脆弱性報告はもはや特別ではない
原題: Vulnerability reports are not special anymore
なぜ重要か
LLMの進化がセキュリティ対応プロセスの根本的な変化をもたらしており、オープンソースプロジェクトや組織全体での脆弱性管理戦略の再考が急務となっている。
Go言語セキュリティチーム元リーダーのフィリッポ・ヴァルソ氏は、2026年の現在、大規模言語モデル(LLM)の登場により、脆弱性報告の扱いが従来と大きく変わったと指摘している。従来、セキュリティ研究者による機密報告は重視されてきたが、今やLLMは研究者と同等の能力を持ち、誰でも実行できるようになった。その結果、脆弱性発見よりも、どの報告が実際に問題かを判定するトリアージプロセスが主な課題となったと述べている。
フィリッポ・ヴァルソ氏は、オープンソース保守者として長年、脆弱性報告を通常のissueとは異なる特別な扱いをしてきたと説明している。セキュリティ研究者が責任ある情報開示(coordinated disclosure)を選択している点を理由に、迅速な対応と報告者への帰属表記という責任があると考えていたという。これは攻撃者より前に修正を展開するために必要な機密性と貴重な洞察を得るためだった。
しかし、2026年時点で状況は一変している。LLMはほぼあらゆるセキュリティ研究者と同等の能力を獲得し、保守者、攻撃者を含む誰もが利用できるようになった。その結果、脆弱性発見そのものは不足の課題ではなく、どの報告が実際の脅威かを判定することが瓶首となった。外部の研究者が信頼関係なしに有意義にトリアージプロセスに貢献することは難しくなり、LLM出力とセキュリティメール受信箱を整理することは同程度のノイズを抱えている。
さらに、攻撃者は完全な情報開示記事を読む必要がなく、自身のLLMに問い合わせて脆弱性について学習できる。攻撃者も防御側と同じくトリアージの瓶首に直面しており、機密性と情報開示の調整の重要性は大幅に低下した。ヴァルソ氏は、脆弱性報告が特別視される時代は終わったと述べ、今後の重点は検証、迅速な修復、予防であり、開発者たちはLLM分析をCIパイプラインに組み込む方法を確立する必要があると指摘している。