ハクソク

世界を動かす技術を、日本語で。

LLMによる搾取生成の産業化の進展

111日前原文(sean.heelan.io)

概要

  • Opus 4.5とGPT-5.2を用いたゼロデイ脆弱性の自動エクスプロイト作成実験の要点
  • 実験では6つのシナリオで40以上の独自エクスプロイトを生成
  • LLMの進化により、攻撃的サイバーセキュリティの工業化が現実味を帯びる
  • 今後は「人材数」より「トークン処理量」が攻撃能力の制限要因となる可能性
  • 実験結果と今後の課題、AIモデル評価への提言を提示

Opus 4.5とGPT-5.2によるゼロデイエクスプロイト自動生成実験

  • Opus 4.5とGPT-5.2を活用した QuickJS JavaScriptインタプリタ のゼロデイ脆弱性へのエクスプロイト自動作成実験
  • 最新のエクスプロイト対策 (ASLR、CFI、seccomp等)や様々な制約条件を設定
  • 目的: シェル生成、ファイル書き込み、C2サーバ接続 など複数
  • GPT-5.2は全シナリオを解決、Opus 4.5は2件を除き全て成功
  • Githubに詳細な技術レポートと再現用コード、実験データを公開

実験の特徴と成果

  • 両エージェントはQuickJS脆弱性を利用し、 ターゲットプロセスのアドレス空間操作API を自力で開発
  • 公開されていないゼロデイ脆弱性のため、 ソースコード読解・デバッグ・試行錯誤 を自動実施
  • 1チャレンジあたり 1時間以内・低コスト で解決するケースが大半
  • トークン上限30M(約30ドル/回)、最難関課題では50Mトークン・3時間・約50ドルで解決
  • GPT-5.2は glibcのexitハンドラを7段階で連鎖 させる新規手法を自力発見

実験の限界と考察

  • QuickJSはChromeやFirefoxのJSエンジンと比べ 規模・複雑性が1桁小さい
  • LLMが同様の手法で大規模ターゲットに通用するかは 未検証
  • 生成されたエクスプロイトは、 既知の保護機構の隙間 を突くもの
  • 真に新規な保護突破ではなく、 人間のエクスプロイト開発者と同様のアプローチ
  • ただし、 全体のエクスプロイトチェーンや手法の組み合わせは新規性あり

サイバー侵入の工業化

  • 工業化 とは、組織の攻撃力が「投入トークン量」で決まる状態
  • LLMエージェントが ソリューション空間探索 を自律的に実施できることが前提
  • 検証環境も自動化されており、 人手不要で高速な検証 が可能
  • エクスプロイト開発は工業化に最適な分野
  • 実環境での オンライン探索が必要な攻撃フェーズ (ラテラルムーブメント、権限維持等)は工業化が難しい可能性

トークン投入による成果向上

  • OpenAIの Aardvarkプロジェクト でも、投入トークン量とバグ発見数・質の向上が報告
  • 難易度の高い課題ほど トークン消費を増やすことで解決可能
  • 制限要因はモデル性能より 予算やトークン上限

工業化が難しいタスクと今後の指標

  • SREやシステム管理者の自動化が完全に実現していない現状
  • 本番ネットワーク内での自律的な意思決定と失敗時のリスク が高いタスクは自動化困難
  • SRE自動化エージェントの商用化が進めば、同等の技術が 攻撃タスクにも転用 される可能性

モデル評価への提言と今後の展望

  • 現行のCTFや合成データ、既知脆弱性による評価は 現実的な自動エクスプロイト能力の指標にならない
  • Frontier LabsやAI Security Instituteには 本物のゼロデイ・難易度の高いターゲット での公開評価を推奨
  • 次世代LLMのリリース時には「 X億トークンをLinuxカーネルやFirefoxに投入し、Y件のエクスプロイトを生成」というような報告を期待
  • OpenAIのAardvarkプロジェクトに加え、 発見した脆弱性の実際のエクスプロイト作成プロジェクト も必要

