2026年5月13日、MicrosoftとPalo Alto Networksが相次いで「自社のコードにAIを適用した脆弱性発見」で大きな成果を報告しました。
Microsoftは5月12日のPatch Tuesdayにあわせて、新しいAIエージェントシステム「MDASH(Multi-model Agentic Scanning Harness)」が同月のパッチ対象脆弱性137件のうち16件(うち重大(Critical)4件)を自律的に発見したことを公式ブログで発表しました。Palo Alto Networksも同日、AnthropicのClaude MythosおよびOpenAIのGPT-5.5-Cyberを用いた130製品以上のスキャンで75件の脆弱性を発見し、1日で26件のアドバイザリを公開したことをDefender’s Guideのアップデート版で公表しました。
セキュリティ業界では「AI対AIの脆弱性発見競争(AI-versus-AI vulnerability discovery race)が始まった」との評価が広がっています。
この記事のサマリー
Microsoft MDASH:100以上の専門AIエージェントが「発見・反論・証明」の三段階で自律的に脆弱性を探索。2026年5月Patch Tuesdayの16件(Critical 4件を含む)を自動発見。重要インフラで5年分のMSRC既知脆弱性に対し96〜100%の再現率を記録。
Palo Alto Networks:AnthropicのClaude Mythos・OpenAI GPT-5.5-Cyberを用いて3週間以内に130製品以上をスキャン。75件の脆弱性を発見・修正済み。1日に26件のアドバイザリを公表(通常月の5〜10件に対し記録的)。AIによる脆弱性の「チェーニング(組み合わせ)」が最大の特徴。
両社の発表は**Project Glasswing(Anthropicが主導する約40組織のコンソーシアム)**という共通の文脈に位置づけられます。
Palo Alto CISOは「攻撃者が類似の能力を入手するまで3〜5か月しかない」と警告。
一方、「発見だけでは不十分。修正の仕組みなき発見はダッシュボードを作るだけで、レジリエンスを生まない」という懸念の声もあります。
Microsoft MDASH—100エージェントが「発見・反論・証明」で自律的に脆弱性を探索
MDAHSとは何か
Microsoftの公式ブログ(2026年5月12日)によれば、MDASH(コードネーム)はMicrosoftのAutonomous Code Security Teamが構築したマルチモデル・エージェント型脆弱性スキャンシステムです。
チームを率いるのはMicrosoftのAgentic Security担当バイスプレジデントのTaesoo Kim氏で、チームはDARPAのAI Cyber Challengeで2,000万ドルの賞金を獲得したTeam Atlanta(ジョージア工科大学)の主要メンバーで構成されています。
MDAHSのアーキテクチャの核心は「単一モデルではなく、100以上の専門化されたAIエージェントのアンサンブル」です。役割は以下の3段階で分担されます。
Auditorエージェントが不審なコードパスを検出・フラグを立てます。Debaterエージェントがその発見に異議を唱え反論します。Proverエージェントが残った発見を証明・検証します。
「オーディターはデベーターのように推論せず、デベーターはプルーバーのように推論しない。モデル間の意見の相違はそれ自体がシグナルだ」とKim氏は説明しています。
モデル非依存設計(Model-Agnostic)であり、より優れたモデルへの切り替えはコード改修ではなく設定変更のみで対応できます。
2026年5月Patch Tuesdayでの具体的な発見
MDAHSが2026年5月のPatch Tuesdayで発見した16件の脆弱性の概要は以下の通りです。
区分
件数
合計
16件
Critical(重大)
4件
カーネルモード
10件
ユーザーモード
6件
認証情報不要でネットワーク越しに到達可能
大多数
特に注目される2件の重大脆弱性を以下に示します。
CVE-2026-33824(CVSS 9.8)——IKEv2サービス(ikeext.dll)のダブルフリー脆弱性です。標的となるのはIKEv2レスポンダーとして設定された全ホスト(RRAS VPN・DirectAccess・Always-On VPN・インバウンドIPsecルール等)で、認証情報なしでネットワーク越しにリモートコード実行が可能です。IKEXTサービスはLocalSystem権限でsvchost.exeとして実行されており、「システム上の最高権限コンテキストへの事前認証RCEパス」とMicrosoftは説明しています。
