サイバーセキュリティ企業のリチェルカセキュリティは、生成AIを脆弱性診断に組み込んだプロジェクトで、2025年10月の1週間に計13件の脆弱性を発見し、開発元へ報告したと公表しました。このうち動画配信用オープンソースソフトウェア「ClipBucket V5」では、任意コード実行(CVE-2025-62429、深刻度High)やブラインドSQLインジェクション(CVE-2025-62423)など5件の脆弱性にCVE番号が付与されています。
同社は、生成AIと人間の専門家を組み合わせるハイブリッド診断体制を構築し、特に通常の自動検査ツールでは見落としがちな「ログイン後にのみ現れる欠陥」の検出精度向上を狙っています。AIに認証前後の状態遷移や権限変化を理解させる「調整」と、専門家がバグ判定基準を設計することで、従来のDASTやSASTでは到達しづらい深部処理の検査を効率化したとしています。
一方で、C/C++のバッファオーバーフローなど低レイヤのメモリ安全性や、ビジネスロジック上の不備といった領域はAI単独では困難と分析。要件定義を踏まえた「何が正常で何が脆弱性か」という基準を人間が与える「グラウンディング」を重視し、AI診断結果も必ず専門家レビューを経て報告する運用です。また、ChatGPT・Claudeのエンタープライズプランを用い、学習データへの情報利用を避けるなど、機密保護にも配慮しています。
同社はDockerベースのサンドボックスでPoCコードを自動実行し、理論上の脆弱性と実際に悪用可能な脆弱性を自動判別する仕組みも運用中です。今後も、大規模コードの高速スキャンなどAIの得意分野には積極活用を進める一方、ビジネスロジックなど人間の判断が不可欠な領域では従来手法と組み合わせ、技術進化に応じて診断プロセスを段階的に高度化していくとみられます。source: PR TIMES