フロンティアAIモデルは、ブラウザ、OS、オープンソースの各プラットフォームにまたがってソフトウェアの脆弱性を特定するために、研究者によってますます活用されている。今週、Zcashの開発者らは、Claude Opus 4.8が、無制限にZECを鋳造できる可能性のある重大な脆弱性の発見に貢献したことを明らかにした。この欠陥は、Orchardの2022年5月の有効化から、2026年6月1日に緊急修正が投入されるまで存在していた。脆弱性研究におけるこの技術の役割が拡大することで、特に暗号資産やDeFiのプロジェクトが、2026年上半期前半の5か月で8億4000万ドル超が盗まれるなど、セキュリティ上の課題に直面しているなか、これらの能力への広範なアクセスが懸念されている。
AIモデルはコーディング支援からセキュリティツールへ移行
初期のAIモデルは、専門的にコーディングアシスタントとして使われており、開発者がソフトウェアの作成、説明、デバッグを行うのに役立っていた。コーディング支援からセキュリティツールへの移行は、2025年にClaude Codeがローンチされたことに伴う、より大きな流れとも重なった。同社は、Anthropicが保有するエンジニアリングチーム内で、AIが生成したコードが急増したと報告している。
「AIは、ほとんどの人よりコードをレビューしてそこに潜む潜在的な脆弱性を見つけるのがずっと得意です」とThreatLockerのCEO兼共同創業者であるDanny JenkinsはDecryptに語った。Jenkinsは、現在のAIシステムがすでに脆弱性の発見を加速させている一方で、Mythosのような新しいモデルはそれらの能力を大きく拡張し得ると述べた。
Jenkinsは、AIが脆弱性研究への参入障壁を下げ、より多くの人がコードを分析して弱点を特定できるようにしていると語った。「AI以前は、サイバーセキュリティ上の脅威やエクスプロイトが毎年増えていました」と彼は言う。「AI以後は、さらに速くなっていて、速くなった理由が2つあると思います。1つ目は、いまはAIを使って脆弱性やエクスプロイトの発見を手助けできること、そして2つ目は、そうしたことができる人の数が大幅に増えたことです。」
複数のプラットフォームにわたって脆弱性発見のためにAIを投入する企業
火曜日、AnthropicはProject Glasswingへのアクセスを拡大し、150の企業・機関にClaude Mythosを提供して、モデルがより広範にリリースされる前にソフトウェアの脆弱性を特定し、是正するのを支援した。
4月、Mozillaは、AnthropicのモデルがFirefoxのWebブラウザ内で同社が修正した数百件の脆弱性の特定に役立ったと明らかにした。さらに、Califの研究者は、AppleのM5チップを標的にした最初期の公開エクスプロイトの1つを生み出す作業の中でMythos Previewを使用したという。
Google DeepMindおよびAnthropicでの元研究者で、現在はセキュリティ企業Aisleの創業者兼チーフサイエンティストであるStanislav FortはDecryptに対し、AIを用いた脆弱性発見に関する懸念は妥当ではあるが、しばしば誤解されがちだと語った。「素朴な反応は、強力なモデルへのアクセスをゲートキープしようとすることです。これは本質的にセキュリティ・バイ・オブスキュリティであり、セキュリティ・バイ・オブスキュリティは、この分野で最悪の考えの1つです」とFortは述べた。
5月、MicrosoftはMDASHというエージェント型の脆弱性発見システムを導入し、同社によれば、これによってこれまで知られていなかったWindowsの脆弱性を特定できたという。
Zcashの脆弱性が暗号資産セキュリティへのAIの影響を浮き彑りに
独立系セキュリティ研究者のTaylor Hornbyは、Claude Opus 4.8の支援を受けて発見したZcashのOrchardプライバシープールにおける重大な脆弱性を明らかにした。この欠陥により攻撃者が無制限の偽造ZECを作れる可能性があった。
「この脆弱性は、Orchardの2022年5月の有効化から、緊急修正が2026年6月1日に投入されるまで存在していました」と、Zcash開発を担う組織Shielded Labsは開示投稿で書いている。「Orchardのプライバシー特性とバグの性質のため、そうした悪用が行われたかどうかを、暗号技術だけを使って確定的に判断する方法はありません。」
2026年最初の5か月で、DeFiプロジェクトからは8億4000万ドル超が盗まれており、4月だけでもKelpDAOやDrift Protocolなどのプロジェクトを狙った攻撃の中で6億ドル超が含まれている。
Web3セキュリティ基盤CertiKのシニア・ブロックチェーン調査担当であるNatalie Newsonは、4月が暗号資産のエクスプロイトにとって異例に厳しかった一方で、より大きな傾向は依然として安定していると述べた。「2026年4月は暗号資産エクスプロイトにとって良くない月でした。少なくとも10,000ドルが奪われた“エクスプロイトのない日”は3日しかありませんでした」と彼女は言う。「ただし全体像を見ると、(フィッシングを除く)インシデント数は、おそらくかなり一貫していて、しかも2023年のピークよりはまだ低いです。」
BlockaidのCTOであるRaz Nivは、より大きなリスクはAIがハッカーに取って代わることではなく、彼らを増幅させることだと述べた。つまり、AIが日常的な作業を処理しつつ、攻撃者がより高度な手法に集中できるようになるのだ。「朗報は、防御側も同じツールを使えることです」と彼は言う。「AIによるモニタリングとシミュレーションが、追いつくのに必要なセキュリティチームにとって不可欠になりつつあります。」
よくある質問
Claude Opus 4.8はZcashでどんな脆弱性の発見に役立ちましたか?
Claude Opus 4.8は、独立系セキュリティ研究者のTaylor Hornbyが、無制限の偽造ZECを鋳造できる可能性のあるZcashのOrchardプライバシープールにおける重大な脆弱性を発見するのに役立った。この脆弱性は、Orchardの2022年5月の有効化から、緊急修正が2026年6月1日に投入されるまで存在していた。
2026年最初の5か月でDeFiプロジェクトからいくら盗まれましたか?
2026年最初の5か月で、DeFiプロジェクトからは8億4000万ドル超が盗まれた。これには4月だけでも、KelpDAOやDrift Protocolなどのプロジェクトを狙った攻撃の中で6億ドル超が含まれている。
どの企業が脆弱性発見のためにAIモデルを展開していますか?
火曜日、AnthropicはProject Glasswingへのアクセスを拡大し、150の企業・機関にClaude Mythosを提供した。4月、Mozillaは、AnthropicのモデルがFirefoxで修正された数百件の脆弱性の特定に役立ったと明らかにした。5月にはMicrosoftがMDASHを導入した。これは、これまで知られていなかったWindowsの脆弱性を特定するのに役立ったエージェント型の脆弱性発見システムだ。
