最新状況:オフェンシブセキュリティにおけるAIの台頭

2025年6月27日
Strahinja Janjusevic
データサイエンス・インターン
最新状況:オフェンシブセキュリティにおけるAIの台頭

1.はじめに自動ハッキングの新時代

攻撃的セキュリティの世界は、人工知能(AI)の急速な進化によって大きな転換期を迎えています。最近の大規模言語モデル(LLM)の台頭は、ハッキングの自動化・強化、さらには革新に至るまで、かつてない可能性を切り開いています。これまでハッキングは、人間の専門知識と膨大な手作業に依存していました。しかし現在では、AIによって推論・計画・実行が可能なツールが登場しつつあります。

こうしたシステムはもはや理論上の存在ではなく、活発な研究開発と評価が進んでいます。ある研究者は専門知識を注入したファインチューニングで高度に特化したエージェントを開発し、また別の研究者は人間のチームのように機能するモジュール型システムを構築しています。さらに一部のグループは「エージェンティックAI(agentic AI)」を追求し、人間の介入を最小限にした自律システムの実現を目指しています。

この新しく複雑な状況を切り抜けるには、明確な地図が必要です。この記事では、この最先端の領域を深く掘り下げ、最も著名なフレームワークを比較分析します。議論の根拠として、以下の表は最先端のフレームワークと私たちのお気に入りのフレームワークを比較し、それぞれの中核戦略、主要機能、運用上のトレードオフを示しています。これは、研究者が次世代の攻撃的セキュリティツールを構築するために採用している多様なアプローチを理解するためのガイドとなります。

表1:攻撃型セキュリティAIフレームワークの比較分析
名前 アプローチとメモリ管理 特徴と理由 強みと弱み
PENTESTGPT [1]
(2024年8月)
アプローチ:モジュラーLLM搭載。
メモリ:ステータス用PTT; PTT; ヒューマンインザループ。
特徴:推論、生成、解析モジュール;解析モジュールは入力を凝縮;分離されたLLMセッション。
理由:PTTが次のタスクをガイド;コマンド生成のためのCoT;アクティブなフィードバック。
長所:コンテキストの損失を軽減する。
弱点:人間の介入に依存。「難しい」ターゲットとの闘い。
CIPHER [2]
(2024年11月)
アプローチ:ファインチューニングされたLLM
記憶:RAGは文脈内学習を提供し、微調整はタスク文脈を維持する。
特徴:チャットボットアシスタント; RAG; FARRフロー.
理由:専門家の推論を模倣する; 発見から次のステップを提案する; 3ステップのパイプライン。
長所:専門的知識、初心者に最適。
弱点:デバッグが苦手、データに偏りがある、コーディングが重視されない。
RedTeamLLM [3]
(2025年5月)
アプローチ:エージェント型AI。
メモリ:メモリ・マネージャーはトレースをツリーとして保存し、ADAPT Enhancedはコンテキストを管理する。
特徴:7つのコンポーネント(ランチャー、RedTeamAgent、ダイナミックプラン修正)。
理由:行動前の理由付け、再帰的プランニング。
強み:プランの修正、記憶、コンテキストの制約に対応。
弱点:ステートレスサマライザーは情報を省略する可能性がある。
PentestAgent [4]
(2025年5月)
アプローチ:LLM-エージェントベース
記憶:RAGが長期記憶として機能し、コンテキストの効率的な利用を保証。
特徴:マルチエージェントデザイン、RAG、ツール統合。
理由:計画エージェントは戦略を設計し、他のエージェントはフェーズを実行する。
強み:知識の強化、情報収集・分析・活用の自動化。
弱みRAGデータ品質とLLMツール使用能力に依存。
VulnBot [5]
(2025年1月)
アプローチ:エージェント型AI(マルチエージェント)。
記憶:Summarizerは情報を統合する; 文脈のための記憶レトリーバ(ベクトルDB及びRAG)。
特徴:三相デザイン; PTG; 反射メカニズム; RAG.
理由:PTGはタスクの依存関係をモデル化し、プランセッションはフィードバックを反映する。
長所:人間のチームをシミュレートする、ワークフローを自動化する、オープンソースのLLMを使用する。
弱点:複雑な調整。
AutoAttacker [6]
(2024年3月)
アプローチ:エージェント型AI(ReAct)。
記憶:エクスペリエンス・マネージャーは、現在の行動を検証するために参照される。
特徴:LLM計画、要約、コード生成、メタスプロイトの統合、エピソード型の「エクスペリエンス・マネージャー」。
理由:ReActスタイルのループ:計画、実行、観察、繰り返し。
長所:孤立したセキュリティ・タスク、特に侵入後に有効。
弱点侵入後の作業に重点を置いている。メモリは現在の行動を検証するもので、計画を更新するものではない。
HackingBuddyGPT [7]
(2023)
アプローチ:LLM主導の搾取。
メモリ:LLMのコンテキスト・ウィンドウに依存。
特徴:SSH/Web攻撃用のローカルエージェント。互換性のあるLLMをプロンプトする。
理由:LLMは文脈に沿った脆弱性を認識し、悪用する。
長所:早期調査の迅速化。非決定論は発見を逃れる可能性がある。
弱点:設定されたLLMに制約される;単純な脆弱性に集中する。
PenTest++ [8]
(2025年2月)
アプローチ:AIによる自動化
メモリChatGPTのコンテキスト管理に依存。
特徴:すべてのペンテストフェーズに生成AI(ChatGPT)を統合。
理由:ChatGPTはデータを分析し、洞察を提供する。
強み:スキャンの合理化、反復作業の自動化、複雑なデータの分析。
弱み倫理的なセーフガードと継続的な改良を重視。
HackSynth [9]
(2024年12月)
アプローチ:エージェント型AI(Simplified ReAct)。
メモリ:LLMのコンテキストウィンドウに依存する。
特徴:プランナーとサマライザーが思考と行動のループに。
理由:考えて行動するループ。
長所:温度とコンテクストの大きさが建築的な新しさよりも優位であることを示している。
弱点:フレームワークそのものよりもLLMパラメータの重要性を強調している。

