ハクソク

世界を動かす技術を、日本語で。

LLMによる搾取生成の産業化の進展

2026年1月19日原文(sean.heelan.io)

概要

  • Opus 4.5とGPT-5.2を用いたゼロデイ脆弱性の自動エクスプロイト作成実験の要点
  • 実験では6つのシナリオで40以上の独自エクスプロイトを生成
  • LLMの進化により、攻撃的サイバーセキュリティの工業化が現実味を帯びる
  • 今後は「人材数」より「トークン処理量」が攻撃能力の制限要因となる可能性
  • 実験結果と今後の課題、AIモデル評価への提言を提示

Opus 4.5とGPT-5.2によるゼロデイエクスプロイト自動生成実験

  • Opus 4.5とGPT-5.2を活用した QuickJS JavaScriptインタプリタ のゼロデイ脆弱性へのエクスプロイト自動作成実験
  • 最新のエクスプロイト対策 (ASLR、CFI、seccomp等)や様々な制約条件を設定
  • 目的: シェル生成、ファイル書き込み、C2サーバ接続 など複数
  • GPT-5.2は全シナリオを解決、Opus 4.5は2件を除き全て成功
  • Githubに詳細な技術レポートと再現用コード、実験データを公開

実験の特徴と成果

  • 両エージェントはQuickJS脆弱性を利用し、 ターゲットプロセスのアドレス空間操作API を自力で開発
  • 公開されていないゼロデイ脆弱性のため、 ソースコード読解・デバッグ・試行錯誤 を自動実施
  • 1チャレンジあたり 1時間以内・低コスト で解決するケースが大半
  • トークン上限30M(約30ドル/回)、最難関課題では50Mトークン・3時間・約50ドルで解決
  • GPT-5.2は glibcのexitハンドラを7段階で連鎖 させる新規手法を自力発見

実験の限界と考察

  • QuickJSはChromeやFirefoxのJSエンジンと比べ 規模・複雑性が1桁小さい
  • LLMが同様の手法で大規模ターゲットに通用するかは 未検証
  • 生成されたエクスプロイトは、 既知の保護機構の隙間 を突くもの
  • 真に新規な保護突破ではなく、 人間のエクスプロイト開発者と同様のアプローチ
  • ただし、 全体のエクスプロイトチェーンや手法の組み合わせは新規性あり

サイバー侵入の工業化

  • 工業化 とは、組織の攻撃力が「投入トークン量」で決まる状態
  • LLMエージェントが ソリューション空間探索 を自律的に実施できることが前提
  • 検証環境も自動化されており、 人手不要で高速な検証 が可能
  • エクスプロイト開発は工業化に最適な分野
  • 実環境での オンライン探索が必要な攻撃フェーズ (ラテラルムーブメント、権限維持等)は工業化が難しい可能性

トークン投入による成果向上

  • OpenAIの Aardvarkプロジェクト でも、投入トークン量とバグ発見数・質の向上が報告
  • 難易度の高い課題ほど トークン消費を増やすことで解決可能
  • 制限要因はモデル性能より 予算やトークン上限

工業化が難しいタスクと今後の指標

  • SREやシステム管理者の自動化が完全に実現していない現状
  • 本番ネットワーク内での自律的な意思決定と失敗時のリスク が高いタスクは自動化困難
  • SRE自動化エージェントの商用化が進めば、同等の技術が 攻撃タスクにも転用 される可能性

モデル評価への提言と今後の展望

  • 現行のCTFや合成データ、既知脆弱性による評価は 現実的な自動エクスプロイト能力の指標にならない
  • Frontier LabsやAI Security Instituteには 本物のゼロデイ・難易度の高いターゲット での公開評価を推奨
  • 次世代LLMのリリース時には「 X億トークンをLinuxカーネルやFirefoxに投入し、Y件のエクスプロイトを生成」というような報告を期待
  • OpenAIのAardvarkプロジェクトに加え、 発見した脆弱性の実際のエクスプロイト作成プロジェクト も必要

補足

  • この記事の詳細および実験再現用コードは Github にて公開中
  • 今後は AIとサイバー攻撃の工業化時代 に備えた議論・対策が急務

Hackerたちの意見

誰を信じればいいのか、本当にわからないな。LLMが素晴らしいエクスプロイトを作ってるって言ってる人たちと、LLMが役に立たないバグレポートを送ってるって主張してる人たち。どっちも本当だとは思えないんだよね。

