世界最大のソフトウェア脆弱性開示スキームのリーダーによれば、OpenAIやAnthropicなどのAI企業は、将来的にソフトウェア脆弱性開示においてより大きな役割を果たすべきである。
4月14日にアリゾナ州スコッツデールで開催されたVulnCon26の開幕式で講演したLindsey Cerkovnikは、AI企業は「Common Vulnerabilities and Exposures(CVE)プログラムでより良く代表されるべき」だと述べた。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の脆弱性対応・調整(VRC)支部長として、MITRE運営のCVEプログラムの唯一のスポンサーであるCISAを代表して、CerkovnikとそのチームはCVEプログラムの調整された脆弱性開示を管理している。
彼女は、プログラムが過去1年間に報告された脆弱性の急速な増加に直面しており、AI プラットフォームの進化がさらなる増加を加速させる可能性があることを認めた。
「新しいAIツールの到来により、有効な脆弱性を発見するのに役立つものもあれば、価値の低いものを見つけるものもあります。私たちは転換点にいます」とCerkovnikは述べた。
Anthropic、OpenAIがAIを活用した脆弱性研究で加速
CerkovnikのVulnConでのスピーチは、AnthropicのClaude Mythos Previewの公開のわずか数日後に行われた。このLLM(大規模言語モデル)は、サイバーセキュリティの脆弱性を規模に応じて自律的に発見・修正することを約束している。
現在、Mythosはプロジェクト・グラスウィングの40メンバーのみが利用可能である。
テストでは、このモデルは以前に特定されていなかった数千のゼロデイ脆弱性を発見したと言われており、その中には、ファイアウォールやその他の重要なインフラストラクチャを実行するために使用されるセキュリティが強化されたUNIXのようなオペレーティングシステムであるOpenBSDの27年前の脆弱性、およびビデオのエンコードおよびデコードに一般的に使用されるソフトウェアであるFFmpegの16年前の脆弱性が含まれている。
このモデルはまた、世界のほとんどのサーバを実行するために使用されるソフトウェアであるLinuxカーネルの複数の脆弱性を自律的に発見し、チェーンして、攻撃者が通常のユーザーアクセスから完全なマシン制御へのエスカレーションを可能にした。
シミュレーション環境でMythos Previewをテストした英国のAIセキュリティ研究所(AISI)の研究者は、Mythos Previewが「確かなことは言えない」と述べた。
4月14日、OpenAIはGPT-5.4-Cyberを公開した。これはサイバーセキュリティのユースケース向けに微調整されたGPT-5.4のバージョンで、「Trusted Access for Cyber Defense」プログラムのメンバーのみが利用可能である。
2026年に50,000~70,000のCVEが予想される
特に、脆弱性開示のペースはMythosとOpenAIのGPT-5.4-Cyberの公開よりもはるか前から加速していた。
CVEプログラムは現在327,000のユニークなCVEレコードを数えているが、Cisco Threat Detection & Responseの主任エンジニアであるJerry Gamblinは、2026年にそのうち18,274が報告されたことを観察し、これは2025年の同じ期間から27.9%の増加である。
さらに、Gamblinは今年1日あたり平均174のCVEが報告されていると計算し、2025年の132と比較している。
2026年2月、VulnConをCVEプログラムと共同主催するインシデント対応とセキュリティチーム(FIRST)は、2026年に記録破りの50,000個の追加CVEが報告されると予測した。
Gamblinはさらに大きな成長を予想しており、今年の終わりには70,135個のCVEが予測されており、これは2025年の48,171と比較して45.6%の成長率を反映している。
AI企業は公式な脆弱性レポーターになる可能性がある
AI企業がCVEプログラムにより統合される必要があるというCerkovnikの立場は、プログラムのより広い多様化戦略に位置している。
この戦略は、2025年7月に2つの新しいフォーラムの立ち上げによって示された。CVE消費者作業部会(CWG)およびCVE研究者作業部会(RWG)である。
しかし、現在の主な目的の1つは、CVE番号付与機関(CNA)の数を増やすことである。CNAは、脆弱性を公開し、CVE識別子を付与することが許可されている組織である。
2026年3月末、CVEプログラムは500人の貢献者のマークに到達したと発表し、現在502のCNAが登録されている。
Cerkovnikと並んで舞台上に招待されたEuropean Cybersecurity Agency(ENISA)のインシデントおよび脆弱性サービスセクターのヘッドであるNuno Rodrigues Carvalhoは、CVEプログラムの多様化はプログラムの国際化も意味し、今後より多くのヨーロッパベースのCNAが審査されると述べた。
トークの後にInfosecurityと話をした彼の同僚のJohannes Kaspar Closは、AI企業もCNAになることを歓迎すると述べた。
「製品と国のCERTおよびCSIRTから研究者や脆弱性発見者まで、多様なサイバーセキュリティの専門家を含む必要があります。Anthropicは脆弱性を特定した企業の一例であり、したがって、潜在的なCNAとして言及されることは当然です」とClosは述べた。
CVEプログラム:CISAの「最優先事項」
最後に、CerkovnikはCVEプログラムはCISAとその親機関である米国国土安全保障省(DHS)にとって「最優先事項」であり、セキュリティ庁は将来的にプログラムへの資金提供を継続すると述べた。
彼女は具体的な内容は明かさなかったが、「CVEプログラムの契約と資金は安全であり、資金は問題になったことはない」と述べた。
しかし、彼女は、DHSはまだ技術的にはシャットダウン状況にあり、それはCISAの意思決定を複雑にしており、VulnConへの参加など広報活動の支出に関する決定を含むと指摘した。
画像クレジット:Koshiro K / gguy /Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/ai-companies-to-play-bigger-role/
