---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIがソフトウェアセキュリティに与える影響--数十年前のバグを発見する実力](https://japan.zdnet.com/article/35244852/)【ZDNET Japan】(2026年03月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- MicrosoftのAzure CTOがAnthropicのClaude Opus 4.6を用いて1986年のアセンブリーコードを分析し、数十年間見過ごされていた微細なロジックエラーを発見しました。
- この実験は、AIが古い、低レベルのコードから潜在的なバグを推論できることを示し、既存のコードベースに未発見の脆弱性が潜む可能性を再認識させました。
- 一方で、専門家はAIが悪意を持って過去のバイナリーをリバースエンジニアリングし、パッチ適用やサポートが終了したレガシーシステムが悪用されるリスクを懸念しています。
- 大規模言語モデル(LLM)は、静的解析ツールと同等の精度でバグを発見でき、システム全体の目的から故障モードを推論するなど、既存ツールを補完する有用性も示されています。
- しかし、AIコーディングエージェントは人間よりも多くのセキュリティ上の欠陥を生成する傾向があり、AIによる虚偽のセキュリティ報告がメンテナンス作業を妨げる事例も報告されています。
- 結論として、AIは適切な使い手がいれば強力な助手となりますが、現時点ではトップレベルの専門家の代わりにはならず、古いコードの脆弱性露呈リスクを考慮し、レガシーデバイスの買い替えも検討すべき時期が来ています。
> [!NOTE] 要約おわり
---
MicrosoftのAzure最高技術責任者(CTO)であるMark Russinovich氏が、自身の [LinkedInへの投稿](https://www.linkedin.com/posts/markrussinovich_opus-46s-security-audit-of-my-1986-code-activity-7436235669938614272-IV5f/) で、Anthropicの新しいAIモデル「 [Claude Opus 4.6](https://japan.zdnet.com/article/35243592/) 」を用いた興味深い実験結果を報告した。同氏は、1986年に自ら「Apple II」の「6502」プロセッサー向けに記述したアセンブリーコードの読み取りと分析を同モデルに依頼した。
Claudeは、単にコードの内容を解説しただけではなく、Russinovich氏が「セキュリティ監査」と呼ぶほどの高度な分析を実行した。具体的には、算術演算の後にキャリーフラグの確認を怠っている箇所など、数十年にわたり潜在していた微細なロジックエラーを特定したという。
この実験が衝撃的なのは、対象となったコードが現代のプログラミング言語やフレームワーク、セキュリティチェックリストが確立される以前のものだからである。それにもかかわらず、AIは低レベルな制御フローやCPUフラグを推論し、実在する欠陥を指摘した。これはベテランの開発者にとっても、長年運用されているコードベースには、従来のツールや人間が見過ごしてきたバグが依然として潜んでいる可能性があることを再認識させる出来事となった。
しかし、この進歩を手放しで喜べないとする専門家もいる。ベテランのGo To MarketエンジニアであるMatthew Trifiro氏は、AIが40年前の難解なアーキテクチャーをこれほど正確にリバースエンジニアリングできるのであれば、過去に出荷されたあらゆるコンパイル済みバイナリーが攻撃対象になると警鐘を鳴らす。同氏によれば、難読化などの手法は、もはや無価値に等しいという。
AIがバグの発見と修正を支援するという「朗報」の一方で、パッチ適用やサポートが終了した稼働中のプログラムにAIが悪用されるという「悲報」も存在する。
Lendsqr 創設者のAdedeji Olowe氏は、世界中に存在する数十億個ものレガシーなマイクロコントローラーの多くが、脆弱(ぜいじゃく)なファームウェアで動作している現状を指摘する。悪意のある攻撃者がOpusのようなモデルを使用すれば、修正不能なシステムから組織的に脆弱性を見つけ出し、悪用する恐れがある。
[PAGE 2](https://japan.zdnet.com/article/35244852/p/2/)
