AI駆動ペンテストの転換点 ── 自動化ツールが到達した「人間模倣」の水準

2025年8月、DARPAが主催するAI Cyber Challenge(AIxCC)の決勝戦がDEF CON 33で開催され、AIシステムによる脆弱性発見率は77%、パッチ適用成功率は61%に達した。前年の準決勝(発見率37%、パッチ率25%)から劇的な向上を遂げ、18件のゼロデイ脆弱性が実際に発見された。この結果は、AIによるセキュリティ検証が理論段階を超え、実戦レベルに到達したことを明示している。

同時期、オープンソースのAI駆動ペネトレーションテスト(ペンテスト)ツールが急速に高度化している。PentestGPT、HexStrike AI、Strixといったプロジェクトは、偵察・脆弱性分析・エクスプロイト生成・PoC検証という一連のペンテストプロセスをLLMで自動化し、従来は熟練テスターにしか実行できなかった手法を民主化しつつある。本稿では、これら3つの主要ツールの技術アーキテクチャを解析し、攻撃側・防御側双方への構造的影響を分析する。

PentestGPT ── 学術発のLLMペンテストフレームワーク

PentestGPTは、シンガポール南洋理工大学(NTU)のGelei Deng氏を中心とする研究チームが2023年に公開したオープンソースのペンテストエージェントである。2024年8月にはUSENIX Security 2024で論文が発表され、Distinguished Artifact Awardを受賞した。GitHubでは11,500以上のスターを獲得し、AI駆動ペンテストの先駆的プロジェクトとして広く認知されている。

アーキテクチャの核心は、3つの専門モジュールによる分業構造にある。推論モジュール(Reasoning Module)は、サイバーセキュリティの攻撃ツリーに基づく「ペンテストタスクツリー(PTT)」を維持し、全体戦略を統括する。生成モジュール(Generation Module)は、Chain-of-Thoughtプロンプティングにより高レベルの目標を実行可能なコマンドに変換する。解析モジュール(Parsing Module)は、ツール出力・ソースコード・HTTPレスポンスなど多様なデータを要約し、トークン消費を抑制しながら重要情報を保持する。

v1.0(2024年リリース)では、対話型ガイダンスから完全自律型エージェントへとアーキテクチャを刷新した。AgentControllerによるエージェンティックパイプラインを採用し、Docker環境での隔離実行、セッション永続化、非同期タスク処理を実装している。LLMバックエンドはAnthropic Claude、OpenRouter、Ollama等のローカルLLMサーバーをサポートする。

ベンチマーク性能では、XBOWバリデーションスイートで86.5%(104件中90件)の成功率を達成し、1件あたりの平均コストは1.11ドル、平均所要時間は6.1分である。HackTheBoxの実環境では、難易度Easy 4問・Medium 1問を平均21.90ドルで解決し、CTF競技では248チーム中24位の成績を記録した。ただし、2025年の比較テストでは初期化エラーやLLMプロバイダ設定の問題が報告されており、プロダクション利用には安定性の課題が残る。

HexStrike AI ── MCPサーバーが実現する150超ツール連携

HexStrike AIは、サイバーセキュリティ研究者のMuhammad Osama(0x4m4)氏が2025年7月に公開したMCPサーバーベースのペンテストフレームワークである。Model Context Protocol(MCP)を介して、Claude、GPT、Copilot等のLLMエージェントが150以上のセキュリティツールを自律的に操作できる点が最大の技術的特徴である。Kali Linuxの公式パッケージリポジトリにも収録されており、apt install hexstrike-aiで導入できる。

ツール統合は複数のカテゴリに分類される。ネットワーク偵察(Nmap、Masscan、Rustscan、Amass、Subfinder等25種以上)、Webアプリケーションテスト(SQLMap、Nikto、FFuf、Burp Suite連携等40種以上)、パスワード攻撃(Hydra、John the Ripper、Hashcat等15種以上)、バイナリ解析(GDB、Radare2、Ghidra等)、クラウドセキュリティ(Prowler、Trivy等20種以上)が含まれる。v6.0.0(2025年12月)では、v5.0のツール数70超から150超へと倍増した。

