Capital One、脆弱性検出AI「VulnHunter」を無償公開

攻撃者視点の解析

攻撃者起点の順方向解析
侵入口から到達経路を追跡
従来型スキャナの誤検知を削減

二段構えの精度向上

自説を覆す反証エンジン
Claude Opus 4.8上で動作
修正コード案まで自動提示

公開の背景

Apache 2.0でGitHub公開
2019年の大規模情報漏洩が転機
詳細を読む

金融大手のCapital Oneは7月17日、ソースコードの脆弱性を検出するエージェント型AIツール「VulnHunter」をオープンソースとして公開しました。GitHub上でApache 2.0ライセンスの下、誰でも利用できます。攻撃者がコードを突く前に、悪用可能な欠陥を見つけ、到達経路を可視化し、修正案まで示す狙いです。

最大の特徴は攻撃者視点の「順方向解析」です。APIやファイルアップロードなど実際の侵入口から出発し、アプリの処理を順にたどって悪用経路が本当に成立するかを検証します。危険なコードパターンを起点に逆方向へ探る従来型スキャナと異なり、大量の誤検知を抑えられるといいます。

二つ目の柱が反証エンジンです。検出した脆弱性について、成立を妨げる前提や論理の穴を自ら探し、覆せなかったものだけを開発者に通知します。人手による選別作業の負担を減らし、修正コード案まで添えて提示する点が特徴で、同ツールは現在AnthropicClaude Opus 4.8上で動作します。

今回の公開は、2019年の大規模情報漏洩を経た同社の姿勢転換を映します。当時、米国とカナダで約1億600万人分の個人情報が流出し、8000万ドルの制裁金を科されました。以後同社はソフトウェア供給網の安全対策への投資を強め、社内検証では数千のリポジトリにVulnHunterを適用したとしています。