2. AI駆動型ハッキングへの3つのアプローチ

LLMを攻撃的セキュリティに活用するためのアーキテクチャ設計は、大きく3つの哲学に分かれています。

2.1 ファインチューニングモデル:専門特化型

このアプローチでは、事前学習済みのLLMを、サイバーセキュリティ分野の膨大な専門データセットでさらに学習させます。ファインチューニングの強みは、明確に定義された特定のタスクにおいて高い精度と関連性を実現できることにあります。これらのモデルは、特定のタスクにおいて高い熟練度を達成し、既知のシナリオにおいてより正確で文脈的に適切な出力を実現します。学習を関連データに集中させることで、ファインチューニングは、LLMが専門領域内で動作する際に、無関係な情報や事実誤認の情報(幻覚)を生成する可能性を低減することもできます。非常に特殊なタスクであれば、より小規模で効率的なLLMをファインチューニングすることも可能です。しかし、このアプローチには弱点もあります。高品質で包括的かつ偏りのないデータセットを作成することは、大変な作業です。さらに、これらのモデルは学習分布内では優れた性能を発揮しますが、全く新しい脆弱性、ツール、または攻撃シナリオへの適応には苦労する可能性があります。また、攻撃セキュリティの範囲が広範であるため、あらゆる側面を効果的にカバーする単一のファインチューニング済みモデルを作成することは困難です。

2.2.LLMを搭載したモジュラー・フレームワーク:チームプレーヤー

これらのシステムは、LLMを大規模で構造化されたアーキテクチャ内のインテリジェントなコンポーネントとして利用します。多くの場合、侵入テストプロセスを異なるモジュールによって管理される個別のフェーズに分割し、コンテキスト損失などのLLMの制限を、懸念事項を分離することで軽減します。例えば、PENTESTGPT [1]とVulnBot [5]は、偵察、計画、エクスプロイトなどのフェーズにそれぞれ特化したエージェントを配置するマルチエージェント設計を採用しています。このアプローチの強みは、より構造化されたタスク管理と集中力の維持能力であり、これによりサブタスクの完了がより確実になります。また、外部データを取り込む検索拡張生成(RAG)を組み込むことで、より動的な知識ベースを構築できます。主な弱点は、モジュール間の連携におけるエンジニアリングの複雑さと、複雑な意思決定において人間による介入が頻繁に必要となることです。

