ジェフ・カウフマン：AIが2種類の資安脆弱性の文化を同時に打ち破り、90日間の禁輸期間が逆効果になる

ソフトウェアエンジニアのJeff Kaufman（jefftk）が5月8日に「AI is Breaking Two Vulnerability Cultures」という記事を発表し、AIが、長年並存してきた2種類のセキュリティ脆弱性対応の文化を同時に打ち破っている――協調的開示（coordinated disclosure）と「静黙修補」（bugs are bugs）――という主張を展開した。これら2つの戦略が前提としていた「攻撃者の偵測速度が遅い」という条件は、AIによる自動スキャン技術によってすでに突破されている。Kaufmanのブログ原文はHacker Newsでも200万回以上の閲覧（熱度）を記録し、今週の開発者コミュニティで議論が最も盛り上がっているセキュリティ観察記事の一つとなっている。

2つの脆弱性文化：協調的開示 vs 「静黙修補」

Kaufmanが整理した2つの文化の枠組み：

協調的開示（coordinated disclosure）――発見者が維持管理者に非公開で通知し、典型的には90日間の修補猶予（ウィンドウ）を与えたうえで公開する。背後にある前提は、攻撃者が同じ脆弱性を独立して見つけるには時間がかかるということ。

「Bugs are Bugs」静黙修補――Linuxなどのオープンソース・プロジェクトでよくあるやり方で、修補するときに特別に「セキュリティ修正」とは標示せず、投稿の流量によって資安の修正を「押し流す」ことで目立たなくし、攻撃者の注意を引かないようにする。

これら2つの文化がこれまで共存できたのは、攻撃者に「迅速で自動、かつ低コスト」な、すべてのコミット記録をスキャンしたり同じ脆弱性を同時に探したりするためのツールがなかったからだ。AIはこの前提を変えてしまった。

AIによる「静黙修補」への打撃：commitスキャンが安くなる

AIによるLinux系のオープンソース・プロジェクトへの具体的な影響：

これまで：攻撃者はコミットを一つずつ精査する必要があり、大量の人手と時間がかかった。「投稿の流量の中に埋もれる」ことが有効な隠れみのになっていた。

いま：AIは低コストでコミット履歴をスキャンでき、「安全上の修正っぽい」commitを自動で識別できる。作者が明示していなくても見つけられる。

影響：「静黙修補」の秘匿性が急速に失われつつあり、「修補してから展開されるまで」のバッファが圧縮されている。

Kaufmanが引用した具体例：「コミットを精査する（examining commits）ことがますます魅力的になっている」。AIが各変更についての評価を「ますます安く、ますます有効に」行えるようになっているからだ。これは、今後はオープンソース・プロジェクトが「攻撃者の注意速度よりも修補の速さが勝つ」という従来の優位性に頼れなくなることを意味する。

AIによる「協調的開示」への打撃：90日間の禁輸（embargo）が逆効果に

協調的開示の文化の核心は「禁輸期間（embargo）」で、発見者は維持者が修補するまで公開を約束する。しかしAIによって複数のチームが同じ脆弱性を同時にスキャンできるようになる：

具体例：研究者のHyunwoo Kimが報告したある脆弱性が、9時間後には別の場所で独立に発見された。

複数のAI支援スキャン・チームが同期して動くことで、長い禁輸期間はかえって「見かけ上の切迫感のなさ」を与えてしまう。

他の人が9時間で見つけられるなら、90日間の禁輸は本当の攻撃者にとって89日23時間もの攻撃ウィンドウを与えることになる。

Kaufmanの結論は、今後は「非常に短い禁輸期間（very short embargoes）」を採用すべきで、そしてAIの能力が上がるほど、さらに短くしていくべきだというものだ。重要なのは、AIの加速が攻撃者に一方的に有利とは限らないという点で、防御側もAIで修補と展開を加速でき、圧縮された時間枠の中で双方が競争することになる。

追跡可能な具体的な出来事：Linux KernelやProject Zeroのような大規模プロジェクトが、開示のスケジュール指針を更新するかどうか。AIによる自動脆弱性スキャン・ツール（Semgrep、CodeQLなど）の商用化の進捗。そして企業の資安部門が「AI加速の両刃」をどう具体的に扱うか、の各点だ。

この記事「Jeff Kaufman：AIは2つの資安脆弱性文化を同時に打ち破り、90日間の禁輸期間は逆効果になる」は、最初に「鏈新聞ABMedia」に掲載されました。