CVE-2026-33827(CVSS 8.1)——Windowsカーネルのtcpip.sysのユーズ・アフター・フリーです。SSRRルーティングオプションを含む特定のIPv4パケットで発生します。脆弱なポインタの解放とその再利用が複数の検証チェックと代替制御フローをまたいで分散しており、「単一関数のビューからは関連性が見えない」という特徴があります。MDAHSはコードベース全体の類似パターンのクロス参照によってこれを検出しました。
検証ベンチマーク——「プロの攻撃者に匹敵する推論能力」
Microsoftは発表前にMDAHSを三つのベンチマークで検証しています。
StorageDriveテストとして、外部に公開されたことがない社内専用のWindowsドライバー「StorageDrive」に21件の脆弱性を意図的に埋め込みました。MDAHSは21件全件を発見・誤検知ゼロでした。公開コードではないため「AIが学習データで事前に見た可能性」を最小化した条件での成果です。
MSRC履歴リコールとして、clfs.sys(5年分・28件のMSRC確認済み事例)に対して96%再現、tcpip.sys(5年分・7件のMSRC確認済み事例)に対して100%再現でした。「これは理論上の弱点ではなく、実際に攻撃者が悪用し、Patch Tuesdayが必要となり、防御側が対応を迫られた実際のバグを発見している」とMicrosoftは強調しています。
CyberGymベンチマークとして、実世界の脆弱性タスク1,507件を含む公開ベンチマークで**88.45%**を達成し、発表時点で次点を約5ポイント上回るリーダーボード1位を記録しました。
提供状況
MDAHSは現在、Microsoft社内のセキュリティエンジニアリングチームと限定プレビューの一部顧客企業のみが使用しています。エンタープライズ顧客向けのプレビュー登録は2026年6月に開始予定です。
Palo Alto Networks—Mythos+GPT-5.5-Cyberで3週間で「1年分の侵入テスト」に相当
Project Glasswingへの参加と独自の評価
Palo Alto NetworksはAnthropicが4月7日に始動させたProject Glasswingの立ち上げパートナーとして、Claude Mythos Previewへのアクセスを取得しました。同社はあわせてOpenAIのGPT-5.5-Cyber(Trusted Access for Cyberプログラム)も利用しており、両モデルを並行利用するマルチモデルアプローチを採用しています。
Chief Product OfficerのLee Klarich氏は「AnthropicとOpenAIのモデルは同等の能力を持つが、異なる種類の脆弱性を識別する傾向がある。最大の脆弱性カバレッジを得るには複数のモデルを並行使用する必要がある」と説明しています。
発見された脆弱性の規模と特徴
Defender’s Guideのアップデート版によれば、3週間以内に130製品以上のコードスキャンを実施した結果、通常月の5〜10倍に相当する75件の脆弱性を発見・修正しました。
2026年5月13日には1日で26件のアドバイザリを公開(通常月は5件未満)。これはいずれも**「野生での悪用が確認されていない」状態**での公開です。
CISO Marc Benoit氏は「1日に26件のアドバイザリを公開したことはフロンティアAIモデルを用いた社内セキュリティリサーチの直接的な成果だ。件数は重大度の高さではなく、悪用される前に発見するという当社のコミットメントを反映している」と述べています。
最大の特徴:「脆弱性チェーニング」の発見
今回の評価で最も注目されるのは、個々の脆弱性ではなく「脆弱性の組み合わせ(チェーニング)」をAIが自律的に発見した点です。
複数の低深刻度の脆弱性を組み合わせることで重大なエクスプロイトパスが形成されることを、AIが自ら発見しました。単独では開示の対象にならないような脆弱性が、組み合わせると高深刻度の脆弱性になることが複数ケースで確認されています。
内部テストでは、AIが70%以上のケースで動作するエクスプロイトを生成したとされています。「これまでに見てきたものよりもこれらのモデルははるかに優れたエクスプロイトを書く」とKlarich氏は述べています。
3〜5か月という警告
