Capital One、AIセキュリティツール「VulnHunter」をOSS公開
米Capital Oneは、ソフトウェアの脆弱性を本番展開前に自動検出・分析するAIセキュリティツール「VulnHunter」をオープンソースで公開した。同社CISOは「AIによる攻撃の脅威はあらゆる組織に迫りつつあり、防御ツールも同様に広く共有される必要がある」と公開の理由を説明している。ツールはAnthropicのClaudeモデルを活用し、攻撃者の視点からコードを分析して誤検知を大幅に削減する設計となっている。

米大手金融機関のCapital Oneは、ソフトウェアの脆弱性を自動で発見・分析するAIセキュリティツール「VulnHunter」を、Apache 2.0ライセンスのオープンソースとしてGitHubで公開した。このツールは社内で開発されたもので、コードが本番環境に展開される前に問題を検出し、修正案まで提示することができる。
セキュリティの分野では、従来の脆弱性スキャナーが多くの「誤検知」を生み出すことが長年の課題だった。一般的なツールはコード内の危険そうなパターンを見つけた後、仮想的な攻撃シナリオを後付けで組み立てるという手順を踏む。このため、実際には悪用できない問題にも大量のアラートが上がり、エンジニアチームが対応に追われる状況が生まれてきた。AI技術の進化により攻撃者のツールも高度化・低価格化が進む今、防御側の効率化はより切実な課題となっている。
VulnHunterはこの問題に対し、「攻撃者起点の前向き分析」と呼ばれる独自のアプローチで対処する。ツールはまずAPIやネットワークメッセージ、ファイルアップロードといった実際の攻撃者が侵入口として狙うポイントを起点に設定し、そこからアプリケーションのロジックを順に追って、攻撃経路が既存の防御をすり抜けて成立するかどうかを判断する。さらに「反証エンジン」と呼ばれる仕組みが、自ら検出した問題を積極的に否定しようと試みる。論理的な矛盾や攻撃が成立しない条件を探し、否定しきれなかった場合のみ、詳細な説明と修正コード案とともに人間のレビュアーへ報告する仕組みだ。
現時点でVulnHunterはAnthropicのClaude Opus 4.8モデルをClaude Code環境上で動作させているが、Capital Oneは他の基盤モデルや開発環境への対応も可能な設計だと説明している。
Capital OneのCISO(最高情報セキュリティ責任者)クリス・ニムス氏は、オープンソース化の理由についてこう語っている。「現代のソフトウェアサプライチェーンは高度に連結しており、AIが生む脅威の規模は一つの組織で対応できる次元を超えている。ソフトウェアやデジタル環境のセキュリティは、開発者・企業・そのシステムに依存する人々全員が恩恵を受ける共通の基盤だ。防御ツールもまた、守るコードベースと同様に広く配布され、テストされ、改善されていく必要がある」。
主要な金融機関が、攻撃的なAI技術を転用して構築した防御ツールをオープンソースとして公開するのは珍しい動きと言える。セキュリティは競争優位の源泉として囲い込まれることが多いが、Capital Oneはその逆の判断を下した。こうした取り組みは、サイバーセキュリティを「業界全体で底上げすべき共有インフラ」として捉え直す視点を示すものとも位置づけられる。高度なAI攻撃ツールが広く普及しつつある現在、一社の防御力向上よりもエコシステム全体の底上げが優先されるという判断には、一定の説得力がある。今後は実際にどれだけの開発者・組織がこのツールを採用し、コミュニティとして改善が進むかが、この取り組みの実効性を測る鍵になるだろう。
本記事は、AI issue編集部が事実(ファクト)をもとに独自に作成・編集した著作物です。著作権はAI issueに帰属し、無断転載・再配布およびAIの学習・活用を禁じます。