穴を見つけても、修正できなければ何の役に立つのか。Anthropicは先週、ソフトウェア脆弱性を発見してパッチを提案するClaudeコードの能力向上について語った。しかし、セキュリティ研究者たちはそれでは不十分だと指摘している。
このAI企業は、Claude Code Securityと呼ぶ研究プレビュー機能について、セキュリティチームが見落とす可能性のある欠陥を発見・修正するための手段として説明している。
「これはサイバーセキュリティにとって極めて重要な時期です」と同社は述べています。「モデルが長く隠れていたバグとセキュリティ問題の発見にいかに有効かを考えると、世界中のコードのかなりの部分がAIによってスキャンされることになると予想しています。」
Claude Code Securityのバグ発見能力を強調するために、同社は、自社のレッドチームがClaude Opus 4.6を使用して、本番環境のオープンソースコードベースで「500以上の脆弱性を発見した」ことを指摘した。
MicrosoftおよびPalo Alto Networksでセキュリティ研究者として勤務した経験を持つステルススタートアップ創設者のGuy AzariはThe Registerに対して、「彼らが報告した500の脆弱性のうち、実際に修正されたのはわずか2~3です。修正されていないということは、彼らが正しい対応をしていないということです」と述べた。
Azariは、Common Vulnerabilities and Exposures(CVE)の割り当てが不在であることが、セキュリティプロセスが不完全なままであることの証拠だと指摘した。脆弱性の発見は決して問題ではなかったと彼は述べ、Microsoft Security Response Centerで脆弱性管理を担当していた経験を引き合いに出した。
「毎日報告書が送られてきました」と彼は述べた。「AIが導入されると、報告書は100倍から200倍に増えてしまいました。AIはこれらが脆弱性だと仮定しますが、実際の価値や現実への影響を示すユニットがないために、多くのノイズが追加されたのです。そしてそれがなければ、修正しようとはしないでしょう。」
Azariによると、2025年には、National Vulnerability Databaseに分析待ちの約30,000のCVEエントリーのバックログがあり、報告されたオープンソースの脆弱性の約3分の2がNVD重大度スコアを欠いていた。オープンソースのメンテナーはすでに疲弊していると彼は言い、AIや人からの不完全な報告書を避けるために、curlプロジェクトがバグ報奨金プログラムを終了した例を挙げた。
「curlのメンテナーは2ヶ月前くらいにプログラムを終了しました。あまりにも多くの誤検知を受け取ってしまい、その負荷に対応できなかったからです」と彼は説明した。「つまり、Claudeが彼らにもっと多くの問題をもたらすことで、むしろ彼らの役に立っていなかった可能性があります。しかし、これらの問題は検証されていず、具体的でもありません。修正ではなく、むしろ混乱を拡大させているようなものです。」
Anthropicはオフレコでのコメントを拒否しましたが、同社のレッドチームの投稿から、その研究者たちが特定された脆弱性に対処するためにオープンソースメンテナーと協力していることがわかります。したがって、発見の詳細については今後表面化する可能性があります。
セキュリティ企業Socketの最高経営責任者Feross AboukhadijehはThe Registerへのメールで、CVEは調整開示の一部に過ぎないため、CVEの公開は直ちに期待されるべきではないと述べた。
「Anthropicチームが500以上の信頼できる脆弱性候補を発掘したことに疑いはありません」とAboukhadijehは述べた。「これは、モデルが脆弱なコードの検出にますます優れるようになっているという業界全体で見ている傾向と一致しています。大規模モデルがコードベースの探索とコンポーネント間の推論にますます優れるようになるにつれて、発見はますます安価になっています。
「より難しいのは問題を見つけることではなくなります。その後に起こるすべてのことです。
「脆弱性候補を、メンテナーと顧客が実際に対応できるように検証され、再現可能な発見に変えるには時間がかかります。影響を受けるバージョンの確認、現実世界への影響の評価、メンテナーとの調整、プロジェクトのアーキテクチャに合わせたパッチの開発などが必要です。」
Aboukhadijehは、セキュリティに最適化された強力なAIツールの普及により、セキュリティチームがパッチ、アップグレード、緊急修正の増加する流れに直面するようになると予想しています。セキュリティはメンテナーの優先順位付け、テスト、リファクタリング能力によって制限されるだろうと彼は予想しています。
Socketがこれに対処しようとする1つの方法は、Certified Patchesを通じてです。これは、ライブラリバージョン互換性の競合によって問題が生じるリスクがある、パッチされたバージョンへの依存関係更新の代わりとなる、既存の依存関係への直接的な変更で構成されています。
「私たちは開示が改善能力を上回るポイントに近づいています」と彼は述べた。「競争上の優位性は、最も多くの発見を生成できる者にはなく、発見を安全で優先順位付けされた、影響の小さい変更に変換できる者にあるでしょう。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/24/ai_finding_bugs/
