Anthropicは最新の大規模言語モデル「Claude Opus 4.6」を木曜日に公開したばかりだが、すでに舞台裏でそれを用いてオープンソースソフトウェアのゼロデイ脆弱性を特定している。
この試験では、Claudeを仮想マシン内に配置し、オープンソースプロジェクトの最新バージョンへのアクセスを与え、標準的なユーティリティや脆弱性解析ツール一式も提供したが、それらの使い方や、具体的にどのように脆弱性を特定するかについての指示は与えなかった。
こうしたガイダンスの欠如にもかかわらず、Opus 4.6は重大度の高い脆弱性を500件特定することに成功した。Anthropicのスタッフは、LLMが幻覚を起こしたり偽陽性を報告したりしていないことを確認するため、開発者にバグを報告する前に発見内容を検証していると、同社のブログ投稿で述べている。
しかし、一部のソフトウェア開発者は低品質なAI生成のバグ報告の多さに圧倒されており、少なくとも1社はAIで加速されたバグハンターによる悪用のためにバグ報奨金プログラムを停止している。
ソース: csoonline.com
