OpenAIのo3モデルでLinuxカーネルのゼロデイ脆弱性を発見した方法とは – GIGAZINE

コードについて推論する能力を飛躍的に向上させたOpenAIのAIモデル「o3」を使ってLinuxのゼロデイ脆弱(ぜいじゃく)性を発見した方法について、テクノロジー専門家のショーン・ヒーラン氏が解説しました。

How I used o3 to find CVE-2025-37899, a remote zeroday vulnerability in the Linux kernel’s SMB implementation – Sean Heelan’s Blog
https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/

ヒーラン氏はネットワーク上でファイルを共有するためにカーネル空間でSMB 3プロトコルを実装するLinuxカーネルサーバー「ksmbd」の脆弱性を調査する中で、ksmbdで見つけたバグでo3の能力を測るベンチマークテストを実行しました。

ヒーラン氏が指標として取り上げたのは、ヒーラン氏自身が発見した脆弱性「CVE-2025-37778」です。これはuse-after-free脆弱性と呼ばれるものの一種で、既に解放されたメモリを参照することでデータ破損や悪意のあるコードの実行を招いてしまうものです。

この脆弱性を検証する際は、「特定のコードが有効化されていれば、特定の処理をする。されていなければ別の処理をする」といった処理が正常に働いているかを確認すればいいのですが、最低限のコードを読む必要があり、特定の状況でどのような処理が行われるかを推測する必要があるため、AIの推論能力を試せるとヒーラン氏は考えたそうです。

そこで、ヒーラン氏はo3にuse-after-free脆弱性を探すように指示し、ksmbdとは何か、そのアーキテクチャとは何か、その脅威とは何かについて、高度な概要をわかりやすく説明するよう求めました。

その結果、o3は100回の実行のうち8回で脆弱性を発見したとのこと。別のモデルでは、Claude Sonnet 3.7は100回の実行のうち3回、Claude Sonnet 3.5は0回だったそうです。

o3の実力が確かめられたため、さらに詳しいプロンプトを与えて再試行したところ、100回のうち1回で未知のゼロデイ脆弱性を指摘し、その処理について詳しく解説したといいます。

ヒーラン氏はこれを検証し、「CVE-2025-37899」として正式に報告しました。

ヒーラン氏は「o3の報告書を読んで、AIツールが脆弱性の調査において役に立つことがわかりました。o3はコードについて推論する能力を飛躍的に向上させています。もしあなたが専門家レベルの脆弱性リサーチャーやエクスプロイト開発者なら、o3があなたに取って代わることはありませんが、あなたの効率を大幅に高められるでしょう。無意味な結果を出してあなたをいら立たせる可能性は十分にありますが、正しい結果を得られる可能性も高くなっており、使ってみる価値は十分にあるということです」と述べました。