AI が自動化する脆弱性の検出:2025年の 29% から 2026年の 9% へと低下

Trust in Automated AI Vulnerability Scanning Collapses to 9%, New Study Finds

2026/06/25 infosecurity — 脆弱性に対する自動化 AI テストへの信頼が、多数の偽陰性により大幅に損なわれていることが、Cobalt の新たな調査で明らかになった。Cobalt State of Pentesting Report 2026 は、2025年と 2026年に実施された 2件の比較調査に基づくものであり、約450人のサイバーセキュリティ専門家を対象としている。

この期間に、完全な AI 自動化へとテストを切り替えた組織の割合は、29% から 9% へ低下した。また、現在では回答者の約半数 (47%) が、ハイブリッド・テスト・モデルを選択していることが判明した。

その一方で回答者の 78% は、完全に自動化されたスキャン・ツールが重大な脆弱性を見逃したと回答している。

AI テストを人間が支援するハイブリッド・モデルの割合は、1年間で22% も急増した。低リスク環境で自動化を使用する組織の割合も、22% 増加して47% に達した。

Cobalt の CISO である Andrew Obadiaru は、「業界が Mythos クラスのツールの可能性に大きな期待を寄せるのは当然である。しかし、人の指導を伴わないアルゴリズムは、現在の自動スキャナよりも多くの偽陽性と、コストの高い偽陰性を返す傾向がある」と述べている。

AI による誤検知と攻撃対象領域の拡大

AI 自動化に対する信頼が低下した大きな理由として、一連のスキャナがテストする攻撃対象領域の複雑性が挙げられると、このレポートは指摘している。

AI ペンテストで得られる検出結果の約 33% が高リスクとして評価されており、従来テストの平均値の 2.7 倍であると、このレポートは主張している。

なお、この分析の時点における、LLM の修正済みの脆弱性は 38% にとどまり、62%は未解決のままであった。これは、すべてのソフトウェア資産クラスの中で最も低い解決率である。

AI/LLM のセキュリティ問題における解決までの平均時間 (MTTR:Mean Time To Repair) は、この期間中に 19日から 36日へと増加した。以前と比べて、各チームが大幅に困難な脆弱性を追跡しているところに、その理由があると Cobalt は主張している。

Andrew Obadiaru は、「LLM の脆弱性は、コンテキストへの依存度が高く、アプリケーションのアーキテクチャを理解しないツールに見えるほどである。この検証ギャップを解消するためには、自動化が得意とする領域への正確な導入が必要となる。その一方で、最も複雑なビジネス・ロジックのリスクを発見して修正するためには、優れた人間の専門知識に引き続き依存すべきだ」と続けている。

AI 関連のインシデントを経験した組織において、その内訳を構成する Top-5 は以下のとおりである。

  1. シャドー AI:44%
  2. データ/モデルのポイズニング:41%
  3. 不適切な出力処理:41%
  4. サプライチェーン脆弱性:35%
  5. プロンプト・インジェクション:34%

セキュリティ専門家の 60% は、より強力な LLM テスト機能が必要だと回答している。一方で、人間主導のレッドチーム運用を増強する予定の組織は 42% に留まっている。