HackerOne Adds AI Agent to Validate Vulnerabilities
2026/02/26 SecurityBoulevard — HackerOne のプラットフォームに AI エージェントが追加され、特定の IT 環境内における脆弱性の有無を検証できるようになった。それにより、サイバーセキュリティ・チームおよびアプリケーション開発者は、潜在的な脅威の調査に費やす時間を削減できるようになる。HackerOne の Head of Product である Michiel Prins は、倫理的ハッカーとの契約プラットフォームに組み込まれている “Hai” agentic AI システムの拡張により、ユーザー組織における実際のリスクに基づく、修復対応の優先順位付けが容易になると述べている。
このエクステンション提示する推奨事項は、脆弱性の評価/重複対応の可能性の判断/割り当てられた優先度などに基づくものだ。HackerOne によると、初期導入企業において、これまでの 5 ヶ月間で、脆弱性検証に必要な時間の 56% が削減されたという。
Michiel Prins によると、この AI エージェントは Continuous Threat Exposure Management (CTEM) 手法を用いてトレーニングされている。設計の方針は、環境全体の露出箇所の特定/実在する脆弱性の検証/コンテキストに基づく優先順位付け/修復の推進に主眼が置かれている。
これが、きわめて重要であるのは、特定の IT 環境に対して実際に影響を及ぼす脆弱性の割合は、通常において極めて小さいからであると、彼は付け加えている。
実際にはインターネットに露出していない脆弱性や、誤検知された脆弱性の追跡に、どれほどの労力が浪費されているかは明確ではない。しかし、これらの問題を調査する必要があるアプリケーション開発チームおよび IT 運用チームと、脆弱性リストを作成する責任を負うサイバー・セキュリティ・チームとの間には緊張関係が存在する。
たとえば、サイバー・セキュリティ・チームが調査を求める脆弱性の多くが、実際には存在しないことが判明するとする。その結果として、時間の経過とともに脆弱性レポートが無視される傾向が生じ、最終的には、何らかの脆弱性が悪用される事態へと至る。
脆弱性を検証する能力が欠如している状況では、これらのチーム間の信頼は徐々に失われると、Michiel Prins は指摘する。
理想的には、より多くの組織が DevSecOps のベストプラクティスに投資し、本番環境に持ち込まれる可能性のある脆弱性の総数を削減すべきである。将来的には、脆弱性が生み出す緊張の多くが、AI エージェントにより軽減される見込みである。
AI エージェントは、脆弱性の発見および検証だけでなく、修復までを自動化できる見通しにある。パッチ適用前には、常に人間による確認が必要であるが、アプリケーション環境へ重大な影響を与えるリスクが低いパッチも多数存在する。
その一方で、攻撃者も AI ツールを用いることで、これまで以上に脆弱性の発見/悪用を迅速化しているため、IT 環境で悪用される脆弱性の割合が増加する可能性がある。
アプリケーションを破壊する可能性のあるパッチ検証に対する、正当な懸念が存在する。しかし、パッチ適用がタイムリーに行われないことに伴うリスクは明らかに増大している。この 2 つの望ましくない結果の間で、適切なバランスを見いだすことが、関係者全員にとっての課題である。
HackerOne が AI エージェント “Hai” を拡張し、IT 環境内の脆弱性が実際に悪用可能かどうかを自動検証する機能を導入しました。この機能は、膨大な脆弱性リストから “インターネットに露出していないもの” や “設定上機能しない誤検知” を排除し、真に修復が必要なリスクのみを特定します。先行して導入した企業では、脆弱性検証に費やす時間が 56%削減 されたと報告されています。その背景にあるのは、セキュリティ・チームが提示する大量のレポートが、開発現場で無視されるという問題を解消し、DevSecOps の連携をスムーズにするという方向性です。将来的には、発見/検証からパッチ適用の自動化までを視野に入れています。よろしければ、カテゴリー SecTools を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.