Pythonに潜むゼロデイ脆弱性を発見？ LLMを活用したツール「Vulnhuntr」とは：セキュリティニュースアラート

Protect AIはAI脅威インテリジェンスツール「Vulnhuntr」がGitHubのPythonプロジェクトから複数の重大なゼロデイ脆弱性を発見したと発表した。このツールはLLMを活用してコードを分析し、複雑な脆弱性を効率的に検出する。

[後藤大地，有限会社オングス]

　Protect AIは2024年10月19日（現地時間）、自律型AIを活用した新しい脅威インテリジェンスツール「Vulnhuntr」が複数の重大なゼロデイ脆弱（ぜいじゃく）性を発見したと発表した。

　大規模言語モデル（LLM）の能力を活用するVulnhuntrを使用して「GitHub」にあるPythonプロジェクトのコードを分析した結果、リモートから悪用可能なゼロデイ脆弱性が12件以上見つかったという。

LLMを駆使しPythonコードから脆弱性を発見するツール「Vulnhuntr」

　Vulnhuntrはコードを細かく分割して解析し、LLMを適切に導くことで複雑な脆弱性を効率的に発見する。従来のLLMの問題点であったコンテキストウィンドウの制約を克服するため、Vulnhuntrはコードを小さく扱いやすい塊に分割し、チェックが必要なコードを部分的に選んで重点的に分析する。これによって誤検知や見逃しが大幅に減少し、信頼性の高い脆弱性検出を可能にしている。

　具体的な成果としてVulnhuntrが「gpt_academic」や「ComfyUI」などのGitHubプロジェクトにおいて、ローカルファイルインクルード（LFI）やクロスサイトスクリプティング（XSS）、サーバサイドリクエストフォージェリー（SSRF）といった脆弱性を発見したことが報告されている。その中には深刻なリモートコード実行の脆弱性も含まれていたとされている。

　ただし、Vulnhuntrには幾つかの制約がある。現時点ではPythonのコードに特化しており、Pythonコードではないプロジェクトでは脆弱性の結果が正確でなくなり、誤検知の形で表示されるケースがある。また、LLMは決定論的でないため、全く同じプロジェクトであってもツールを複数回実行した場合には異なる結果を得ることがあるという。

　その他、Vulnhuntrはリモートから悪用可能な影響力のある脆弱性だけに焦点を当てて開発されている。対象としている脆弱性は以下の通りだ。

• 任意のファイル上書き（AFO）
• ローカルファイルインクルード（LFI）
• サーバサイドリクエストフォージェリー（SSRF）
• クロスサイトスクリプティング（XSS）
• 安全でない直接オブジェクト参照（IDOR）
• SQLインジェクション（SQLi）
• リモートコード実行（RCE）

　対象とする脆弱性は追加することが可能とされているが、Vulnhuntrの実行時間は追加の脆弱性ごとに増加するとしている。

　今後LLMのコンテキストウィンドウが拡大すれば、より多くのPythonコードを容易に分析でき、重大な脆弱性を速やかに発見できるようになる。また他のプログラミング言語への対応が進めば強力な脅威インテリジェンスとして活用されることが期待される。