2025年、AI駆動のバグバウンティ自律システムが「デモ」から「実績」へ移った。XBOWはHackerOne上で上位の成果を公表し、CAI(Cybersecurity AI)フレームワークはCTFのAI vs Human競技で上位に食い込んだ。これらは単なるツールの高度化ではなく、脆弱性発見を回す主体が人間から自律エージェントへ移ることを意味する。

本稿は、(1) XBOW/CAIの達成が示す転換点、(2) 自律バグバウンティAIの典型アーキテクチャ、(3) 防御側・攻撃側双方の運用がどう変わるか、を2026年に向けた実装目線で整理する。

1. 2025年の「実績」が2026年の「運用」を決めた

XBOWについては、2025年6月時点でHackerOneの米国リーダーボード首位に到達したと報じられ、同年8月にはグローバルでも1位になったと自社が公表している。少なくとも「AIがトップクラスのバグバウンティ成果を継続的に出す」事実が、外部の指標により可視化された。結果として2026年の論点は、AIが脆弱性を見つけられるかどうかではなく、見つけ続けることを前提に、組織とプラットフォームの設計をどう変えるかに移る。

CAIは研究系フレームワークであるが、CTFでの結果と実測値を伴って「自律度の高いAIがセキュリティ課題を高速に解ける」ことを示した。CAIの論文は、CTFタスクで人間より最大3,600倍速いケースや平均11倍速いという効率差、そしてAI vs HumanのライブCTFでAIチーム中1位・世界上位(トップ20)に入ったと報告している。ここで重要なのは、速度と再現性が揃うと、脆弱性探索が“イベント”ではなく“常時稼働プロセス”へ変わる点である。

2. 自律バグバウンティAIの典型アーキテクチャ

自律バグバウンティAIは「LLMが全部やる」では成立しない。実運用で必要になるのは、探索対象の選定から再現・報告までを閉ループ化し、誤検知を抑え、運用コストを制御できる形に落とすことである。典型形は次のパイプラインになる。

  • ターゲット選定:スコープ(資産・バージョン・公開面)を入力に、優先度を付けて探索計画を生成する。攻撃面(Attack Surface)の列挙と、既知のクラス(認可欠陥、SSRF、XSS、IDOR等)に基づく仮説立案を行う。
  • 観測と仮説更新:ブラウザ自動操作、APIクローリング、バイナリ/設定の収集、ログの解析など、外部ツールで得た事実を証拠として保持し、仮説を更新する。ここが自律度の実体であり、単発のプロンプトよりも状態管理が支配的になる。
  • 実行環境:PoC実行・fuzzing・動的解析は隔離環境(コンテナ、VM、ネットワーク分離)で回す。成果物(リクエスト、レスポンス、クラッシュログ、スタックトレース、差分)を追跡可能に保存する。
  • 検証(Verification):脆弱性の成立条件を満たす最小手順を抽出し、再現性を確認する。報告で最も価値が高いのは「再現できる証拠」であり、AIがここを自動化できると人間のボトルネックが大きく減る。
  • トリアージ支援:重複・既知・環境依存・誤検知を削る。自律エージェントが大量提出する世界では、プラットフォームも受け手も“提出前トリアージ”を要求する設計に寄る。
  • レポート生成:影響範囲、攻撃シナリオ、修正提案、再現手順、ログ、スクリーンショットを構造化し提出する。ここでも「証拠の紐付け」が重要である。

CAIの主張が興味深いのは、こうした自律パイプラインを前提に「サイバーセキュリティにおける自律度レベル」を分類し、HITL(Human-in-the-loop)を含めた運用モデルとして提示している点である。自律化は“人間ゼロ”ではなく、介入箇所を狭める工学である。

3. 速度優位は「並列化」と「試行回数」で増幅する

CAIの結果は、CTFにおいて「人間が数時間から数日かける課題を分単位で解く」効率差が生まれ得ることを示した。ここで速度優位は単体モデル性能以上に、次の2点で増幅する。

  • 並列性:人間は一度に1〜数本の仮説しか追えないが、エージェントは多数の仮説を同時に追える。スコープが広いほど“同時探索”が効く。
  • 試行回数:脆弱性発見は探索問題である。低コストで試行回数を増やせる主体が勝つ。CAIはトークンコスト最適化など、常時稼働を現実化する設計論も前面に出している。

