HackerOne Unveils Agentic AI Platform to Discover and Validate Vulnerabilities Faster
2026/06/10 SecurityBoulevard — HackerOne が発表した H1 Platform は、AI エージェント活用を拡張し、脆弱性の実際の悪用可能性を測定し、脅威の特定/修復の優先順位付けをリスクに基づいて実施するものだ。同社 CEO である Kara Sprague によると、HackerOne コミュニティに所属する独立したセキュリティ研究者は、この H1 Platform 上で AI エージェントを活用することで、大規模なレベルで継続的に脆弱性の発見/検証/修復の優先順位付けを実施できるようになる。
また、この数年の傾向として、AI モデルにより発見/悪用されるゼロデイ脆弱性の件数が指数関数的に増加しており、この機能の重要性は一段と高まっていると、同氏は付け加えている。
H1 Platform は、HackerOne が以前に発表したオーケストレーション・プラットフォーム Hai を基盤としている。Hai が目的とするのは、セキュリティ研究者が手動プロセスに依存する際に生じる摩擦の低減であり、一部の AI エージェントも提供されていた。H1 Platform は、継続的な脅威エクスポージャー管理 (CTEM:Continuous Threat Exposure Management) を発展させ、多様なサイバーセキュリティ・タスクやワークフローを自動化するようトレーニングされた、幅広い AI エージェントを提供する。
脆弱性の発見と検証が完了すると、このオーケストレーション・エンジンは、その結果をアプリケーション開発チームや IT 運用チームに共有する。現時点の HackerOne は、Jira/GitHub/ServiceNow/Azure DevOps/Linear などのアプリケーションやプラットフォームとの統合機能を提供している。
最先端の AI モデルがもたらす脆弱性発見能力により、ユーザー組織は DevSecOps ワークフローの見直しを迫られると、Kara Sprague は指摘している。すべての脆弱性が同等に深刻であるわけではないが、パッチの開発および適用を、これまで以上に迅速に行う必要性が高まっている。
場合によっては、脆弱性に対するパッチが作成される前に、すでにエクスプロイトが公開されていることもある。現在の、脆弱性の発見/悪用の速度に対抗する唯一の方法は、AI エージェントと研究者を活用して、より早期により多くの問題を発見することだと、同氏は述べている。その一方で、最先端 AI モデルが容易に発見できるようになったことで生じる、大量の技術的な負債に対処するために、どの程度の追加予算を割り当てるべきかが課題となる。
一般的には、AI エージェントが一般的な問題を検出し、人間の研究者が分担する役割は、ビジネス・ロジックの欠陥/新規の攻撃チェーン/トレーニングデータが存在しない対抗的手法の発見になる。
最終的に、サイバーセキュリティ・チームは、発見される脆弱性の増加に伴う修復バックログの増大と平均修復時間 (MTTR) を、厳密に監視する必要がある。現時点では、DevSecOps チームがパッチの作成/展開を高速化しているが、修復バックログは明確に増加していると同氏は指摘する。
各サイバーセキュリティ・チームにとって必要なことは、脆弱性の発見/検証において、外部のセキュリティ研究者に依存するレベルを判断することだ。ただし、AI 機能を活用しない場合に、時間の問題として確実に訪れるのは、それらのチームが対応しきれずに破綻する未来である。
訳者後書:H1 Platform の背景にあるのは、最先端のAIモデルの進化によりゼロデイ脆弱性が発見されるペースが爆発的に高まり、それにより加速する悪用のスピードです。この自動化による変化に対処するため、開発や運用のチームがパッチを作成し適用する速度を上げても、修正すべき案件の蓄積 (バックログ) が増え続けてしまうという構造的な問題が生まれています。高度なツールが大量の脆弱性を見つけ出す時代だからこそ、検出されたリスクの優先順位を正しく見極める、設計や仕組みが大切になります。
IoT OT Security News 
You must be logged in to post a comment.