
セキュリティ業界は、一部で「vulnpocalypse(脆弱性黙示録)」と呼ばれる事態に直面している。AnthropicのMythosやOpenAIのGPT-5.5-Cyberなどの最先端AIモデルは、人間の監査人が到底及ばない速度と深度でオープンソースソフトウェアの脆弱性を発見しており、発見から悪用までの時間をほぼゼロにまで縮めている。
「セキュリティチームにとって、暑くて厄介な夏になりそうだ」とThe RegisterのJessica Lyonsは、ChainguardのCEO Dan Lorencの言葉を引用して書いている。「私たちが見ている統計とデータは非常に恐ろしいものです。同じライブラリとコードに対してスキャンを実行し続けるだけで、AIはさらに多くの脆弱性を見つけ出します。その曲線が底を打ち始める気配はまだ見えません。」
これに対応するため、2つの主要な業界連合が結成された。
Athena連合
Athenaは6月中旬にChainguardが立ち上げたもので、業界全体の脆弱性発見情報を集約し、調整された修正パイプラインで処理する。設立メンバーにはBNY、Cisco、Cloudflare、Docker、JPMorganChase、Kyndryl、PwCが名を連ねる。
この連合はすでに20,000件以上の発見情報を処理し、500のオープンソースプロジェクトにわたって2,000以上のパッチを開発しており、数週間以内に最初の一連の調整された公開開示を計画している。パイプラインは事前 embargo モデルで機能する。メンバーは任意の最先端モデルからの脆弱性発見情報を提出し、Chainguardが情報を重複排除・相関させるためのクリアリングハウスとして機能し、影響を受けるライブラリの強化版が公開開示前にメンバーに非公開で配布される。上流のメンテナーがパッチを適用できない、または適用しようとしない場合、Athenaは「最後の手段のメンテナー」として恒久的にフォークを維持する。
「悪用までの時間はマイナスになりました。脆弱性が開示される前に、すでにエクスプロイトが登場しているのです」とLorencは語る。「Athenaの役割は、修正までの時間をさらにマイナスにし、脆弱性が公開される前に修正がすでに実施されている状態を作ることです。」
Akrites連合
Linux Foundationは6月25日、Amazon Web Services、Anthropic、Cisco、Google、IBM、Microsoft and GitHub、NVIDIA、OpenAI、Red Hat、Rust Foundation、JPMorganChaseを含む20以上の設立組織の支援を受けてAkritesを立ち上げた。Athenaが運用的な修正に焦点を当てるのに対し、Akritesは共有のセキュリティインシデント対応チーム(SIRT)と標準化された調整済み脆弱性開示(CVD)プロセスを確立する。
Akritesは、数十の企業が同じソフトウェアを独立して分析し、メンテナーに重複した報告と矛盾する修正を殺到させる、断片化されたパッチ環境を防ぐことを目指している。「調整がなければ、それらの修正は異なるパッチとフォークに断片化されるでしょう」とLorencはThe Registerに語った。
問題の規模
AnthropicのProject Glasswingは、脆弱性研究のためのMythosへのプレリリースアクセスを提供しており、5月だけで1,000以上のオープンソースプロジェクトにわたって6,202件の高・重大 severity の脆弱性を発見したと報告している。OpenAIのDaybreakイニシアチブも同様のモデルで運営されている。発見された脆弱性の中には、1990年代から検出されずにいた広く展開されているコードのメモリリーク「Squidbleed」も含まれていた。
この課題は構造的なものである。最新のアプリケーションにおけるコードの95%はオープンソースだ。AIモデルがサードパーティのライブラリに欠陥を見つけた場合、アプリケーションセキュリティチームは自分たちでコードを修正するわけにはいかない。彼らは上流のメンテナーと調整しなければならない。その多くは過重労働、連絡不能、あるいはプロジェクト自体を放棄しているのだ。
「対応できないプロジェクトについては、Athenaが恒久的にパッチを適用します。」
「悪用までの時間はマイナスになりました。脆弱性が開示される前に、すでにエクスプロイトが登場しているのです。」
「統計を見ると、同じライブラリとコードに対してスキャンを実行し続けるだけで、AIはさらに多くの脆弱性を見つけ出します。」
Sources: It’s looking like a hot, messy summer for security teams as AI finds countless previously hidden vulns (The Register, 2026年6月27日); Chainguard Launches Athena (Chainguard, 2026年6月15日); Akrites Launch (Linux Foundation, 2026年6月25日)
雅子 訳

