2025年9月3日Ravie Lakshmanan人工知能 / 脆弱性
脅威アクターは、新たにリリースされた人工知能(AI)による攻撃的セキュリティツール「HexStrike AI」を利用し、最近公開されたセキュリティ脆弱性の悪用を試みています。
HexStrike AIは、その公式サイトによると、AI駆動型のセキュリティプラットフォームとして、レッドチーム演習やバグバウンティ、CTF(キャプチャ・ザ・フラッグ)チャレンジの迅速化を目的に、偵察や脆弱性発見を自動化するためのものとされています。
GitHubリポジトリで共有されている情報によれば、このオープンソースプラットフォームは150以上のセキュリティツールと統合し、ネットワーク偵察、Webアプリケーションのセキュリティテスト、リバースエンジニアリング、クラウドセキュリティを支援します。また、脆弱性インテリジェンス、エクスプロイト開発、攻撃チェーン発見、エラー処理に特化した数十種類のAIエージェントもサポートしています。
しかしCheck Pointのレポートによると、脅威アクターはこのツールを悪用し、公開されたばかりのセキュリティ脆弱性を攻撃するために武器化しようとしています。
「これは重要な転換点です。防御を強化するために設計されたツールが、急速に悪用のためのエンジンへと転用され、従来の概念が現実世界の攻撃を推進する広く利用可能なプラットフォームとして結晶化しました」と、サイバーセキュリティ企業は述べています。
ダークネットのサイバー犯罪フォーラムでは、脅威アクターがHexStrike AIを使ってCitrixが先週公開した3つのセキュリティ脆弱性をすでに悪用したと主張しており、場合によっては脆弱と思われるNetScalerインスタンスを他の犯罪者に販売するためにリストアップしているケースも見受けられます。
Check Pointは、このようなツールの悪用はサイバーセキュリティに重大な影響を及ぼし、公開から大規模な悪用までの時間を短縮するだけでなく、悪用活動の自動化を並列化することも可能にすると指摘しています。
さらに、人間の労力を削減し、失敗した攻撃の再試行を自動で繰り返し成功するまで実行できるため、サイバーセキュリティ企業は「全体の悪用成功率が向上する」と述べています。
「直ちに優先すべきは、影響を受けたシステムのパッチ適用と強化です」と同社は付け加えています。「HexStrike AIは、AIによるオーケストレーションが脆弱性の武器化を迅速かつ大規模に進めるという、より広範なパラダイムシフトを象徴しています。」
この発表は、Alias RoboticsとOracle Corporationの2人の研究者が新たに発表した研究で、PentestGPTのようなAI駆動型サイバーセキュリティエージェントにはプロンプトインジェクションのリスクが高く、隠された指示によってセキュリティツールがサイバー兵器に変わり得ると指摘したことを受けたものです。
「狩る者が狩られる者となり、セキュリティツールが攻撃ベクトルとなり、ペネトレーションテストとして始まったものが、最終的には攻撃者がテスターのインフラにシェルアクセスを得る結果となる」と、研究者のVíctor Mayoral-Vilches氏とPer Mannermaa Rynning氏は述べています。
「現在のLLMベースのセキュリティエージェントは、包括的な防御策なしに敵対的環境で運用するには根本的に安全ではありません。」
翻訳元: https://thehackernews.com/2025/09/threat-actors-weaponize-hexstrike-ai-to.html