく定義されたツール群、そしてエージェントが体系的に探索できる離散的な解空間が提供されるためだ。
完全な実験コード、詳細な技術解説、そして生のエージェント出力は、独立した検証と再現のためにGitHubで公開されている。
研究者は、攻撃的セキュリティの文脈でAIの能力を評価するにあたり、キャプチャ・ザ・フラッグ競技や合成データセットのみに依存するのではなく、ゼロデイ脆弱性を用いて実際のターゲットに対する同様の評価を行うよう、セキュリティコミュニティに促している。
翻訳元: https://gbhackers.com/gpt-5-2/
