AIによる脆弱性検知の進化とリスクNew
はじめに
AIは、コード生成や文章作成の支援だけでなく、脆弱性検知やセキュリティ調査の領域でも急速に存在感を高めています。特に 2026年春に相次いだAnthropic社のMythos PreviewとOpenAI社のGPT-5.5のリリースは、フロンティアAI、すなわち最先端の大規模AIモデルのサイバー能力が、研究開発にとどまらず、政策、産業、実務といった現実的な問題になったことを示しました。英国の AI Security Institute(AISI)はMythos Preview[1]とGPT-5.5[2]について、多段階の攻撃シナリオを含む評価で大きく進歩していることを報告しています。図1に、英国AISIが実施したフロンティアAIによるセキュリティ演習競技(Capture The Flag, CTF)の解決能力の比較を示します。
もっとも、こうした事例を見て直ちに「AIが人間のセキュリティ専門家を置き換える」と結論づけるのは早計です。現時点で重要なのは、AIが脆弱性検知のどこで力を発揮し、どこに限界があり、どのような統制のもとで使うべきかを冷静に切り分けることです。本記事では、AIによる脆弱性検知の仕組み、現在の能力水準や期待と限界、そして必要となるガバナンスを順に整理します。

図1 フロンティアAIによるセキュリティ演習競技(CTF)の比較。参考文献[2]を参考に筆者作図。
AIによる脆弱性検知
従来の脆弱性検知
従来の脆弱性検知では、ソースコードやバイナリ、通信やコンピュータ上でのソフトウェアの振舞いを対象に、静的解析、動的解析、ファジング、手動レビューといった手法が使われてきました。静的解析はコードを実行せずに危険な実装パターンを探し、動的解析は実際の実行結果から異常を捉えます。ファジングは大量の入力を与えて異常終了や不正挙動を引き起こし、手動レビューは専門家が設計や実装の意図を踏まえて問題を見抜きます。
さらに実践的な手法として、実際の攻撃者の視点で対象システムを調べるペネトレーションテストや、より継続的かつ組織的に攻撃と防御を模擬するレッドチーミングも行われています。こうした手法はそれぞれ強みを持つ一方で、調査コスト、専門人材不足、法的制約といった課題を抱えており、単独で完全な網羅を実現することは難しいのが実情です。
大規模言語モデルによる支援
ここで注目されているのが、大規模言語モデル(Large Language Model: LLM)による支援です。従来ツールがパターンマッチや実行トレースに強みを持つのに対し、LLMはコードの意味を文脈ごとに読み取り、「なぜ危険なのか」を自然言語で説明できます。この違いは、単に候補を列挙するだけでなく、候補の意味づけや優先順位付けに役立つ点で大きいといえます。
たとえば、ある関数や処理系に脆弱性候補が見つかったとき、LLMは攻撃者がどのような前提条件でそれを悪用しうるかを推論し、修正の優先度を判断する材料となる情報を提供できます。また、修正案やパッチのたたき台を作ったり、検知結果として出力される大量のアラートを要約・整理したりすることで、専門家の調査コストを下げられます。
ただし、LLMがもっともらしい脆弱性候補を挙げたとしても、それが本当に深刻な問題かどうかは別に検証する必要があります[3]。LLMのハルシネーションによって誤った判断が出力されることもあれば、ソースコードだけを見れば危険に見える実装でも、実際にはファイアウォールや権限設定など、LLMに与えていない外部の防御によってリスクが抑えられている場合もあります。したがって、LLM の支援能力と、脆弱性検知の最終精度は分けて考える必要があります。
エージェント型AIへの発展
このように、LLMは脆弱性候補の整理や説明には有用です。しかし、実際の脆弱性検知では、候補を挙げるだけでなく、コードを実行し、結果を確かめながら仮説を絞り込む工程も重要です。そこで注目されているのが、単に質問に答える「応答型」のLLMから、さらに一歩進んだエージェント型AIです。ここでいうエージェント型AIとは、自律的にツールを呼び出し、コードを実行し、結果を観察し、その結果に応じて次のアクションを選ぶAIのことです。