2.3.エージェントAIシステム:自律的オペレーター

これは最も野心的なアプローチであり、最小限の人間の監督で、複雑で長期にわたるタスクを計画、実行、適応できるAIエージェントの作成を目指しています。RedTeamLLM [3] は、侵入テストタスクを自動化する統合アーキテクチャでこれを例示しています。エージェントシステムの強みは、計画、タスク分解、反復実行を通じて、複雑で多段階のタスクに対応できるように設計されていることです。さまざまなツールを動的に使用し、ターゲット環境と対話するように装備できます。堅牢な計画修正と学習により、自律性と適応性が向上する可能性があります。主な弱点は、エージェントの有効性が、基盤となるLLMの推論能力に大きく依存していることです。誤った推論、バイアス、またはエラーが伝播して累積し、ミッションの失敗につながる可能性があります。

未知のネットワークにおけるRedTeamLLMのパフォーマンス

3.克服すべきハードル

急速な進歩にもかかわらず、すべてのアプローチに共通する根本的な課題がいくつか残っています。コンテキストの損失が中心的なボトルネックです。現在のLLMの限られたコンテキストウィンドウは、時間の経過に伴う情報の想起と統合を必要とする高度な操作を実行する能力を直接的に妨げています。アーキテクチャの革新は、外部の構造化メモリを提供する試みですが、これは依然として重要な問題です。また、LLMは、特にパスに複数の相互依存するステップが含まれる場合、最終目的の達成に向けて推論機能を一貫して適用するのに苦労することもあります。また、LLMは最新のタスクや情報を過度に重視する傾向があり、以前に特定された脆弱性を無視する可能性があります。最後に、LLMがもっともらしいが不正確な情報を生成するという、十分に文書化された幻覚の問題は、自律動作における信頼性の大きな懸念事項です。

4. 新たな戦場:AIによるサイバーキルチェーン全体の支配

AIの進歩は、個々のタスクだけでなく、サイバーキルチェーンのあらゆる段階に大きな影響を与えます。初期の偵察から最終的な情報漏洩まで、AIエージェントは攻撃ライフサイクル全体を強化、加速、自動化する態勢を整えています。

4.1.オフェンスとディフェンス

偵察段階では、AIはオープンソースインテリジェンス(OSINT)の大規模収集プロセスを自動化し、多様な情報源からのデータを相関分析することで、標的の組織や個人の詳細なプロファイルを構築します。武器化および配信段階では、LLMは説得力の高いパーソナライズされたスピアフィッシングメールを作成したり、シグネチャベースの検出を回避するポリモーフィック型マルウェアを生成したりできます。エクスプロイトおよびインストール段階では、エージェントシステムが脆弱性を自律的に探査し、適切なエクスプロイトを選択し、侵害されたシステム上で永続性を確立できます。コマンド&コントロール(C2)段階では、AIは通常のネットワークトラフィックに溶け込むステルス性の高い通信チャネルを設計できます。最後に、目標達成段階では、AIはデータ抽出を自動化し、機密情報をインテリジェントに識別してパッケージ化し、抽出できるようにします。防御側では、この同じ力を利用して、より強固なセキュリティ体制を構築できます。AIシステムはネットワークトラフィックの異常を分析し、攻撃者の動きを予測し、インシデント対応を自動化します。

4.2.モデル・コンテキスト・プロトコル(MCP)のゲームチェンジャー

標準化されたマシンコンテキストプロトコル(MCP)の出現は、異なる特殊AIエージェントとツール間のシームレスな通信を可能にすることで、これらの能力を大幅に強化する可能性があります。攻撃AIエージェントはMCPを使用して、特殊偵察エージェントにターゲット情報を問い合わせたり、マルウェア生成サービスにカスタムペイロードを要求したり、他のエクスプロイトエージェントと連携して多段階攻撃を調整したりすることができます。これにより、攻撃AIエージェントがキルチェーン全体にわたってツールやサービスにアクセスし、活用する方法において、これまでにない自動化、モジュール化、標準化の可能性が生まれ、攻撃はより高度になり、防御が困難になります。

