匿名 GitHub アカウントが未公開 0-day 脆弱性群を公開──GPT-5.5-3-Codex-Spark を活用したファジング自動化
セキュリティ研究者がファジング工程に AI を導入し、FFmpeg や libssh2 など複数のオープンソース製品に対する PoC を一挙に公開した。
リリース: 2026-06-27 · 読了 3 分記事の要約
1. 核心(What)
- GitHub アカウント「bikini」が、7zip、AnyDesk、FFmpeg、Ghidra 12.1.2 等を含む複数の脆弱性 PoC をリポジトリ「exploitarium」で公開した。
- ファジング工程の自動化には GPT-5.5-3-Codex-Spark を使用し、厳格なハーネス(harness)を構築して実行した。
- PoC 自体は手動で作成したが、RustDesk のコード実装や README の記述には AI 支援を活用した。
2. 影響(Why)
- AI 活用による脆弱性発見の効率化: 高度な SOTA モデルでなくとも、適切なハーネス設計と人間による監視があれば、ファジングの自動化により脆弱性発見のコストが大幅に下がることを実証した。
- 国内セキュリティ運用への影響: 国内のインフラ系 SaaS や金融系システムを運用するセキュリティチームは、OSS のサプライチェーンリスク評価において、AI 生成の PoC が容易に流通する前提でパッチ適用体制を再考すべきである。
3. 根拠・詳細(How)
- ファジングの自動化手法: GPT-5.5-3-Codex-Spark を使用し、対象ソフトウェアに対する厳格なハーネスを生成してファジングを実行。PoC の作成自体は手動で行い、RustDesk 等の特定言語実装のみ AI 支援を併用した。
4. 展望・課題(Next)
- 今後の公開方針: 今後は Floci、libssh2、FFmpeg、c-ares といった深刻度の高い脆弱性に絞って情報を公開する予定。