Anthropic社やOpenAI社のモデルで注目されたのも、この反復的な調査プロセスです。対象コードの読解、仮説生成、バイナリの逆解析、デバッガや補助スクリプトの利用、結果の再検証を繰り返すことによって、単一の問いかけでは到達しにくい複雑な攻撃経路や連鎖脆弱性を探索できる可能性が出てきました。脆弱性検知AIは「読むAI」から「調査するAI」へと進化しており、専門家の試行錯誤の一部を自律的に担えるようになりつつあります。
フロンティアAIが示す現在地
フロンティアAIのサイバー能力
フロンティアAIは、脆弱性発見や攻撃支援に実用できる水準に近づいていると言えます。Anthropic社は Mythos Previewについて、主要OSや主要ブラウザを含む実在ソフトウェアでゼロデイ脆弱性を発見し、場合によっては 脆弱性を悪用して攻撃を実行するExploitコードの開発まで到達したと主張しました。Anthropic社によるとOpenBSDやFFmpeg、FreeBSD NFSサーバなどが例示されており、同社はこの能力向上を理由に「Project Glasswing」を立ち上げました[4]。
これに対し、英国AISI は第三者評価として、Mythos Previewをサイバー課題で検証しました。英国AISI の報告では、Mythos PreviewはExpert級のセキュリティ課題(Capture The Flag, CTF)で高い成功率を示し、企業ネットワーク侵入を模した「The Last Ones」というサイバーレンジを 10 回中 3 回完走したとされています。ここでいうサイバーレンジとは、複数のホストやサービス、脆弱性を持つ模擬ネットワーク環境であり、AIエージェントが自律的に侵入経路を探索する評価環境です。
さらに英国AISI は、OpenAI社の GPT-5.5についても、高い成績を確認しています。このことから、フロンティアAIの能力向上がMythos Previewに限ったものではなく、複数の開発元にまたがる可能性が示唆されています。
共通して浮かび上がる問い
これらの事例が共通して示すのは、AIの高度なサイバー能力が防御にも攻撃にも転用できるという構造的問題です。だからこそ Anthropic社の「Project Glasswing」では、能力そのものを制限するのではなく、「誰に」「どの条件で」使わせるかを絞る方向で対応しています。つまり、問題は能力の有無よりも、その能力をどう統制するかに移っているのです。
この点は、金融分野の脅威モデルを論じた論文[5]でも指摘されています。この論文では、Mythosのようなモデルがまったく新しい脆弱性の種類を生むのではなく、既存リスクの発見速度、悪用速度、連鎖速度を押し上げることで脅威の深刻度を変えると整理しています。
ここで、能力が伸びたことによって生じるリスクは、大きく2つに整理できます。ひとつは、高い能力が攻撃者に転用される悪用リスクであり、もうひとつは、AIの出力が誤っていたり過信されたりする信頼性リスクです。前者は「誰にどう使わせるか」という統制を、後者は「AIの判断をどこまで信頼してよいか」という見極めを要求します。次章ではまず後者の信頼性リスクを能力の限界として掘り下げ、続く4章で両者に対するガバナンスを整理します。
AI脆弱性検知の可能性と限界
AIが効果を発揮しやすい領域
AIが最も力を発揮しやすいのは、人間が短時間では追い切れない情報を広く見渡す工程です。大規模コードレビュー、既存アラートの整理、類似パターンの洗い出しといった作業では、AIは探索速度を大きく高められます。とくにMythos PreviewやGPT-5.5の事例が示したのは、セキュリティ検証の工程を反復しながら候補を絞り込む能力であり、これは従来の単発的な質問応答とは異なる価値を持ちます。
また、AIは脆弱性の原因候補を列挙したり、修正パッチのたたき台を作成したりする補助にも向いています。インシデント対応メモや報告書の骨子を素早く整えられる点も、セキュリティ人材が不足する現場では無視できない利点です。したがって、AIの価値は現時点では最終判断を完全に自動化することよりも、人間が重点的に確認すべき箇所を絞り込むことにあります。
それでも限界が残る理由
もっとも、AIが候補を挙げられることと、それが本当に脆弱性であることは同じではありません。誤検知も見逃しも起こりえますし、コード上は危険に見えても、実環境では権限設定やネットワーク構成、監視体制のために悪用困難な場合があります。逆に、一見軽微に見える欠陥が、特定条件のもとで重大な攻撃経路になることもあります。