一方で、大規模言語モデル(LLM)が既存の検出ツールを補完する有用性も明らかになりつつある。
「SpotBugs」や「CodeQL」「Snyk Code」といった静的解析ツールは、ヌルポインター参照やインジェクションパターンなどの既知の問題を大規模に検出することに長けている。2025年に実施された比較調査では、「GPT-4.1」や「Mistral Large」「DeepSeek V3」といったLLMが、複数のオープンソースプロジェクトにおいて標準的な静的解析ツールと同等の精度でバグを発見できることが示された。
LLMのアプローチは、特定のルールに違反しているかを問う従来の方式とは異なり、システム全体の目的から故障モードや攻撃経路を推論する点に特徴がある。この手法は非常に強力であり、 [Mozillaによれば](https://blog.mozilla.org/en/firefox/hardening-firefox-anthropic-red-team/) 、Anthropicの「Frontier Red Team」はClaude Opus 4.6を用いて、わずか2週間で人間が通常2カ月かけて報告する数以上の高い深刻度のバグを「Firefox」から発見したという。
AIを活用したバグ検出の試みは他にも広がっている。Black Duckの「Signal」は、複数のLLMとModel Context Protocol(MCP)サーバー、AIエージェントを組み合わせ、リアルタイムにコードを分析して修正案を提示する。また、NCC Groupのようなセキュリティコンサルティング企業は、ソフトウェアのリバースエンジニアリングツールである「Ghidra」用のLLMプラグインを試験運用し、人間には発見が困難なバッファオーバーフローなどのメモリーの安全性に関する問題の特定に役立てている。
ただし、これらの成功例があるからといって、セキュリティチェックの全てをAIに委ねられる段階にはない。研究によれば、AIコーディングエージェントは人間よりも高い頻度でセキュリティ上の欠陥を生成する傾向がある。CodeRabbitの調査では、AIは“タイポ”こそ少ないものの、人間よりも1.7倍多くのバグを生み出し、特に重大な問題については1.3倍から1.7倍多く発生させることが判明した。
データ転送プログラム「cURL」の生みの親であるDaniel Stenberg氏も、AIが作成した根拠のない虚偽のセキュリティ報告が大量に寄せられ、メンテナンス作業が妨げられていると不満を募らせている。
結論として、AIは適切な使い手がいれば優れた助手となるが、現時点ではトップクラスのプログラマーやセキュリティ監査官の代わりを担うには至っていない。既存のツールとAIを慎重に組み合わせることで、プログラムの安全性は向上するだろう。しかし、古いコードの脆弱性が露呈するリスクは現実のものとなっており、ファームウェア駆動型デバイスの買い替えを検討すべき時期が近づいているのかもしれない。
提供:WhataWin via iStock / Getty Images Plus
この記事は海外Ziff Davis発の [記事](https://www.zdnet.com/article/ai-finds-hidden-bugs-old-code/) を4Xが日本向けに編集したものです。
### 関連記事
- [
Anthropic、「Code Review」を公開--プルリクレビューを劇的に効率化
](https://japan.zdnet.com/article/35244799/)
- [
「Android」スマホをベッド脇の時計として快適に使用するには--手順を解説
](https://japan.zdnet.com/article/35244640/)
- [
「OmegaLinux」レビュー--スピードを重視する人にお薦めの超高速ディストロ
](https://japan.zdnet.com/article/35244519/)
- [
起動が遅い「Linux」の原因を素早く特定する標準ツールの使い方
](https://japan.zdnet.com/article/35244553/)
- [「攻撃対象領域管理」への期待、最多は「脆弱性や設定ミスの早期発見とリスク低減」](https://japan.zdnet.com/article/35244834/)
- [AI企業が自ら提供するセキュリティ対策の真価と限界](https://japan.zdnet.com/article/35244507/)
- [企業向けAIエージェントが究極の内部脅威となる理由](https://japan.zdnet.com/article/35244506/)
