詳細を読む
AIによる脆弱性の自動発見が、サイバーセキュリティの攻防構造を根本から変えつつあります。バグ報奨金プログラムへの報告件数は急増し、ある独立研究者は前年同期比で3倍のバグを提出したと明かしました。一方で、攻撃者もAIを活用して未知の脆弱性を発見しており、Googleの脅威情報チームは犯罪者グループがAIツールでゼロデイ脆弱性を開発し、二要素認証を回避しようとした事例を初めて確認しています。
こうした変化は報奨金制度の経済構造に直接影響を及ぼしています。Googleは2026年4月、ChromeとAndroidの脆弱性報奨金プログラムを刷新し、一部の脆弱性カテゴリーで支払額を引き下げる一方、より高度な発見には増額しました。大手テック企業はこの負担に対応できるものの、多くの企業にとっては持続困難な状況です。研究者の間では、来年には容易な脆弱性の多くが既に発見済みとなり、報告件数が減少するとの見方もあります。
品質の問題も深刻です。コマンドラインツールCurlは、AIが生成した低品質な報告が殺到したことを理由に、2026年1月にバグ報奨金プログラムを終了しました。Linux開発者のリーナス・トーバルズ氏も、セキュリティメーリングリストがAIによる重複報告で「ほぼ管理不能」になったと述べています。ただしCurlの開発者は、その後AIを活用した報告の質が劇的に向上し、「かつてない頻度で非常に優れたセキュリティ報告が届いている」とも報告しています。
専門家の間では、90日間の責任ある開示期限の見直しを求める声も高まっています。ある研究者は「バグ発見者が少なく、エクスプロイト開発が遅かった時代のルールだ。その世界はもう存在しない」と指摘しました。AIが発見と攻撃の両方のタイムラインを圧縮する中、パッチ適用の迅速化だけでは対応しきれないという認識が広がっています。
クラウドセキュリティ企業Ederaの技術責任者は「パッチだけでは解決できない。できるだけ多くのバグを無意味にするインフラを構築する必要がある」と述べ、構造的な防御策の重要性を強調しました。Anthropicが自社システムとClaudeモデルのバグ報奨金プログラムを新設するなど、AI企業自身もこの軍拡競争に参入しています。人間の専門知識とAIの組み合わせが不可欠な時代が到来しています。