アーキテクチャは12以上の自律AIエージェントによるマルチエージェント構成を採用する。IntelligentDecisionEngineが戦略立案とツール選択を、CVEIntelligenceManagerがリアルタイムの脆弱性相関分析を、AIExploitGeneratorが自動エクスプロイト生成を担当する。LRUキャッシュ戦略、リアルタイムプロセス管理、チェーン攻撃時のリトライロジックにより、複雑なエクスプロイトチェーンの自動実行を可能にしている。4,000以上のNucleiテンプレートと35以上の攻撃カテゴリを統合し、Webアプリケーションからクラウドインフラまでを網羅する。

しかし、HexStrike AIは深刻なデュアルユース問題に直面している。2025年9月、脅威アクターがHexStrike AIを悪用し、Citrix NetScalerの3件の脆弱性(CVE-2025-7775、CVE-2025-7776、CVE-2025-8424)を公開から1週間以内にエクスプロイトした事例がCheck Point、The Hacker News、Infosecurity Magazine等で報告された。脆弱性開示からエクスプロイトまでの時間が「数日から10分未満」に短縮されたとされ、オープンソースAIペンテストツールの武器化リスクを象徴的に示した。

Strix ── PoC検証まで自律実行するAIハッカー

Strixは、エジプト出身でサンフランシスコを拠点とするAhmed Allam氏が2025年9月に公開したオープンソースのAI駆動ペンテストエージェントである。Hacker Newsで1位を獲得し、公開初日で600以上のGitHubスターを獲得した。Apache 2.0ライセンスで提供され、現在のバージョンはv0.7.0(2026年1月23日リリース)である。

Strixの最大の技術的差別化ポイントは、脆弱性の発見から実証(PoC)検証までを自律的に完結する点にある。HTTPプロキシ、Playwright連携のブラウザ自動化、ターミナルアクセス、Pythonランタイムを統合し、Docker内のサンドボックス環境で安全にエクスプロイトを実行する。SQLインジェクション、認証バイパス、安全でないオブジェクト参照(IDOR)など、報告される脆弱性には動作するPoCが付随するため、偽陽性の排除を構造的に実現している。

アーキテクチャはマルチエージェントのグラフベースワークフローを採用する。マネージャーエージェント(「Brain」)が高レベルの計画とタスク委任を統括し、専門エージェントがアクセス制御、インジェクション、サーバーサイド脆弱性、クライアントサイド脆弱性、ビジネスロジック、認証、インフラ設定の7カテゴリを分担する。各エージェントは「Think-Plan-Act-Observe」の認知ループで動作し、LiteLLM抽象化レイヤーを介してOpenAI、Anthropic Claude、Google Geminiをバックエンドとして利用できる。v0.6.0以降では、LLMの思考ブロック(thinking blocks)をステップ間で連鎖させる機能が追加され、推論の一貫性が強化された。

Allam氏は、「AI生成コードは技術的に正しく見えるが、少なくとも45%のケースで深刻なセキュリティ脆弱性を含む」という課題認識からStrixを開発したと述べている。CI/CDパイプラインへの統合(GitHub Actions対応)やヘッドレスCLIモードにより、プルリクエストごとの継続的セキュリティテストを実現する設計となっている。Fortune 500企業のセキュリティエンジニアやHackerOneのトップバグバウンティハンターによる採用も報告されている。

3ツールの技術比較と進化の方向性

3ツールは、それぞれ異なるアプローチでAIペンテストの自動化に取り組んでいる。PentestGPTは学術的基盤に立脚したタスクツリー推論、HexStrike AIはMCPプロトコルによる大規模ツール統合、StrixはPoC駆動の自律検証をコアコンセプトとする。

自律性のレベルでは、PentestGPT v1.0とStrixが完全自律型に位置し、HexStrike AIはLLMエージェントとの対話型連携を主軸とする。PoC生成の自動化ではStrixが最も成熟しており、PentestGPTとHexStrike AIはエクスプロイトの実行支援に留まる。ツール連携の規模ではHexStrike AIの150超が突出し、PentestGPTはDocker内蔵の20種超、StrixはCaido・Nuclei・Playwrightなど厳選されたツールセットを採用する。

2025年12月に発表されたARTEMIS研究(スタンフォード大学、カーネギーメロン大学、Gray Swan AI共同)は、AIエージェントと人間のペンテスターを実企業ネットワーク(約8,000ホスト、12サブネット)で直接比較した初の厳密な評価である。ARTEMISは10人のOWASP認定テスターのうち9人を上回り、コストは時給18ドル(人間テスターは60ドル)であった。一方、GUIベースの操作や曖昧なHTTPレスポンスの解釈では人間が優位であり、偽陽性率もAIのほうが高かった。この結果は、AIペンテストツールが「人間の補完」から「人間の代替候補」へと移行しつつある一方、完全な自律化にはまだ距離があることを示している。

