Claude AIがFreeBSD カーネルRCEの完全なエクスプロイトを自律作成——CVE-2026-4747の衝撃

Claude AIが完全なカーネルエクスプロイトを自律作成——セキュリティ研究の新局面

セキュリティ研究チームCalifoが公開した調査レポートが、技術コミュニティに大きな波紋を呼んでいる。Anthropicの大規模言語モデル「Claude」が、FreeBSDカーネルの脆弱性（CVE-2026-4747）に対するリモートコード実行（RCE）エクスプロイトをほぼ自律的に完成させ、最終的にroot権限のリバースシェルを取得することに成功したというのだ。

脆弱性の概要

今回問題となったのは、FreeBSDのカーネルモジュール kgssapi.ko に含まれる RPCSEC_GSS認証 の実装だ。具体的には sys/rpc/rpcsec_gss/svc_rpcsec_gss.c 内の svc_rpc_gss_validate() 関数に、古典的なスタックバッファオーバーフローが存在していた。

この関数はGSS-APIの署名検証のためにRPCヘッダーを128バイトのスタックバッファ（rpchdr[]）へ再構築する。先頭32バイトに固定フィールドを書き込んだ後、残り96バイトの領域にRPCSEC_GSSクレデンシャル本体をコピーするが、クレデンシャルのサイズ（oa_length）を一切検証していなかった。

96バイトを超えるクレデンシャルを送りつけるだけで、スタック上のローカル変数、カーネルレジスタの保存領域、さらにはリターンアドレスまで上書きできてしまう。攻撃対象はNFSサーバーとして動作しているホスト（ポート2049/TCP）で、kgssapi.ko がロードされていれば外部からの認証前パケットだけで攻撃が成立する。

影響を受けるバージョン:

• FreeBSD 13.5（p11未満）
• FreeBSD 14.3（p10未満）
• FreeBSD 14.4（p1未満）★テスト環境
• FreeBSD 15.0（p5未満）

修正は FreeBSD-SA-26:08.rpcsec_gss として公開されており、コピー前に oa_length がバッファサイズを超えていないかチェックする1行が追加されている。

AIが書いたエクスプロイトの何が驚異的か

このCVE自体もさることながら、研究者たちが強調するのはClaudeがエクスプロイト開発の全工程を主導した点だ。スタックレイアウトの解析、De Bruijnパターンによるオフセット特定、ROP（Return-Oriented Programming）ガジェットの探索、最終的なペイロード構築——これらのステップをAIが段階的に推論しながら進めたとされる。

KASLRが無効なGENERICカーネル（FreeBSD 14.4-RELEASE amd64）という前提条件はあるものの、「PoC（概念実証コード）ではなく、実際にroot権限のリバースシェルを取得する完全なエクスプロイト」をAIが書き切ったことは、セキュリティ業界に大きなインパクトを与えている。

日本のサーバー管理者への影響

国内ではFreeBSDはNetflixやさくらインターネットの一部インフラ、組み込みストレージ製品（FreeNAS/TrueNASはFreeBSD派生）などで利用される。NFSをKerberos認証付きで公開しているサーバーが対象となるため、直ちにパッチを適用するとともに、不要であれば kgssapi.ko をアンロードする対策が有効だ。

AIとセキュリティ研究の倫理的問い

今回の発表はAIによるオフェンシブセキュリティ研究の可能性と危うさを同時に示している。エクスプロイト開発の民主化は防御側のコスト削減にも繋がる一方、攻撃能力の裾野を広げるリスクも孕む。AI企業各社のガードレール設計が改めて問われる事例となりそうだ。

パッチ適用が完了するまでの間は、ファイアウォールでポート2049へのアクセスを信頼済みホストのみに制限することを強く推奨する。

元記事: Claude wrote a full FreeBSD remote kernel RCE with root shell