一方で、速度が上がるほど「誤検知の量」も増えやすい。したがって2026年の実装論は、発見能力の最大化ではなく、(a) 証拠駆動で再現性を担保する、(b) 受け手のトリアージ負荷を下げる、(c) 法務・契約・倫理を満たした運用境界を設計する、の3点に収束する。

4. 防御側は“脆弱性提出の高頻度化”を前提に設計し直す

自律バグバウンティAIが普及すると、防御側の現場は「脆弱性が見つかること」ではなく「見つかり続けること」に晒される。特にSaaSやAPIは日次で変化し、AIはその変化に追随して再発見を繰り返す。防御側が取るべき設計は、次のように“常時稼働の検証”へ寄る。

  • 攻撃面の可視化:資産台帳、外部公開面、依存関係、権限境界を最新化する。AIが突くのは、しばしば台帳の外側である。
  • ガードレールの自動化:認可(ABAC/RBAC)、入力検証、シークレット管理、CSP/CSRFなど、クラス単位で予防線を敷く。AIは同型の欠陥を高速に量産できるため、個別修正だけでは追いつかない。
  • 提出受付の設計:重複排除、再現手順の機械検証、ログ添付の必須化など、AI提出に耐える“前処理”を整える。プラットフォーム側のルールもここに寄る。

攻撃側の自律化が進むほど、防御側も検証を自律化する必要がある。つまり「AIで攻める」だけでなく「AIで守る」ことが同時に要請される。

5. 攻撃側の影響: 参入障壁の低下と“倫理境界”の再定義

CAIは「非専門家でも実運用のバグ発見に到達し得る」可能性を示唆しており、エコシステムの参入障壁は下がる。これはバグバウンティの裾野を広げる一方、スコープ逸脱や過剰な自動化によるサービス影響、責任所在の不明確化を招く。2026年に向けた現実的な整理は次である。

  • プラットフォーム:自動化の開示、レート制限、スコープ検証、提出物の機械検証など、AI提出を前提としたルール設計が必要である。
  • 企業:バグバウンティを「外部テスター」ではなく「外部自律システム」を受け入れる仕組みに再定義する。検証環境、再現ログ、SLA、セーフハーバー条項を更新する。
  • 研究者/開発者:自律エージェントの能力が上がるほど、評価(ベンチマーク)と安全策(隔離・監査・停止条件)が重要になる。競技CTFの結果は上限を示すが、実環境の制約は別である。

結論として、XBOWとCAIが示したのは「発見能力の到達」ではなく「運用モデルの転換」である。脆弱性発見は、人間の技能競争から、エージェントの運用設計競争へ移りつつある。2026年に問われるのは、どの組織がこの転換を、法務・倫理・運用まで含めて実装できるかである。

FAQ

XBOWとは何か

公開情報ベースでは、XBOWはAI駆動で脆弱性を探索しバグバウンティで成果を出すことを目的とした自律システムである。2025年にHackerOneで上位の実績を公表している。

CAIとは何か

CAI(Cybersecurity AI)は、CTFやバグバウンティを想定したオープンなフレームワークである。論文では、複数エージェントとツール統合、HITLを含む運用設計を示し、CTFでの上位成績や速度優位を報告している。

自律バグバウンティAIは人間のペンテスターを置き換えるのか

短期的には「置き換え」より「役割分解」が現実的である。探索・再現・報告の機械化が進む一方、スコープ設計、ビジネス影響評価、修正優先度、法務・倫理判断は依然として人間の責務である。

防御側は最初に何を整備すべきか

攻撃面の台帳整備と、再現性のある証拠提出を前提にした受付・トリアージの仕組みである。次に、認可と入力検証など“クラス単位”のガードレールを強化することが効く。

CTFの結果をそのまま実環境へ外挿してよいか

そのままの外挿は危険である。CTFは課題が設計されており、実環境はノイズと制約が多い。ただし、速度・並列性・試行回数の優位がある以上、「実環境でも探索が高頻度化する」方向性自体は外挿可能である。

参考文献