AI監査エージェントがCloudflareの暗号ライブラリで7件の実バグを発見──継続的コード監査の現実味

AI監査エージェントがCloudflareの暗号ライブラリで7件の実バグを発見──継続的コード監査の現実味

zkSecurityは、AI監査パイプラインをCloudflareの実験的暗号ライブラリ「CIRCL」に適用し、7件の実バグを確認したと発表した。対象にはしきい値RSA、DLEQ証明、BLS集約署名、属性ベース暗号などが含まれ、全件が上流で修正済みだという。

重要なのは、AIが単独で最終報告まで完了したという話ではない点だ。AIは候補を発見し、人間のセキュリティ研究者が再現性、悪用可能性、PoC、開示を検証した。実務上は、AIによる継続的な一次探索と、人間による高信頼な確認を組み合わせるモデルとして読むべき事例だ。

何が見つかったのか

zkSecurityによると、CIRCLで確認された7件には、float64精度落ちによるしきい値RSAの多項式評価問題、証明者が制御できるセキュリティパラメータによるDLEQ証明の弱体化、BLS集約署名でメッセージの一意性確認が欠けていた問題などが含まれる。

とくにCP-ABE(属性ベース暗号)のアクセス制御破りは、Cloudflare側でCriticalと確認された。BLS集約署名の問題もHighと評価されており、暗号実装において「仕様上の前提を呼び出し側に任せる」設計がどれほど危ういかを示している。

領域

示唆

しきい値RSA

float64精度落ち

数値型の選択が安全性に直結する

DLEQ証明

証明者制御のSecParam

検証者が固定すべき条件を外部入力にしない

BLS集約署名

メッセージ一意性チェック欠落

暗号プロトコルの前提条件をAPIで強制する

CP-ABE

AND共有の実装ミス

一行のバグがアクセス制御を壊す

AIはどこまで役に立ったのか

同社は、単純なプロンプトだけのLLMと、専門家が整備したスキルを持つLLMの両方を試したと説明している。さらに重要なプロジェクトでは、自社のAI監査エージェント「zkao」で同じ問題を検出できるかも確認した。

興味深いのは、AIの重要度評価が必ずしも正確ではなかった点だ。たとえばBLS集約署名の問題では、AIは欠落を見つけ、ローグキー攻撃にも言及したが、深刻度をMediumと評価した。CloudflareはHighと確認している。AIは発見の速度を上げる一方で、影響評価には依然として専門家の判断が必要だ。

AIが生成したのは候補であり、最終報告ではない。人間が各問題を検証し、悪用可能性を確認し、開示を扱った──zkSecurityの説明

企業のコード監査はどう変わるか

この事例は、AIセキュリティツールの価値が「一度だけの診断」ではなく、継続的な監査にあることを示している。OSSや社内ライブラリに対して、AIが繰り返し候補を出し、重大そうなものを人間が確認する運用が現実的になりつつある。

一方で、暗号、認証、権限管理のような領域では誤検知も過小評価も許されない。AIの報告をそのままチケット化するのではなく、再現コード、影響範囲、修正コミット、既存テストとの関係を確認するプロセスが必要だ。導入企業は、AI監査を「専門家の代替」ではなく「専門家の探索範囲を広げる補助線」と位置づけるのが安全だろう。

参考:zkSecurity Blog / Cloudflare CIRCL

この記事に携わった人
Mynto編集部
Mynto.aiの編集部です。
関連記事
お問い合わせ各種

課題解決のためのお役立ち資料ダウンロードや、
サービスのお問い合わせが可能です。
お気軽にご相談ください。