Linuxカーネルに潜むゼロデイ脆弱性、OpenAI o3によって暴かれる：セキュリティニュースアラート

OpenAIの大規模言語モデル「OpenAI o3」を活用したセキュリティ研究でLinuxカーネルのSMB3に潜むゼロデイ脆弱性CVE-2025-37899が見つかった。検証過程で既知の脆弱性も正確に検出し、AIの実用性を示している。

[後藤大地，有限会社オングス]

　セキュリティ研究者のショーン・ヒーラン氏は2025年5月22日（現地時間）、「Linuxカーネル」におけるSMB機能に存在する未修正のゼロデイ脆弱（ぜいじゃく）性「CVE-2025-37899」を発見したと自身のブログで発表した。

LinuxのSMBに重大バグ、AIモデルo3がゼロデイ脆弱性を発見

　今回の発見には、OpenAIの大規模言語モデル「OpenAI o3」（以下、o3）が利用された。ヒーラン氏は、Linuxカーネル内でファイル共有プロトコルSMB3を実装する「ksmbd」コンポーネントの脆弱性調査を進めており、その一環としてo3を試験的に使用。結果として従来知られていなかった危険な不具合を特定することに成功した。

　問題となるCVE-2025-37899は、logoffコマンドの処理中に発生する「use-after-free（解放後使用）」型のメモリ管理の不備とされている。この脆弱性は複数の接続が同一セッションを共有する状況下で接続がセッション情報を解放する一方で、別の接続が依然としてそれを使用しようとすることで発生する。タイミングによっては解放済みメモリへのアクセスにより、カーネルメモリの破損や場合によっては任意コードの実行につながる可能性がある。

　ヒーラン氏はo3の精度を検証するため、既に報告されている別の脆弱性「CVE-2025-37778」（Kerberos認証時の解放後使用）をベンチマークとして利用した。実験では100回の試行中8回で正しくこの脆弱性を検出し、同条件での他モデルとの比較でも高い性能を示した。特に注目すべきは、その過程でo3がCVE-2025-37899という未知の脆弱性も同時に報告した点だ。

　この成果についてはAIが人間の見落としを補完できる新たな手段として注目が高まっている。現時点では誤検出の割合も課題として残るが、ヒーラン氏は今後の研究者の作業を補助する実用的な段階に達していると述べ、AIツールの導入に前向きな姿勢を示している。

　脆弱性の詳細および修正情報はLinuxカーネル開発者向けに既にパッチとして提供されている。Linuxユーザーはディストリビューションで修正が反映され次第、速やかな適用が推奨される。