この難しさは、Mythos関連の報告でよく表れています。例えば、脆弱性が含まれるソースコードを与えたとき、モデルはもっともらしい別の候補に早く飛びつき、実際に見つけるべき脆弱性に到達できないことが少なくありませんでした。これは、モデルの脆弱性発見能力が万能ではなく、探索戦略や検証工程に大きく依存することを示しています。
修正提案についても同様の注意が必要です。AIが生成したパッチは一見妥当に見えても、副作用として別の不具合や性能低下を招くことがあります。さらに、英国AISIのサイバーレンジ評価では、実験環境には能動的防御者や検知・遮断のペナルティ、運用上の制約が含まれていないため、実験環境での成功をそのまま現実に一般化できないと指摘されています。修正の妥当性は対象のコードだけを見て判断できるものではなく、サプライチェーン依存や複雑な実行環境まで含めて評価する必要があるため、最終的には人間の専門家がレビューし、妥当性を検証する工程が不可欠です。
ゼロデイ発見はどう捉えるべきか
近年のモデル評価を見ると、AIが未知の脆弱性、すなわちゼロデイ脆弱性の発見を支援する可能性は確かに高まっています。Anthropic社は Mythos Preview について、実在ソフトウェアでのゼロデイ発見や Exploit開発を強く打ち出しており、英国AISI の評価も長い攻撃シナリオでの前進を認めています。したがって、ゼロデイ探索をめぐるAIの潜在能力を軽視するのは適切ではありません。
しかし、そこから直ちに「AIが複雑なゼロデイを完全自律で発見し、検証し、悪用可能性まで判断できる」と結論づけるのは早計です。再発見研究が示すように、モデルは有望な候補を出せても、真の不変条件や根本原因に届かないことがあります。実験室環境での成功は重要なシグナルではありますが、現実の開発・運用環境では、コード以外の文脈、検証コスト、誤判定の影響、防御側の対策が大きく効きます。したがって当面は、「AIが専門家を置き換える」とみるより、「専門家の探索範囲と検証速度を拡張する」と捉えるのが適切です。
AI利用におけるガバナンス
自分たちの能力をどう統制するか
自分たちの手の内にある能力をどう統治するかです。これには、モデルそのものの設計、すなわち危険出力の抑制、悪用意図の検知、サイバー関連タスクのリスク分類、Jailbreak やプロンプトインジェクションへの対策があります。ただし、これだけで十分とはいえません。英国AISIのGPT-5.5を使った評価では、安全機構の評価中に Jailbreakする方法が見つかったとされました(その後、OpenAI社は安全機構を更新したものの、英国AISIは最終構成の有効性までは検証できなかったとしています)。
そこで重なるのが、誰にどこまで使わせるかという利用者のアクセス統制です。本人確認や組織審査を通じて、無制限な公開ではなく一定の条件を満たした利用者にアクセスを限定し、用途を防御・研究目的に絞り、利用ログを監査します。Anthropic社の「Project Glasswing」や、防御者向けアクセスに絞る提供方針は、その具体例です。
さらに、利用する組織の側にも運用ルールが要ります。具体的な方法としては、サンドボックス環境での実行、PoC や疑似攻撃コードの取り扱いルール、人間によるレビューの挿入、脆弱性を見つけた場合の責任ある開示、利用者の教育などが考えられます。特に信頼性リスクに対しては、人間によるレビュー、検証環境での再現確認、変更承認のプロセス、監査記録の保存といった運用上の統制が重要になります。
攻撃者の能力にどう対抗するか
攻撃者は、4.1節で述べた統制に従わない形でAIを使う可能性もあります。たとえば、安全機構を回避する Jailbreak、利用条件に反した不正利用、あるいは同等の能力を持つ別モデルの利用などにより、自組織の統制だけでは抑えきれないケースが考えられます。
これには、防御側の立場で考えると、予防だけでなく、検知とインシデント対応も重視することが重要になります。すなわち、AIを用いた攻撃の兆候を見つける検知エンジニアリングや異常監視、脅威インテリジェンスの共有、そして悪用が確認された際のインシデント対応です。金融分野の文献が指摘するように、フロンティアAIは脅威の種類そのものより、発見・悪用・連鎖の速度を押し上げます。防御側もまた、検知と対応の速度を上げて追随しなければなりません。