なんで両方が真実にならないの?どのLLMシステムから出てくる出力の質も、それを使う人間を通してフィルタリングされるんだよ。LLMが生成した「レポート」を問題管理システムにペーストするバカがいるからって、LLMから良い結果を引き出す方法を知ってる専門家の努力が否定されるわけじゃない。

両方とも真実だよ、違いはLLMを使ってレポートを生成するプログラムを作る人たちのスキルレベルだね。curlのバグバウンティプログラムで見かけるAIのゴミは、そもそもハッカーじゃない人たちから来てることが多い。逆に、著者のような人は明らかにセキュリティリサーチに熟練していて、確実に有効なバグを報告するだろう。同じことは、LLMを使ったエクスプロイト開発を行っている人たちにも言えるよ。アメリカではXbowがかなりのスキルを持った研究者を雇って、かなり期待できる開発をしてたしね。

もし役に立つなら、これを読んだのは(ここに来る前に)Halvar FlakeがTwitterでみんなに読むように言ってたからだよ。

エクスプロイトに関しては、試してみて、うまくいくかどうかだよね。攻撃者は成功したものがなぜうまくいったのかを分析することには特に興味がない。CVEレポートは、可哀想なメンテナーがそれを確認してトリアージしなきゃいけなくて、こっちの方がずっと大変だし、非対称的だよ。報告者は大量にスパムレポートを生成できるけど、各レポートは詳細な分析が必要だからね。

これらのエクスプロイトは、それぞれ50ドルのAPIクレジットがかかってたんだ。バグハンティングで100ドル使って5001件の問題を受け取ったとして、そのうちの一つが50ドルで、他の5000件がそれぞれ1セントだったら、完璧な文法と馴染みのあるサイバーセキュリティ用語を使っても、見た目では区別がつかないから、ダイヤモンドを見つけるのは難しいよね。

両方とも真実になり得るよ。各グループが自分たちの立場を支持するLLMの出力を選択的に提供するからね。要するに、この状況は「無限の猿定理」の一形態として考えられる。結果の範囲が「純粋にランダム」から「統計的に関連性が高い」へと大幅に縮小される感じ。上記の定理についての面白い概要はここを見てね。

LLMは良い出力と悪い出力を生み出す。ポイントは、どれがどれかを見極めることだね。良い出力が簡単に区別できるタスクでは彼らは優れている。例えば、バグのための小さな再現例を作るのにたくさん成功してる。巨大なコードの山から奇妙な挙動Aが出てきて、それを小さな例でどうやって引き起こすかを考えるんだ。多くの場合、うまくいくし、間違った場合はその例がAを実際にはやっていないから簡単に検出できる。無駄なバグ報告を送る人たちは、良い出力をチェックしてないんだよね。

両方とも正しいよ。エクスプロイトは非常に狭い問題で、成功の指標が明確なんだ。一方で、LLMの根強い持続性を自然に補完している。バグレポートは比較するとずっと曖昧で、オープンエンドの目標があって、プロンプターが知らないうちに宿題を手抜きするような感じになる。

確かにそういうこともあるよ(私の経験上)、LLMの使い方によって出力の質に大きな差が出るから。例えば、ブラウザでツールを使わずに「このプログラムの脆弱性を見つけて」とLLMに聞いたら、何かは出てくるけど、ほとんどが幻覚か無関係なものになる可能性が高い。でも、同じLLMモデルをエージェント経由で使って、成功を証明するための具体的なガイダンスと環境を提供すれば、良い結果が得られる可能性が高くなる。Claudeのコードのように、テスト環境を提供しないと、コーディングでミスをしがちで「大丈夫」と言ってくるけど、テストループを提供すれば、実際に動くまで繰り返してくれる。

使っているモデルによるね。OpusのバグレポートとGemma3のバグレポートは同じレベルじゃないよ。

著者の意見には面白い点があるけど、あんまり心配してないよ。これらのツールは、防御側にも対称的に使える感じがするし。コードや大きなリリースをマージする前に「LLMレッドチーム」をCIで実行するっていう明確な道筋が見える。ちょっと時間がかかるテスト(コストは無視してるけど)だから、パイプラインの中でファジングに似てる気がする。新しいツール、新しい脅威、新しい解決策だね。

Hacker Newsで議論の続きを見る