2026年4月、AIセキュリティカンファレンス「[un]prompted」でセキュリティ研究者の常識を揺るがす発表があった。AIエージェントを用いたスクリプトが、Linuxカーネルのソースコードを自律的にスキャンし、リモートから悪用可能な複数のヒープバッファオーバーフロー脆弱性を発見。そのうちの1つは23年間にわたって誰にも見つけられていなかったというのだ。
発表者のNicholas Carlini(Anthropic所属の研究科学者)は「このような脆弱性を自分の研究者人生で一度も発見したことはなかった。非常に難しいバグだ。それがAIを使ったところ、いくつも見つかってしまった」と語っている。
驚くほどシンプルな発見手法
最も衝撃的だったのは、使われたアプローチの単純さだ。Carliniが用いたのは以下のような短いシェルスクリプトに近い仕組みだった。
出典: この記事は Claude Code Found a Linux Vulnerability Hidden for 23 Years の内容をもとに、筆者の見解を加えて独自に執筆したものです。