5. 未来の衝撃:今後登場する可能性のある攻撃手法

AI開発の現在の軌道は、かつてはSFの領域だった機能へと向かっています。エージェントシステム、膨大なデータセット、そして特殊モデルの融合は、パラダイムシフトをもたらすような攻撃ツールを生み出す可能性が高いでしょう。その例としては、AI生成のゼロデイ攻撃が挙げられます。最も大きな可能性の一つは、AI主導のゼロデイ攻撃の生成です。これはハッキングの聖杯であり、脆弱性の発見はもはや人間だけの力ではなくなります。オープンソースのコードリポジトリ、プロプライエタリソフトウェアのバイナリ、ファームウェアを継続的に分析し、既知の脆弱性パターンだけでなく、全く新しい種類のバグを探すAIを想像してみてください。ソフトウェアとハ​​ードウェアの相互作用(メモリ管理、データ処理、ロジックフロー)の抽象的な原理を学習することで、このようなシステムは、人間の研究者が見逃す可能性のある、微妙な論理的欠陥、競合状態、予期せぬ相互作用を特定できます。これにより、これまで未知の攻撃が絶えず発生し、攻撃者と防御者の間の力関係が劇的に変化し、従来のパッチサイクルは時代遅れになる可能性があります。

自律型スウォームハッキング

パラダイムシフトをもたらすもう一つの可能​​性は、自律型スウォームハッキングの概念です。これは、単一のエージェントという概念を超え、協調的なマルチエージェント攻撃を構想するものです。直線的な攻撃ではなく、数十、あるいは数百もの特殊AIからなるスウォームが標的ネットワークに投入される様子を想像してみてください。偵察エージェントが地形をマッピングし、脆弱性エージェントが弱点をテストし、エクスプロイトエージェントが発見に基づいて行動します。これらすべてを並列攻撃として協調させることができます。このスウォームは防御策にリアルタイムで適応し、あるベクトルが遮断された場合は攻撃経路を変更し、エージェント間で情報を共有して最も抵抗の少ない経路を見つけます。このような攻撃の速度、規模、そして適応性は、少数の同時発生的な脅威を追跡・対応するために設計された、従来の人間主導のセキュリティオペレーションセンターにとって圧倒的なものとなるでしょう。

ハイパーパーソナライズされたソーシャルエンジニアリング

AIは詐欺の技術も完璧にするでしょう。次世代のソーシャルエンジニアリング攻撃は、高度にパーソナライズされ、動的に適応するようになります。ソーシャルメディア、専門家のネットワーク、侵害されたデータからの情報を統合することで、AIは最近の会話、共通の関心事、特定のプロジェクトに言及し、正規の通信と区別がつかないほど高度にパーソナライズされたフィッシングメールを生成できます。さらに、CEOの声を複製してフィッシングコールを行い、リアルタイムで質問に回答したり、偽のソーシャルメディアキャンペーンを展開して、数週間から数ヶ月かけてターゲットとの信頼関係を構築してから行動に移したりすることも可能です。このようなレベルの心理操作が大規模に実行され、ターゲットの履歴や性格を完璧に記憶していることは、技術的な防御を完全に回避する強力な脅威となります。

予測型エクスプロイトと自動防御

攻撃側と防御側の競争は、機械のスピードにまで加速するでしょう。攻撃側AIは、既存の脆弱性を発見するだけでなく、将来の脆弱性を予測する役割を担うようになるかもしれません。ソフトウェアプロジェクトの開発速度とコーディング習慣を分析することで、AIはバグが最も発生しやすい場所を予測できるようになるかもしれません。これに対し、防御側AIは方程式の反対側を自動化します。防御側エージェントが自身のネットワークを監視し、新たな脆弱性の開示を特定し、カスタムパッチを生成し、サンドボックス環境でテストし、企業全体に展開する様子を想像してみてください。これらはすべて、脆弱性が発表されてから数分以内に、人間のチームが会議を招集するよりもずっと前に実行されます。