補足

  • この記事の詳細および実験再現用コードは Github にて公開中
  • 今後は AIとサイバー攻撃の工業化時代 に備えた議論・対策が急務

Hackerたちの意見

誰を信じればいいのか、本当にわからないな。LLMが素晴らしいエクスプロイトを作ってるって言ってる人たちと、LLMが役に立たないバグレポートを送ってるって主張してる人たち。どっちも本当だとは思えないんだよね。

なんで両方が真実にならないの?どのLLMシステムから出てくる出力の質も、それを使う人間を通してフィルタリングされるんだよ。LLMが生成した「レポート」を問題管理システムにペーストするバカがいるからって、LLMから良い結果を引き出す方法を知ってる専門家の努力が否定されるわけじゃない。

両方とも真実だよ、違いはLLMを使ってレポートを生成するプログラムを作る人たちのスキルレベルだね。curlのバグバウンティプログラムで見かけるAIのゴミは、そもそもハッカーじゃない人たちから来てることが多い。逆に、著者のような人は明らかにセキュリティリサーチに熟練していて、確実に有効なバグを報告するだろう。同じことは、LLMを使ったエクスプロイト開発を行っている人たちにも言えるよ。アメリカではXbowがかなりのスキルを持った研究者を雇って、かなり期待できる開発をしてたしね。

もし役に立つなら、これを読んだのは(ここに来る前に)Halvar FlakeがTwitterでみんなに読むように言ってたからだよ。

エクスプロイトに関しては、試してみて、うまくいくかどうかだよね。攻撃者は成功したものがなぜうまくいったのかを分析することには特に興味がない。CVEレポートは、可哀想なメンテナーがそれを確認してトリアージしなきゃいけなくて、こっちの方がずっと大変だし、非対称的だよ。報告者は大量にスパムレポートを生成できるけど、各レポートは詳細な分析が必要だからね。

これらのエクスプロイトは、それぞれ50ドルのAPIクレジットがかかってたんだ。バグハンティングで100ドル使って5001件の問題を受け取ったとして、そのうちの一つが50ドルで、他の5000件がそれぞれ1セントだったら、完璧な文法と馴染みのあるサイバーセキュリティ用語を使っても、見た目では区別がつかないから、ダイヤモンドを見つけるのは難しいよね。

両方とも真実になり得るよ。各グループが自分たちの立場を支持するLLMの出力を選択的に提供するからね。要するに、この状況は「無限の猿定理」の一形態として考えられる。結果の範囲が「純粋にランダム」から「統計的に関連性が高い」へと大幅に縮小される感じ。上記の定理についての面白い概要はここを見てね。

LLMは良い出力と悪い出力を生み出す。ポイントは、どれがどれかを見極めることだね。良い出力が簡単に区別できるタスクでは彼らは優れている。例えば、バグのための小さな再現例を作るのにたくさん成功してる。巨大なコードの山から奇妙な挙動Aが出てきて、それを小さな例でどうやって引き起こすかを考えるんだ。多くの場合、うまくいくし、間違った場合はその例がAを実際にはやっていないから簡単に検出できる。無駄なバグ報告を送る人たちは、良い出力をチェックしてないんだよね。

両方とも正しいよ。エクスプロイトは非常に狭い問題で、成功の指標が明確なんだ。一方で、LLMの根強い持続性を自然に補完している。バグレポートは比較するとずっと曖昧で、オープンエンドの目標があって、プロンプターが知らないうちに宿題を手抜きするような感じになる。

確かにそういうこともあるよ(私の経験上)、LLMの使い方によって出力の質に大きな差が出るから。例えば、ブラウザでツールを使わずに「このプログラムの脆弱性を見つけて」とLLMに聞いたら、何かは出てくるけど、ほとんどが幻覚か無関係なものになる可能性が高い。でも、同じLLMモデルをエージェント経由で使って、成功を証明するための具体的なガイダンスと環境を提供すれば、良い結果が得られる可能性が高くなる。Claudeのコードのように、テスト環境を提供しないと、コーディングでミスをしがちで「大丈夫」と言ってくるけど、テストループを提供すれば、実際に動くまで繰り返してくれる。

