AIベースの「ペンテスター」がHackerOneでトップバグハンターになるまで

読了時間：5分

出典：Mopic（Alamyストックフォト経由）

生成AI（GenAI）は、脆弱性報告の分野でセキュリティ専門家に頭痛の種をもたらしているかもしれませんが、少なくとも1社はこの技術で効果的な自律型バグハンターを構築できることを示しました。

先週ラスベガスで開催されたBlack Hat USAのセッションで、XBOWのAI研究者であるBrendan Dolan-Gavitt氏は、同社がどのようにして脆弱性を発見するAI搭載のペネトレーションテストツールを構築したかを実演しました。6月、XBOWの自律型AIペンテストツールは、初めて非人間のバグハンターとしてHackerOneの米国リーダーボードでトップに到達しました。

これは快挙でした。多くの大小企業が自動化AIモデルを構築して大規模に脆弱性を発見しようとしていますが、これまでの結果はまちまちです。Dolan-Gavitt氏のセッション「ゼロ誤検知のオフセック向けAIエージェント」では、大規模言語モデル（LLM）の利用急増がサイバーセキュリティ業界にもたらした予期せぬ悪影響について説明しました。特に、LLMによる脆弱性報告が多すぎて誤検知が発生しており、これを「AI攻撃的セキュリティを悩ませる亡霊」と表現しました。

Dolan-Gavitt氏は、Curlの創設者兼リード開発者であるDaniel Stenberg氏の最近のLinkedIn投稿を引用し、Stenberg氏はHackerOneが「AIのゴミ」と呼ぶCurlのバグ報告で溢れていると苦言を呈しました。

「AIの助けを借りて作成された有効なセキュリティレポートは、いまだに一つも見たことがありません」とStenberg氏は書いており、AI生成のレポーターがオープンソース組織を事実上DDoSしていると付け加えました。

これは、Dolan-Gavitt氏によれば、人々がCurlのソースコードをChatGPTに入力し、LLMに欠陥を探させているためです。これはバグハンティングにGenAIを使う正しい方法ではないと彼は述べています。なぜなら、LLMはユーザーに有用な結果を提供するよう訓練されているからです。Curlの場合、LLMは「非常に説得力があり、雄弁だが完全に偽の説明」をしばしば出していました。

また、Dolan-Gavitt氏はNYUタンデン工科大学の准教授でもあり、バグハンターがLLMにソースコードを投入して一般的な脆弱性を探させるのではなく、特定のターゲットに絞ったリサーチエージェントを使っても、誤検知は依然として発生すると述べました。

「モデルが完全に作り話をしていない場合でも、問題がないのに問題があると自分自身を納得させるのが非常に得意なのです」と彼は言いました。

しかし、Dolan-Gavitt氏は、XBOWがAIエージェントを使って実際の脆弱性を発見しつつ、誤検知を少数に抑える方法を見つけたと述べました。このアプローチは非常に効果的で、HackerOneのリーダーボードのトップに立ちました。

自動化ペンテスターの構築

GenAIツールは潜在的な脆弱性の発見には非常に効果的ですが、XBOWのチームは発見結果の検証があまり得意ではないことに気づきました。成功するAI駆動型ペンテスターを作るコツは、脆弱性の検証にLLM以外のものを使うことだとDolan-Gavitt氏は説明します。XBOWの場合、研究者たちは決定論的な検証アプローチを採用しました。

「おそらく数年後には、箱から出してすぐに大規模言語モデルを使って脆弱性を検証できるようになるかもしれません」と彼は言います。「しかし今日、そしてこの講演の残りの部分では、基本的に非AIの決定論的コードで脆弱性を検証するという別の方法を提案し、主張したいと思います。」

とはいえ、AIはXBOWのペンテスターで重要な役割を果たしています。Dolan-Gavitt氏によれば、この技術はキャプチャ・ザ・フラッグ（CTF）方式を採用しており、「カナリア」をソースコード内に配置し、XBOWがAIエージェントを送り込んでそれらにアクセスできるかどうかを確認します。例えば、リモートコード実行（RCE）や任意ファイル読み取り脆弱性を見つけたい場合、サーバーのファイルシステム上にカナリアを仕込み、エージェントを解き放ちます。

「この問題をゲーム化したようなものです」と彼は言います。「攻撃的セキュリティの問題を一連のキャプチャ・ザ・フラッグチャレンジに変換しました。」

XBOWのモデルには他にもいくつかの利点があるとDolan-Gavitt氏は述べています。CTL方式を使うことで、モデルは「非常に非常に一生懸命」脆弱性を探します。なぜならフラッグが存在し、CTLゲームには必ず勝者がいるからです。「モデルが苦労したかどうか、すべての可能性を本当に探し尽くしたかどうかを判断するのは、モデルが苦手なことの一つです」と彼は言います。

さらに、研究者はバリデーターが脆弱性が本物であることを証明するために必要な証拠を非常に具体的に指定できます。これが重要だったとDolan-Gavitt氏は述べています。なぜなら、初期段階ではシステムにバグがあり、誤検知が発生していたからです。主な理由は、AIモデルが欠陥を見つけてユーザーの要求を満たしたいと強く思っているためです。

実際に試してみる

Dolan-Gavitt氏とXBOW開発チームが完成品のテスト準備を整えたとき、Docker Hubをスキャンし、テストに適した約6万のWebアプリケーションを発見しました。そのうち1万7千のアプリケーションを合成し、自動化ペンテスターを各アプリケーションに100回ずつ適用し、いくつかの特定の脆弱性クラスをターゲットにしました。

このモデルはDocker Hubイメージから174件の脆弱性を報告し、そのうち22件はCVEとして確認されました。また、XBOWが現在も調査中の潜在的な欠陥が650件以上見つかりました。

Dolan-Gavitt氏は、AI搭載ペンテスターが万能薬ではないと注意を促しています。XBOWでも、ビジネスロジックの欠陥のように自動検証が難しい脆弱性については、いくつか誤検知が発生しています。しかし、このモデルは今年HackerOneで強力な実績を築いており、XBOWのプロフィールによれば、合計285件の脆弱性が報告されています。

「言語モデルが脆弱性があると言っても信用しない方がいい理由をたくさん示せたと思います」とDolan-Gavitt氏はセッションで述べました。「でも、まだ希望はあります。なぜなら、決定論的に検証できることがたくさんあり、その検証を行うことで、このプロセスを本当にスケールさせて、たくさんのクールな脆弱性を見つけることができるからです。」