AIが15年間見逃されたLinuxの深刻バグを発見

原題: AI Found a Root Bug in Linux That Everyone Missed for 15 Years

なぜ重要か

AIによる脆弱性発見が15年分の見落としを覆した事例として、AI活用セキュリティ研究の実用的価値を示す重要な前例となる。

セキュリティ企業Nebula Securityは、Linuxカーネルに15年間存在していたuse-after-free脆弱性「GhostLock」(CVE-2026-43499)をAIツール「VEGA」で発見したと発表。この脆弱性はログイン済みの一般ユーザーがroot権限を取得でき、2011年以降ほぼすべての主要ディストリビューションに影響。エクスプロイトはコンテナ脱出も可能で、信頼性97%。Googleのプログラムを通じて9万2337ドルの報奨金が支払われた。

Nebula Securityは、Linuxカーネルに2011年から存在していたuse-after-free型の権限昇格脆弱性「GhostLock」(CVE-2026-43499)を公開し、エクスプロイトコードも合わせて発表した。SecurityWeekおよびThe Hacker Newsが報じた。

この脆弱性は、特別な権限やネットワークアクセスを必要とせず、ログイン済みの一般ユーザーであれば誰でもrootを取得できる深刻なものだ。さらに、NebulaSのエクスプロイトはコンテナ環境からの脱出も可能で、テストにおける成功率は97%に達した。GoogleのkernelCTFプログラムを通じて、Nebulaは9万2337ドルの報奨金を獲得した。

この脆弱性は2026年4月にパッチが提供されたが、配布状況は均一ではなく、2026年7月初頭時点でUbuntuのLTSバージョン24.04・22.04・20.04はいずれも脆弱または対応中と分類されており、Nebula Securityはシステム管理者に対してパッチの適用状況を個別に確認するよう呼びかけている。

この脆弱性を発見したのは、Nebulaが開発したAI駆動のバグ検出ツール「VEGA」だ。VEGAは、長年にわたって再精査されることなく放置されていた古いカーネルコードを自動的に解析し、人間の目には見落とされていた欠陥を検出した。2026年には、こうした自動化ツールによってLinuxの権限昇格脆弱性が相次いで発見される事例が続いており、AIを活用したセキュリティ研究の有効性が改めて示されている。

出典

wired.com — 元記事を読む →