AI Turns CVEs into Exploits in Hours: The Case of CVE-2025-32433
2025/04/23 SecurityExpress — エクスプロイト開発の自動化は、もはや遠い未来の話ではなく、現実の世界のものである。適切なプロンプトとオープンソース・データへのアクセスがあれば、人工知能は脆弱性に関する説明を、わずか数時間で実用的なエクスプロイトに変換できる。それを実証したのは ProDefense のエキスパート Matthew Keeley であり、Erlang SSH ライブラリの深刻な脆弱性 CVE-2025-32433 のエクスプロイトを、僅か一晩で作成することに成功したのだ。
このアイデアのきっかけとなったのは、Horizon3.ai の投稿であり、この脆弱性を悪用するエクスプロイトの作成が、比較的容易であることが強調されていたという。
CVE 情報の開示から、機能するコードへの道筋を、AI が辿れるかどうかをテストした Matthew Keeley は、その結果に驚嘆した。GPT-4 と Claude Sonnet 3.7 は、脆弱性の性質を把握しただけではなく、パッチを当てたコードと、オリジナルのコードを比較し、違いを正確に特定し、このセキュリティ欠陥の本質を明確に表現した。
Matthew Keeley の当初のモデルでは、ファジング・フレームワークの構築が試みられ、Docker ファイル/脆弱な SSH サーバの設定/テスト・コマンドといった環境の構築に成功した。このファジングにより、直接的なエクスプロイトは生成できなかったが、重要な出発点に到達したという。公開されたパッチからの差分ファイルを導入すると、GPT-4 は完全に機能する PoC を生成した。それにより、脆弱性のロジックが解明され、未認証のメッセージに対する処理が、コードの変更により緩和される方式が特定された。
生成されたコードによる、最初のエクスプロイト試行は失敗に終わったが、それは予想通りの結果だった。その後に Matthew Keely は、別の AI ツールとして Claude Sonnet 3.7 を 搭載した Cursor を導入し、必要な改良を行った。それにより、エンジニアリングとオープンソースの分析が迅速に達成され、動作する PoC が僅か数時間で作成された。
一連の試行の結果から判明したのは、CVE に関する情報の公開から、実際の攻撃へと移行する速度が劇的に加速したことだ。Matthew Keely が指摘するように、かつては数日または数週間を要していたことが、いまでは1日で完了する。
この1年の間において、脆弱性の悪用ペースが急加速し、それと同時に、敵対者たちの連携も強化されたと、彼は指摘している。つまり、公開された脆弱性が僅か数時間で、業界/地域/インフラを問わず、世界中で悪用される可能性が高まっている。
この脅威の速度の急上昇は、統計においても裏付けられている。公開された脆弱性 (CVE) の数は、2023年〜2024年の間に 38% も増加している。それが示すのは、脆弱性の件数の単なる増加だけでなく、発見から悪用まで時間が、システムにより加速しているという状況である。
この新たな状況は、防御側に対して即時性を要求する。すべての新しい CVE に対して、すでに武器化されている可能性があるものとして、取り扱う必要性が生じている。新たに発生した脆弱性の説明を、防御側の管理者が読み終え理解する前に、脅威アクターたちの悪意の意図が、AI により運用上のエクスプロイトに変換される世界が始まっている。
したがって、今後の防御の戦略においては、安全なパッチの適用を、きわめて迅速に取り込むことが不可欠となる。それが、悪意の AI に追いつく、唯一の方法である。
わずか数時間で、脆弱性情報を攻撃コードへと、AI が変換できる時代が到来してしまいました。攻撃者にとっては理想的なツールである一方で、防御側にとっては悪夢の始まりともいえます。現実の環境で、どれほどのインパクトが生じるのか、注視していきたいと思います。なお、本記事で取り上げられている脆弱性 CVE-2025-32433 は、以下の記事で詳しく触れています。よろしければ、AI/ML + Exploit で検索 と併せて、ご参照ください。
2025/04/18:Erlang/OTP の CVE-2025-32433:PoC が登場
2025/04/17:Erlang/OTP の脆弱性 CVE-2025-32433 が FIX
IoT OT Security News 
You must be logged in to post a comment.