使っているモデルによるね。OpusのバグレポートとGemma3のバグレポートは同じレベルじゃないよ。

著者の意見には面白い点があるけど、あんまり心配してないよ。これらのツールは、防御側にも対称的に使える感じがするし。コードや大きなリリースをマージする前に「LLMレッドチーム」をCIで実行するっていう明確な道筋が見える。ちょっと時間がかかるテスト(コストは無視してるけど)だから、パイプラインの中でファジングに似てる気がする。新しいツール、新しい脅威、新しい解決策だね。

著者は面白いポイントをいくつか挙げてるけど、あんまり心配してないな。メンテされてないソフトウェアや最近のものがたくさんあるから、心配するのが正しいアプローチだと思う。唯一確実に得をするのはLLM企業で、両方にトークンを売ることができるからね。

それに加えて、ソフトウェアやハードウェアは時間とともに構造的にもっと安全になってきてる。言語の安全機能やメモリ整合性の強制などの新しい変更が、エクスプロイトを見つける難易度を大幅に上げると思うよ。

これらのツールは、守る側が使うのにも対称的に感じるよね。なんでかって?攻撃者も防御ソフトウェアを実行できるからさ。だから、何百万ものテストケースを試せるし、一つでも防御を突破できれば、それを本番に持っていけるんだ。

そうそう、これらのツールはすでに防御的に使われてるよ。例えば、GoogleのBig Sleepでね。https://projectzero.google/2024/10/from-naptime-to-big-sleep... これまでに見つかった脆弱性のリストはこちら: https://issuetracker.google.com/savedsearches/7155917

でも、複雑なシステムはそういう風には動かないよね?君はこれらのツールが守る側にとって「対称的」だと言ってるけど、両方が同じツールを使うと、すぐに守る側が「非対称戦争」の文脈で不利になるんだ。防御側は常にすべてがうまくいく必要があるけど、攻撃側は一回でも何かがうまくいかないだけでいいんだから。

全然対称じゃないよね。資金が必要なバグが無数にあるし。もし攻撃者がこれらのツールを使ったら、見つけたバグはサイバー兵器になっちゃう。防御側が使っても、すべてのバグを見つけて修正しない限り、攻撃者を阻止することはできない。どちらが「すべて」か「いくつか」かは対称じゃない。

防御側は、CABや変更管理、稼働時間の要件など、ビジネスの制約の中で動かなきゃいけないから、余計に複雑なんだよね。脅威を与える側はそういうのがないから、素早く動けてスケールも効く。

LLMのレッドチームは、ほとんどの人には高すぎると思う。実際のインフォセック会社がプロンプトを書いたり、検証したりする必要があるから。でも、ただコンソールの前に座って試してるだけなら、エクスプロイトを見つけるのにそれは必要ないよ。ハッカーはまだ、1) 時間、2) コスト(防御側やレッドチームよりも安く済む)、3) 一度だけ運が良ければいいっていう大きなアドバンテージがある。

これらのツールは、防御側が使うと対称的に感じる。そうは思わないな。純粋な数学的観点から見ると、攻撃者は成功するためにpass@xだけでいいけど、防御側はavg@1やmaj@xでより良い(または同等の)結果が必要だよ。つまり、レッドエージェントは一度だけ成功すればいいけど、ブルーエージェントは常に成功しなきゃいけない。現在のエージェントは、pass@xでmaj@xよりもずっと優れている(20-30%)。現実では、「ティーンエイジャーが数十億ドルの会社にハッキングしてクリプトマルウェアをインストールした」みたいなタイトルを時々見る理由だよね。レッドとブルーのエージェントを「ループ」で使うことでセキュリティが向上するのは間違いないと思うけど、レッド側には数学的なアドバンテージがあるとも思う。

それに関しては、原則的にはファズテストとあまり変わらないんじゃない?