攻撃側と防御側への構造的影響

AIペンテストツールの民主化は、セキュリティのパワーバランスに二重の影響を及ぼす。

防御側の恩恵として、第一にペンテストのコスト構造が変化する。従来、専門家による手動ペンテストは数週間の工数と高額な費用を要したが、AIツールは数時間で同等以上の範囲をカバーできる。ARTEMIS研究の時給18ドルという数字は、中小企業やスタートアップにもペンテストを日常的なプロセスとして組み込む道を開く。第二に、継続的セキュリティテストが現実化する。Strixのように CI/CDパイプラインに統合可能なツールは、コードの変更ごとに自動検証を実行し、「年1回のペンテスト」から「常時監視」への転換を促す。EUのDORA規制(2025年1月施行)やNIS2指令が求める定期的な脅威ベースペネトレーションテストへの対応も容易になる。

攻撃側の脅威として、最も深刻なのは脆弱性開示からエクスプロイトまでの時間(Time-to-Exploit)の劇的な短縮である。HexStrike AIのCitrix事例では、この時間が1週間未満に圧縮された。従来、パッチ適用までの「猶予期間」として機能していた時間的余裕が消失し、防御側にはほぼゼロデイ対応の即応性が求められる。また、ペンテストの民主化は、技術的スキルが低い攻撃者にも高度なエクスプロイト能力を提供する「スキルの平準化」をもたらす。これは、セキュリティコミュニティが長年議論してきたMetasploitのデュアルユース問題の、AIによる増幅版といえる。

ペンテスト市場は2025年時点で27.4億ドル規模とされ、2034年には74.1億ドルに達すると予測されている。Penetration Testing-as-a-Service(PTaaS)は29.1%のCAGRで拡大しており、AIツールの統合がこの成長を加速させている。しかし、ツールの信頼性には大きな差がある。2025年の比較テストでは、StrixとCAI(Cybersecurity AI)が実用レベルの結果を出した一方、PentestGPTやNeuroSploit等は初期化エラーやLLM設定の問題で実行に失敗するケースが報告されている。ツール選定には慎重な評価が必要である。

NISTサイバーセキュリティフレームワークのAIプロファイル(NISTIR 8596)が2025年12月に草案公開されたことは、規制面での方向性を示している。AIシステムのセキュリティ確保、AI活用型サイバー防御、AI悪用の阻止という3領域を統合的にカバーし、6,500以上のコミュニティ貢献者が策定に参加した。AIペンテストツールの利用は、こうした規制・ガバナンスフレームワークの中に明確に位置づけられるべきである。

FAQ

PentestGPT、HexStrike AI、Strixのうち、どれが最も実用的か?

用途によって異なる。学習・CTF向けにはPentestGPT、大規模ツール連携にはHexStrike AI、PoC検証を含む自律テストにはStrixが適している。2025年の比較テストではStrixの信頼性が最も高いと報告されている。

AIペンテストツールは人間のペンテスターを完全に代替できるか?

現時点では代替は困難である。ARTEMIS研究では、AIが人間の90%を上回る一方、GUIベースの操作やビジネスロジックの理解では人間が優位であった。業界のコンセンサスは「AIと人間の協働」モデルである。

オープンソースAIペンテストツールの利用に法的リスクはあるか?

書面による明示的な許可なしにシステムをテストすることは、CFAA(コンピュータ詐欺および不正利用防止法)等に抵触し違法となる。クラウド環境では、利用者とプロバイダ双方の許可が必要である。ツール自体の利用は合法だが、対象と範囲の事前承認が必須である。

HexStrike AIが悪用された事例はあるか?

2025年9月、脅威アクターがHexStrike AIを用いてCitrix NetScalerの脆弱性を公開から1週間以内にエクスプロイトした事例がCheck Point等により報告されている。脆弱性開示から大規模悪用までの時間が大幅に短縮されるリスクが実証された。

AIペンテストに関する規制やガイドラインはあるか?

EUのDORA規制(2025年1月施行)は金融機関に3年ごとの脅威ベースペネトレーションテストを義務化している。NIS2指令も定期的な脆弱性評価を要求する。NISTは2025年12月にAIサイバーセキュリティプロファイル(NISTIR 8596)の草案を公開した。

参考文献