AIが「攻撃側」に立つ時代の幕開け #
6月16日、ソフトバンクグループ (SBG) と OpenAI が共同で 「Patching as a Service」 を発表した。実態は AI による自動ペネトレーションテスト + 修復方針提案で、サイバーセキュリティ特化モデル GPT-5.5 Cyber を中核に、企業システムへ擬似的に攻撃を仕掛けて脆弱性を炙り出す。SBG 孫正義氏は会見で「大変な危機」を連発し、まずは日本の重要インフラ企業に優先提供すると明かした。
会見で衝撃だったのは「SBG 自社のシステムを GPT-5.5 Cyber で診断したら 1 万件の脆弱性が見つかった」というくだり。SBG は情報通信のトッププレーヤーだ。その規模で 1 万なら、巷の中堅企業が同じ診断を受けたらどうなるか — 想像するのも怖い、というのが孫氏の口ぶりだった。
ハッカー視点で見るとこれは「Red Team の AI 化」だ #
セキュリティ屋にとって、これは 「Red Team の AI 化が公式に商用化された」 という節目に他ならない。手作業の Burp / Nmap / Metasploit の組み合わせを、LLM が脆弱性スキャン → 攻撃シナリオ生成 → エクスプロイト組み立て → 修復パッチ案までワンストップでこなす。攻撃可能ルートを総当たり速度で網羅できるのは防御側に有利だが、同じ技術スタックは攻撃者にも届く。「AI を持つ側」と「持たない側」 の非対称性が、これまで以上にむき出しになる。
ちょうど同じ日、curl メンテナが 7 月から脆弱性報告の受付を一時停止すると発表した。理由は AI 生成の低品質バグレポートに疲弊しているからで、AI が量産する玩具レベルの「脆弱性らしき何か」がインターネットを埋めつつある現実の裏返しだ。Patching as a Service はその両極のうち、明確に「良質側」の代表例として登場したことになる。
「優先提供」が意味する防御格差 #
「重要インフラに優先提供」という言葉は、裏を返せば 「優先されない企業は当面この AI に守ってもらえない」 ということでもある。攻撃者は規模を問わないので、防御格差は今後 OpenAI のような巨大ベンダにアクセスできるかどうかで決まりかねない。GPT-5.5 Cyber 級の自社運用 AI を持てるのは、現実的に国家か超大手だけだ。
注視すべきは孫氏の「危機」発言そのものではなく、「1 万件」の中身がどこまで公開されるか だ。誤検知混じりなのか、本当に exploit 可能なものなのか — その質次第で、Patching as a Service が真のゲームチェンジャーか、商売文句のついた既存スキャナの皮を被ったものかが決まる。
COMMENTS 0
No comments yet — be the first to leave one.