セキュリティの第一人者Bruce Schneier氏が自身のブログで「AIが脆弱性開示のあり方を根本的に変える」と題した論考を公開しました。フロンティアモデルが自律的かつ前例のないスピードとスケールで脆弱性を発見・悪用できるようになった現在、Google Project ZeroやCISAが長年採用してきた「90日開示ルール」などの既存CVEフレームワークでは対応サイクルが追いつかないと指摘しています。Schneier氏はAI開発企業を含む業界横断的な新しい開示基準の策定を求め、これが「セキュリティコミュニティの次の大きな課題だ」と述べています。
Schneier氏によると、従来の脆弱性開示プロセスは「人間が発見し、人間が修正し、人間が展開する」という前提で設計されており、各ステップには週〜月単位の時間的余裕が組み込まれていました。しかしフロンティアモデルを使えば、ソフトウェアのファジング(無作為入力テスト)から脆弱性の特定、エクスプロイトコードの生成、攻撃の実行まで、自動化されたパイプラインとして時間単位で完結させることが技術的に可能になっています。「90日というタイムラインは、AIが時間をかけずに悪用できる脆弱性に対して意味をなさない」と氏は強調しています。
Hacker Newsではこの論考が即座に大きな反響を呼び、「90日ルールはAI時代に機能しなくなる」「開示プロセスの自動化がむしろ問題を悪化させる」という議論が展開されました。X上では「同週にBadHostの脆弱性とAnthropicによるAIスパイ活動阻止の報告が重なり、Schneierの警告がタイムリーすぎる」という声が多数上がりました。r/netsecでは「CVEシステムは人間のスケールで設計されており、AIによる脆弱性発見の加速に制度が追いついていない」という本質的な問題提起として議論が活発化しています。
脆弱性開示の制度的枠組みは、脆弱性の「発見から公表までの猶予期間」に悪意ある攻撃者の悪用を防ぐ設計になっています。AIが悪用サイクルを劇的に短縮する世界では、この猶予期間の設計思想そのものを問い直す必要があります。今後、AI企業・セキュリティ研究者・規制当局が「AI時代のResponsible Disclosure」の新しいフレームワークをどう合意形成するかが、業界全体の重要課題となりそうです。