防御促進と悪用防止
以上の2つの軸は、別々のものではなく、ひとつの問いの両面です。攻撃者の能力に対抗するには、防御側も防御能力を高める必要があり、その一方で、同じ能力が攻撃者に渡ることは抑えなければなりません。
そして、この両立は技術的な仕組みだけで実現できるものではなく、誰がどの能力を使ってよいかを管理し、その使用を後から検証できる組織的な責任の設計を伴います。法務分野の文献[6]も、生成AIの利用がすでに説明責任、監査、権限管理、組織ルール整備を伴うコンプライアンス課題になっていると整理しています。AIのサイバーセキュリティ能力に対するガバナンスでは、単一の安全機構を置くことではなく、モデル設計・利用者管理・組織運用といった自分たちの能力の統制と、防御側の能力の底上げの双方が必要と言えます。
まとめ
AIによる脆弱性検知は、防御側にとって大きな機会です。Mythos PreviewとGPT-5.5の事例は、フロンティアAIのサイバー能力が実際に伸びており、その扱いが技術と政策の両面で課題になっていることを示しました。一方で、論文や英国AISIのレポートが示唆するように、実験環境での成功をそのまま現実世界の話に読み替えるべきではありません。現時点での適切な見方は、AI脆弱性検知がゼロデイ発見を含むセキュリティ研究を加速しうる一方、その価値は当面、専門家を置き換えることよりも、探索範囲と検証速度を広げる点にある、というものです。そして忘れてはならないのは、この能力が防御側だけのものではなく、攻撃側にも同じように開かれているということです。したがって今後は、自分たちが扱う能力を統制する守りの備えと、統制に従わない攻撃者に対抗する攻めの備えとを組み合わせた、多層的なガバナンスが重要になります。
参考文献
[1] AI Security Institute, “Our evaluation of Claude Mythos Preview’s cyber capabilities,” 2026-04-13. https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
[2] AI Security Institute, “Our evaluation of OpenAI’s GPT-5.5 cyber capabilities,” 2026-04-30. https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities
[3] Isaac David and Arthur Gervais, “Benchmarking Mythos-Linked Bug Rediscovery,” arXiv, 2026-05-17. https://arxiv.org/abs/2605.17416v1
[4] Anthropic, “Assessing Claude Mythos Preview’s cybersecurity capabilities,” 2026-04-07. https://www.anthropic.com/research/mythos-preview
[5] Jay Prakash, “Frontier AI and the Financial Services Threat Model: Implications of Anthropic’s Claude Mythos Preview for UK Banks and Building Societies,” 2026-04. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6640179
[6] Barry Appleton, “Artificial Intelligence and International Arbitration: A Comprehensive Listing of Governing Laws, Institutional Rules, Professional Responsibility Standards, and Guidance,” 2026-05-04. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6631182