ZEST の AI Sweeper Agents：過剰なパッチ要求を削減してセキュリティ・チームの負荷を軽減

ZEST Security Adds AI Agents to Identify Vulnerabilities That Pose No Actual Risk

2026/01/22 SecurityBoulevard — 今日 ZEST Security は、特定の脆弱性がアプリケーション環境に対して実際の脅威となるかどうかを識別する、人工知能 (AI) エージェント群を追加した。同社 CEO の Snir Ben Shimol によると、実際には悪用不可能な脆弱性の修正要求を AI Sweeper Agents が排除することで、作成すべきパッチ数を削減できるという。

AI コーディング・ツールを用いて作成されるコード量が、指数関数的に増加し続けるのに伴い、発見される脆弱性の数も同様に増加している。ZEST Security が開発した AI Sweeper Agents は、脆弱性を発見した組織／個人により付与された汎用的な深刻度スコアに依存するのではなく、実際の環境下でのリスクに基づき、最も差し迫った問題を優先し易くするものだと、Ben Shimol は述べている。

最初に、AI エージェントを用いて各脆弱性を分析し、脆弱性研究の公開資料／エクスプロイト・ドキュメント／技術的開示情報に含まれるデータから、悪用要件を抽出する。

続いて、第二のエージェントが IT 環境を評価し、その環境と悪用要件と比較することで、悪用が可能となるために必要な条件を特定する。判断が下された後に、第三のエージェントが結論を検証し、潜在的な監査要求向けのレポート生成に使用できる、明確な根拠および証拠を提示する。

大規模エンタープライズでは数千件に及ぶことも珍しくない、脆弱性パッチ要求のバックログ全体の規模を、上記のレベルの洞察を得ることで大幅に削減できると、同氏は付け加えている。

ZEST Security の調査によると、これらのバック・ログに含まれる高深刻度かつ重大な脆弱性の 90% 以上は、サイバーセキュリティ・チームが保護しようとしている特定の IT 環境では、実際には悪用不可能であるという。

ZEST Security によると、AI Sweeper Agents への早期アクセスを得たサイバー・セキュリティ・チームは、これまでの 6 ヶ月で、すでに 1,100 万件の脆弱性を却下できているという。

全体的な目的は、アプリケーション開発チームに共有される、長大な潜在的問題のリストを作成するのではなく、関連性のある脆弱性を特定できる AI エージェント群を、サイバー・セキュリティ・チームに提供することであると、ZEST Security は説明している。

すでにスケジュール遅延に直面しているアプリケーション開発チームにおいても、修正が容易な脆弱性に対して無作為に対応するのではなく、速やかに修正すべき脆弱性の特定を、AI Sweeper Agents がサイバー・セキュリティ・チームに対して明確に説明できるようになると、Snir Ben Shimol は述べている。

最終的な目標は、AI エージェントが DevOps プラットフォームやオートメーション・フレームワークを呼び出してパッチを作成／適用できるようにする、自動修復を実現することにあると、同氏は付け加えている。

パッチ自体は AI エージェントにより作成／検証される。その後に、人間の開発者がコードの構築およびデプロイに使用しているものと同一の DevOps プラットフォームやオートメーション・フレームワークが提供する、ガードレールとコンテキストの下で適用されると、Snir Ben Shimol は述べている。

それぞれの組織は、脆弱性の自動修復について持つべき許容度を、自ら判断する必要がある。ただし、アプリケーション環境のセキュリティ確保を、過剰なまでに煩雑な作業にしている現在の負担の多くに対しては、少なくとも軽減できる明確な機会が存在している。

AI を活用して本当に危険な脆弱性だけを仕分け、修正作業の負担を劇的に減らす新しいAIエージェント群 AI Sweeper Agents が、ZEST Security から発表されました。この取り組みの背景にあるのは、AI による開発が進み、検出される脆弱性の数が爆発的に増えすぎて、人間では対応しきれなくなっているという現状です。

このシステムのコアは、3 段階のAIエージェントによる精査にあります。まず、第 1 のエージェントが世界中の情報を分析して脆弱性の悪用条件を特定し、第 2 のエージェントが実際の IT 環境と比較して悪用の可能性を判定します。最後に、第 3 のエージェントが個々の根拠を検証し、証拠をまとめます。

ZEST Securityの調査では、重大とされる脆弱性のうちの 90% 以上が、特定の環境下では悪用が不可能とのことです。この AI エージェントにより、半年間で1,100万件もの不要な修正要求を却下できたと指摘しています。よろしければ、カテゴリー SecTools を、ご参照ください。