Palo Alto Networksは「攻撃者がフロンティアAIサイバーモデルの能力に広くアクセスできるようになるまで、組織にはわずか3〜5か月しかない」と警告しています。同社は以下の四つの対応を推奨しています。
攻撃者が悪用する前に脆弱性を発見・修正する能力の構築が第一です。第二に必須システムのみが公開されるようインターネット向け露出を削減します。第三にリアルタイムで攻撃をブロックできる自動検知・防止ツールの導入、第四にセキュリティオペレーションセンターにAIと自動化を統合し防御側がマシンスピードで対応できるようにすることが求められます。
AI脆弱性発見を取り巻く背景—「Vulnpocalypse」の予兆
Patch Tuesdayの件数が急増
2026年5月時点でMicrosoftは既に年間500件以上の脆弱性にパッチを適用しており、5月のPatch Tuesdayのみで137件以上を修正しました。Microsoft Security Response CenterのVP Tom Gallagher氏は「MicrosoftのエンジニアとセキュリティコミュニティはますますAIを使って数年前には現実的でなかったほど注意深くかつ頻繁にソフトウェアを検査している」と述べており、パッチリリースは今後も大きくなり続ける傾向にあると予測しています。
英国のNCSC(国家サイバーセキュリティセンター)も先月、AI支援の脆弱性発見によって緊急ソフトウェアアップデートが急増することへの準備を組織に呼びかけています。
Project Glasswing参加各社の動き
Anthropic主導のProject Glasswingは約40の組織にClaude Mythos Previewへのアクセスを提供するコンソーシアムです。Appleも参加組織として早期アクセスを受け、最新のアップデートで52件の脆弱性を修正しました。OracleはGlasswing参加を機に重大なセキュリティ問題に対するパッチサイクルを四半期ごとから月次に切り替えました。
AIが悪用側でも使われ始めた
GoogleのThreat Intelligence Groupは、脅威アクターがAIが開発したゼロデイエクスプロイトを大規模悪用キャンペーンに使用した初の既知事例を報告しており、Googleはそのキャンペーンを攻撃が開始される前に阻止したとしています。
懸念の声—「発見だけでは不十分」
Greyhound ResearchのチーフアナリストSanchit Vir Gogia氏はCSOへの取材で「修正の仕規律なき発見は芝居だ。それはダッシュボードを生み出すだけで、レジリエンスを生まない」と警告し、多くの企業はAIが生成した脆弱性発見を実用化するためのガバナンス成熟度をまだ欠いていると指摘しています。
また、CyberGymのスコアについても「CyberGymはシグナルであって、購入判断ではない」と述べ、ベンチマーク成績をそのまま企業価値の証明として扱うべきではないと注意を促しています。
一方、flyingpenguin.comのセキュリティアナリストは、PAN-OS上で現在進行形の実攻撃が確認されているCVE-2026-0300は今回のAI検出26件に含まれておらず、「最も重大で印象的な発見は人間によるものであり、Anthropicのツールによるものではない」という点が重要だと指摘しています。
情シス・セキュリティ担当者へのポイント
脆弱性管理のシフトとして、定期的なスキャンから継続的なAI支援による自動発見・修正へのシフトが始まっています。特に認証情報不要でネットワーク越しに到達可能な脆弱性は優先度を上げて対応してください。
MicrosoftのMDASH対象コンポーネントへの緊急パッチ適用として、今回発見されたWindows TCPスタック(tcpip.sys)・IKEv2(IKEEXT)・Netlogon・DNS APIライブラリの脆弱性は2026年5月12日のPatch Tuesdayで修正済みです。即時適用を推奨します。
マルチモデルアプローチの示唆として、Palo Alto Networksの発見は「単一モデルでは見つけられない脆弱性が別のモデルで見つかる」ことを示しています。自社でのAI活用においても複数モデルの併用が有効です。
「脆弱性チェーニング」への警戒として、単独では低深刻度と評価される脆弱性が組み合わせることで高深刻度になることがあります。個別CVEの深刻度だけでなく、連鎖的な悪用シナリオの評価も必要です。
出典
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、現在はMDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)