- [AIエージェントの制御機能が契約更新時の優先事項に--Okta調査](https://japan.zdnet.com/article/35244461/)
- [AIにおける4種類の深刻な脆弱性--既知の解決策は存在せず](https://japan.zdnet.com/article/35243835/)
関連キーワード
[AIエージェント](https://japan.zdnet.com/keyword/AI%E3%82%A8%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%B3%E3%83%88/)
[大規模言語モデル(LLM)](https://japan.zdnet.com/keyword/%E5%A4%A7%E8%A6%8F%E6%A8%A1%E8%A8%80%E8%AA%9E%E3%83%A2%E3%83%87%E3%83%AB%EF%BC%88LLM%EF%BC%89/)
[脆弱性(ぜいじゃくせい)](https://japan.zdnet.com/keyword/%E8%84%86%E5%BC%B1%E6%80%A7%EF%BC%88%E3%81%9C%E3%81%84%E3%81%98%E3%82%83%E3%81%8F%E3%81%9B%E3%81%84%EF%BC%89/)
### 関連ホワイトペーパー
- [サービスリーリス前に要確認!AWS WAFの基本と運用の落とし穴](https://japan.zdnet.com/paper/30001365/30008558/)
- [マネージドルールの落とし穴。強固なAWS WAF運用を実現するポイントとは?](https://japan.zdnet.com/paper/30001365/30008559/)
- [サイバー犯罪の構造変化を見抜く。企業の安全を再定義する2026年のリスクシナリオ](https://japan.zdnet.com/paper/20013333/30008506/)
- [組織の資産が「私物化」される。個人向け名刺管理サービスを放置できない法的な理由](https://japan.zdnet.com/paper/20171915/30008504/)
- [名刺管理を「効率」だけで語るリスク。公知の紙から「守るべき資産」へ転換する防衛策](https://japan.zdnet.com/paper/20171915/30008505/)
- [便利さの裏に広がる“見えないリスク”。調査が映し出すWi-Fi利用とセキュリティのいま](https://japan.zdnet.com/paper/20029481/30008458/)
人気カテゴリ
[経営](https://japan.zdnet.com/paper/cio/)
[セキュリティ](https://japan.zdnet.com/paper/security/)
[クラウドコンピューティング](https://japan.zdnet.com/paper/cloud/)
[仮想化](https://japan.zdnet.com/paper/virtualization/)
[ビジネスアプリケーション](https://japan.zdnet.com/paper/business-application/)
[モバイル](https://japan.zdnet.com/paper/mobile/)
- [後悔しない!シニア向け平屋の間取り5選](https://dsp.logly.co.jp/click?ad=4AG4hpsDG-Qlt7H6JWwykvenlXjCpjd2oCVq13hIx2uzzaPWHaI8l1LYZVu8AitTmgzX2SeakHI_u44unlw0kwwMmjjtvmVD-WuxmSdW03qPYXlyY6tKe4iiUkz4E_6fvRdiT5nQ2e2QZqBCVqK61JN9mmLpjIqhFBHgBYsAR3Jli6E4xTDoF7vvC2myFA3wzWrlErqXz4VdDdN8XLzzzcUoGwE_Og7TxUQbgwb9i5kyNH7jIAW2ckRMC9ZX4tuiaLzK4VZTwYgYpDbwkYEocselEDJy6c2tQ6LcyHoke6K1PvMXnWv6EHnb2NULuY1F12ErV2GwUWR-kXji_t3BN9ZSTwggYT5TxU7zabPnVD-0POdA7OpjD25ytQ6Yaw2FHz4RWVqUecu6zZv0m5YDceBYrd92x7KHWm3hvpO3UOPZZiOdDWZ_jwvo2cVviKqFIyuJMX8MFhibb8Oz4DkBIftuG-PIhHTuKlyJklDPcTcLr3K-ETo-nBVharLY0Xxp4MjVZ_2fmyxNdJYLIcI-StaljC5dlHK1HoUhaWdxOEYWKOPZykWUHdOn0Sgo-4_shEIv8ydjBO1LX-wYD1uEY8dPJraWNtyPlN_QcBpMqABGETOEf-X2gL8kGPbpZ-5rKAYI1wdLIaRVvd3IqH6Np659FpuTz3xfKWF_PPsyVXgVQ05oHv47Qdz5yaA7m-HTsAgygP10oLdMhcdAdx9PZKdIqWTn0N0nT2KYn8OyOytr74lvWUsVKw)
- [シニア世代がこの間取りに後悔...5つの事例](https://dsp.logly.co.jp/click?ad=4AG4hpsDG-Qlt7H6JWwykvenlXjCpjd2oCVq13hIx2sVYIKOnVqqs5usbxb6QUm9ZTHBS7UWygCOGKmcRlAN1lRcGtQmQbruMhl58Ph7KeGWke4WqKIxw0u9rS7NzqSqzXHoeCN_VzNhnjlKiAbchPNWIPQ6MtUKpqTnLE-RAvUXRufI6rfgVzTUCz2DIEcUQcprMQeSOKXyqGJiJxNpRyZ_7qiNafekMo0irFMsCLbnPibp3G2pNE2lCuET_4dyLKe-0O68cVdBDrt0TT6Fd1CxW3UmDFAD6VYLnpa4mHJTQ5YGBaPXvfpDdqhtH1xM3D6OCxbFrW-48AO0FAaPLs0KQjJRN7LHPhogH25wjJRqQGLi6smwMdKtDtQXdlpvn1wDlXE_nkCsHOx4FmBA-P8fGIrGhf6ESH5IKQ50Itu0eqGO-dA2NAWkTUr-PQawfEGpEnOz2XWQp1GaHB_jsoT4zh7BXsLsJuVkHTDxrYvqb3E7QWY-LYUUlvB3SbEAw8PYsewODWttDi0LvSX0srcQD4DZpoSmCIelgl2yT683ofzeEzVk1gQE8MYkzewGDxYbbU4FWkOnqTTammv2vqASMUBP0CnDtEkBROhpWScap-nlzKwhrOwAHT0ys3Zw83O0_S7DCNEVWXckKawxN9PTBd6XBdDVXmIk0nC3UobG-4cMw1ntQBVJ-PsCFel1POPTg9XGlmW-pc7P6Rky9CW5YNjGaiNuyt2EKLz2_uggOYkoTfTF0A)
- [1000万円以下で建つ家 事例集【知らなきゃ損】](https://dsp.logly.co.jp/click?ad=4AG4hpsDG-Qlt7H6JWwykvenlXjCpjd2AC7Jws79oWYdRx7bwb1vvDXJNuJcqNinUARZ-yu_mxieJ0ak3DP7uR-bANN3DR8S_FgRZNZJO3Iv1qsEddI6KboyijnLr2D4WGE5psVPv6GSi8VF7pZBje7E1eRsprs7qlK6xhwzaFPxEyinTmUXTdUODjU6tILGxdnmXVIS7m1i8M3f2yCMvvtEDM0bZ119wQxFy4-dvJ10UdFaXEMUnlUJLUlGAZW4zkpOD0q6RNAoSXiIcxNZCT_rwCe7A26WsSGrUaZuBcXE4STkS65VRLKfOJZCWnfCT6QbAIypHBD_YXB9Id6k0kCuy1l95Z76JEGs700UO3JCczcprMjBoFW0W5-CkvyCng7Bgy1cKCm2zd3_bUEToFQKMqc1S2GiqDLcT_JP0J69NVfSHzUpBAlyhniGCZY6_WGk7XFAxKdjB6tuBDaq42b9GStbjjH1dk6UUFTS0BkpPSsEjrPrBewnw44wgQTHZtX6mqPcQHCETRM5lHAoUR8CEss-jnalbH2tbh7WhJ6DBdVJLawzi5Pr7HDpDplqgPsax7oL6Fn_tUlPeAhdVkhRct73yW70cKuUScZ5EvE2VYmy1foStWIWEGiC0FAdbBHFiCsVWky4WtJp7J71JouzT-zmpttBe83AUhC6Tb3mK0vtJTO2iA)
[Ads by logly](https://www.logly.co.jp/privacy.html)