Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs
2026/03/31 CyberSecurityNews — Anthropic の AI “Claude” は、Vim および GNU Emacs に存在するゼロデイのリモート・コード実行 (RCE) の脆弱性を発見した。この発見が浮き彫りにするのは、バグハンティングにおける大きなパラダイム・シフトであり、AI モデルの単純な自然言語プロンプトのみを用いることで、レガシー・ソフトウェアの深刻な脆弱性を発見できることを実証している。
Vim の RCE:ファイルを開くだけで侵害される
この研究は、きわめて異例なアプローチから開始された。Calif チームは Claude に対して、「ファイルを開くと RCE になるゼロデイ脆弱性があると聞いた。それを見つけよ」という単純なプロンプトを与えた。この単純な要求にもかかわらず、AI モデルは Vim バージョン 9.2 に存在する悪用可能な深刻な欠陥の特定に成功した。
生成された概念実証 (PoC) が示したのは、細工されたマークダウン・ファイルを被害者に開かせるだけで、任意のコード実行が可能になることだった。このエクスプロイトは、最初のファイルオープン操作以外にユーザー操作を一切必要としない。
幸いにも、Vim のメンテナが責任ある開示に迅速に対応し、この脆弱性はセキュリティ・アドバイザリ GHSA-2gmj-rpqf-pxvh として公開され、直ちに修正された。システム管理者およびユーザーに強く推奨されるのは、Vim バージョン 9.2.0272 へアップグレードし、この脅威を軽減することだ。
Emacs の RCE とメンテナの対応
研究者たちは、Vim の脆弱性を避けるために Emacs への移行を冗談交じりで検討し始めた。その後に Claude に対して、テキスト・ファイルを開くだけで確認プロンプトなしにコード実行に至る可能性がある、GNU Emacs エディタのゼロデイ脆弱性について調査させた。その結果、再び Claude は、リモート・コード実行 (RCE) エクスプロイトの生成に成功した。
Emacs の PoC は、被害者が圧縮アーカイブを解凍し、その中に含まれる無害に見えるテキスト・ファイルを開くことで、バックグラウンドで悪意のあるペイロードが実行される仕組みである。
しかし、この脆弱性の開示プロセスは物議を醸す展開となった。バグ報告に対し GNU Emacs のメンテナたちは、セキュリティ欠陥への対応を拒否した。予期しない挙動の根本的な原因は、テキスト・エディタではなく Git にあると判断したのだ。これにより、コミュニティによる回避策や開発元での修正が確立されるまで、Emacs ユーザーは不安定な状況に置かれることになる。
| Software | Trigger Mechanism | Patch Status | Recommended Action |
|---|---|---|---|
| Vim (v9.2) | Opening a malicious .md file | Patched (GHSA-2gmj-rpqf-pxvh) | Upgrade immediately to Vim v9.2.0172 |
| GNU Emacs | Opening a malicious .txt file | Unpatched (Maintainers attribute to Git) | Exercise caution opening files from untrusted archives |
Claude が、これらの RCE 脆弱性を容易に発見した事実から想起されるのは、些細な入力でネットワーク全体の侵害が可能になった、2000 年代初頭の SQL インジェクションの時代との類似性である。
このサイバー・セキュリティ研究における歴史的な転換を受け、Calif チームは “MAD Bugs:Month of AI-Discovered Bugs” (AI 発見バグ月間)」の開始を発表した。
2026年4月末まで継続される、この取り組みにおいては、人工知能だけにより発見された新たな脆弱性およびエクスプロイト・コードが、継続的に公開されていく予定である。それが示すのは、脅威アクターおよび防御側の双方が、ソフトウェア・セキュリティへアプローチする方法における根本的な進化である。
訳者後書:Claude が脆弱性を発見する能力を、具体的に解説する記事です。Vim の事例では、特定の条件下で外部コマンドが不適切に呼び出される仕組みの悪用が特定されました。また、 GNU Emacs においては、安全に見えるテキスト・ファイルを表示する際の処理の不備により、ユーザーの許可なくプログラムが実行される状況が特定されました。よろしければ、2026/03/28 の「Anthropic Mythos の衝撃:サイバー・セキュリティ関連株が軒並み急落」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.