近い将来、国家やグループがエクスプロイトを開発したり、ネットワークに侵入したり、権限を昇格させたり、ネットワークに留まる能力の制限要因は、雇っているハッカーの数ではなく、時間に対するトークンのスループットになると仮定すべきだ。怖いね。

へぇ。実際に起こってることは、そういう国やグループが「ハッカー」に、バイブコードされたLLMの出力の一般的なミスを分析させて、手動で一般的なエクスプロイトを書かせてるんじゃないかな。

一番難しい課題で、GPT-5.2に特定の文字列を特定のパスに書き込む方法を考えさせたんだけど、その時に以下の保護が有効になってた:アドレス空間レイアウトのランダム化、実行不可メモリ、完全RELRO、QuickJSバイナリの細かいCFI、ハードウェア強制のシャドウスタック、シェル実行を防ぐためのseccompサンドボックス、OSやファイルシステムにアクセスする機能をすべて削除したQuickJSのビルド。ファイルを書くには複数の関数呼び出しを連鎖させる必要があるけど、シャドウスタックがROPを防いで、サンドボックスが単にシェルプロセスを起動するのを防いでる。GPT-5.2はglibcのexitハンドラメカニズムを使って7つの関数呼び出しを連鎖させる巧妙な解決策を考え出した。やばいね。

これが、QuickJSのようなC実行可能ファイルがLLMにとってどれだけ脆弱かを示してるよね。(もし君が情報セキュリティの研究者として、脆弱性を見つけてエクスプロイトするために正しくプロンプトを与えれば)。> Use-After-Freeを通じてlibcポインタを漏洩させる。このエクスプロイトは、脆弱性を使ってlibcへのポインタを漏洩させるんだ。バイナリがlibcへの呼び出しが非常に限られていない限り、Rustが君を救うとは思えないけど、RustコードでUse-After-Freeが起こるのはずっと難しいだろうね。

glibcの終了ハンドラー > わお。そうだね。

「確率的オウム」なんて話はこれでおしまいだね。

もしかしたら、対策を外せるかも。見かけるエクスプロイトは、まず脆弱性を見つける(これが難しい部分)。次に、効果が薄い「対策」を5層も掘り進む(これが面倒だけどほぼいつもできる部分)。確率的な対策は確率的な攻撃には効くと思うけど、エクスプロイトを書く人たちはランダムじゃなくて、狙いを定めて弱点を見つけるからね。

ソフトウェア制作の参入障壁がどんどん下がってるのと、ソフトウェアハッキングの参入障壁も下がってるのは爆発的な組み合わせだよ。必要なセキュリティガードレール、検証可能性、開発の簡単さ、論理の簡潔さ(高機能/コード比)を提供する新しいプラットフォームが必要だね。今日のソフトウェアツールを使う非技術系のコーダーを信頼することはできないよ。自分自身を信じられないんだから。

なぜ、ターゲットで単一のエクスプロイトを見つけることが全体のシステムを保護することに対して偏っているという三段落目を編集したの?

これについて面白いと思うのは、Codex 5.2が最も複雑なエクスプロイトを見つけたことだね。これも私の経験に反映されてる。Opus 4.5は私の日常使いのツールで、使うのが好き。だけど、Extra High思考のCodex 5.2はちょっとだけ強力なんだ。あと、みんなが言うこととは逆に、LLMのパフォーマンスの進歩が遅くなってるとは全く思わない。むしろ、十分に難しいタスクを生成するのが難しくなってきてる。彼らが失敗しているフロンティアタスクは非常に複雑で、専門分野外のほとんどの人は説明を聞くほど興味を持っていない。

「十分に難しい」タスクはすべてIPの壁の後ろにある。もしそれが「十分に難しい」なら、一般的には商業的な問題で、異なるワークフローが関与していて、実際の人間が必要なんだ。おそらくその人はa) やる気がないか、b) 公開することを許可されていない。インセンティブは、そのタスクを解決することで得られるすべての価値をできるだけ長く保持し、その後にのみ公開するように整っている。