AI主導のディスインフォメーション/影響操作

AIは直接的なネットワーク攻撃に留まらず、影響力行使にも革命をもたらすでしょう。国家支援を受けたり悪意を持ったりする攻撃者は、AIエージェントの群れを配備し、ソーシャルメディア、フォーラム、ニュースサイト上で信憑性の高い偽情報を作成し、拡散させる可能性があります。これらのエージェントは、長年にわたる一貫した投稿履歴を持つ偽の人物を作成し、微妙な議論を展開し、世論の反応に基づいてメッセージを調整することができます。これらのエージェントは、現在のボットネットを原始的に見せるほどの洗練度と規模で、世論操作、選挙妨害、社会不安の煽動に利用される可能性があります。このようなキャンペーンを検知し、対抗するには、同様に高度なAIを活用したコンテンツ分析とネットワークマッピングが必要になります。

6. まとめ

AIを攻撃セキュリティに統合することは、もはや理論上の議論ではなく、サイバー脅威の状況を一変させつつある、急速に進展する現実です。きめ細やかな調整が可能なスペシャリスト、協調型モジュールシステム、自律エージェントの開発は、より高度で自動化された攻撃能力への明確な道筋を示しています。コンテキストの保持や推論の一貫性といった大きな課題は依然として残っていますが、イノベーションのペースは驚異的です。これらのテクノロジーの真の影響は、AIによる偵察から自動情報流出まで、サイバーキルチェーン全体に及ぶでしょう。今後、攻撃者と防御者の戦いは、ますます高速で機械主導のチェスゲームへと変化していくでしょう。この新しい時代における成功は、脅威に単に反応するだけでは不十分です。これらの強力なAI機能を積極的に理解し、活用することで、阻止すべき攻撃と同じくらいインテリジェントで適応性に優れ、自律的な防御を構築できるかどうかが鍵となります。セキュリティの未来は、このAIを活用した新たな領域を予測し、革新を起こすことができる者たちの手に委ねられます。

参考文献

[1] Deng, G., et al. (2024). PENTESTGPT: Evaluating and Harnessing Large Language Models for Automated Penetration Testing. In 33rd USENIX Security Symposium (USENIX Security 24).

[2] Pratama, D., et al. (2024). CIPHER: Cybersecurity Intelligent Penetration-Testing Helper for Ethical Researcher. Sensors, 24, 6878.

[3] Challita, B. & Parrend, P. (2025). RedTeamLLM: an Agentic AI framework for offensive security. arXiv preprint arXiv:2505.06913.

 [4] Shen, X., et al. (2025). PentestAgent: Incorporating LLM Agents to Automated Penetration Testing. In ACM Asia Conference on Computer and Communications Security (ASIA CCS ’25).

[5] Kong, H., et al.VulnBot: Autonomous Penetration Testing for A Multi-Agent Collaborative Framework. arXiv preprint arXiv:2501.13411.

[6] Xu, J., et al.AUTOATTACKER: A Large Language Model Guided System to Implement Automatic Cyber-attacks.arXiv preprint arXiv:2403.01038.

[7] Happe, A. & Cito, J. (2023). Getting pwn’d by AI: Penetration Testing with Large Language Models. In Proceedings of the 31st ACM Joint European Software Engineering Conference and Symposium on the Foundations of Software Engineering (ESEC/FSE ’23).

[8] Al-Sinani, H. S. & Mitchell, C. J. (2025). PenTest++: Elevating Ethical Hacking with AI and Automation. arXiv preprint arXiv:2502.09484.

[9] Muzsai, L., Imolai, D., & Luk´ acs, A. (2024). HackSynth: LLM Agent and Evaluation Framework for Autonomous Penetration Testing. arXiv preprint arXiv:2412.01778.

[10] Zhang, A. K., et al. (2025). CYBENCH: A FRAMEWORK FOR EVALUATING CYBERSECURITY CAPABILITIES AND RISKS OF LANGUAGE MODELS. To be published in International Conference on Learning Representations (ICLR 2025).

よくあるご質問(FAQ)