Anthropicのモデルは素晴らしい作業者/ツールユーザーだよ。OpenAI Codex Highは優れたレビュアー/修正者。Geminiは、数週間前にクラシックアートが好きだと言ったから、あなたのバスルームの壁を記憶からモネ風に塗り替える天才だ。Geminiはそのタスクについて言及しなかったし、始めるとも言わなかった。でも、あなたが認めざるを得なかった後、かなり良い仕事をしたよ。

サンドボックスの部分がすごく混乱してる。説明ではそれに触れてるし、制限されたシステムコールについても言及してるけど、すぐにエグジットハンドラーの話に移っちゃう。単に書き方が不明瞭なだけかもしれないけど、全体が怪しく感じる。https://github.com/SeanHeelan/anamnesis-release/?tab=readme-... 作者が道を見失ったような気がする。もしフォークがブロックされてるなら、エグジットハンドラーもそれをできないはず。もしexecveの変種なら、サンドボックスは維持されるから、あまり得られるものはない。編集: わかった!「目標: /tmp/pwnedに正確に「PWNED」と書き込む」というのを見逃してた。これでサンドボックスの部分は実装としてはあまり面白くなくなっちゃったね。シェルを使ってそれをすることはできないって言ってるだけで、エクスプロイトのどの時点でもサンドボックスのブレイクアウトはない。

生成されたエクスプロイトは、保護メカニズムの新しい一般的な破壊を示していない。既知の欠陥や実際の展開に存在するギャップを利用しているだけだ。これらは人間のエクスプロイト開発者も利用するギャップで、通常は各エクスプロイトのために新しい破壊を考え出すことはない。実際、この結果はちょっと残念だと思うけど、著者が投資した予算の限界に起因していると思う。CTFの分野では、モデルが以前は手作業でやるのにかなりの労力がかかった典型的なpwnタスクを「ワンショット」でこなすのをどんどん目にするようになってきてる。これを行うための要素はトレーニングデータにぼんやりと存在している気がするけど、実際の制約はそれを設定するのがどれだけ面倒かってことだと思う。LLMはこれに非常に適しているだろう。もっと面白いのは、これによってソフトウェアが少なくとも一時的にでもより安全になるのを実際に見るかもしれないってこと。多くの不完全な緩和策がすぐに崩れるだろうし、(今のところは人間が)それに追いついてしっかりパッチを当てなきゃいけなくなるだろう。これがエクスプロイトの正式なモデル化への投資を促進することになると思うけど、今のところは非常に未成熟な分野だね。

エクスプロイトの形式的モデリングは、現在非常に未成熟な分野です。これについて、いくつかのリソースを指摘しながら詳しく説明してもらえますか?

2つのポイントがある。1) インターネットから何かをダウンロードしてそのまま実行するのは、オープンソースでもどんどん危険になってきてる。普通の人は全部読むわけじゃないからね。変なリポジトリには、Opus 4.5やGPT 5.2で自動分析するのをおすすめするよ。2) 敵がLLMを使って24/7でエクスプロイトを作っていると仮定すると、確かにそうだね。インターネットをいつでも切る必要がなくなる時期は、そう遠くないかもしれない。

…じゃあ、重要なマシンにランダムなものをダウンロードして実行しない方がいいんじゃない? :-)) あなたの言う通りだね。30年前は、XYのベンダーのページに行って最新バージョンをダウンロードするのは安全だったし、ほぼ問題なかった。今はミラーサイトがたくさんあって、元のサイトよりもSEOランキングが良いことも多いから、かなり危険だよ。前の銀行では、何年も使っていたブラウザのアドインをインストールした同僚がいたんだけど、新しいノートパソコンを手に入れて、ブラウザも新しくしたら、同じ拡張機能を元のベンダーとは別のソースからインストールしちゃった。残念ながら、そのバージョンにはマルウェアが含まれていて、大きな取引がコンプライアンスにギリギリで引っかかったんだ。彼はデータ漏洩に気づいてなかったからね。

逆もまた真なり:セキュアなコードを書くのは難しいけど、スケールでのLLMはセキュアなコードの開発をずっと楽にしてくれるよ。