2025年4月22日に公開されたCAI(Cybersecurity AI)フレームワークは、AIセキュリティを「モデル性能の話」から「検証経済の再設計」へと押し出した出来事であった。論文の中核的主張は、非専門家でも自律AIを用いてエキスパート級の脆弱性発見プロセスを回せるようになる、という点にある。著者らは、CAIが人間参加のCTFでAIチーム首位を獲得し、Hack The Boxでも上位30位に到達し、実運用のバグバウンティ環境で15件の未知脆弱性を発見したと報告している。しかも、これを従来比3,600倍の速度、156分の1のコストで回せたとする。ここで重要なのは「AIが人間を置き換えたか」ではない。探索コストの急低下により、これまで熟練者にしか割り当てられなかった検証行為が、監督付きの半自律ワークフローとして市場に供給可能になった点である。

もっとも、こうした数値をそのまま「完全自律ペンテストの到来」と読むのは早計である。CAI論文自体が示しているのは、偵察、仮説生成、検証、報告というサイクルのうち、多くの部分をAIに委譲できるという事実であり、顧客折衝、資産境界の解釈、法的許諾、被害最小化判断までを完全無人化できるという証明ではない。本稿では、CAIの技術構造を分解しながら、Bug Bounty市場の報酬経済、HITL(Human-in-the-Loop)設計、ROIの3軸から、自律AIセキュリティの現実的な実装条件を整理する。

CAIが変えたのは「精度」よりも探索単価である

CAIの論文で最も経済的含意が大きいのは、脆弱性探索の限界費用を一気に引き下げた点である。従来のペネトレーションテストは、経験豊富な人材の時間を高単価で投入する職人型産業であった。発見件数は能力に比例しやすい一方、試行回数は人件費で厳しく制約される。これに対してCAIは、情報収集、コード理解、攻撃面の列挙、ペイロード生成、結果の再試行をエージェント化し、失敗を前提に大量探索を回す。3,600倍高速という値は、単に「仕事が早い」という意味ではない。従来なら採算が合わなかった低確率シナリオや派生系の検証まで、探索ポートフォリオに組み込めることを意味する。

156倍のコスト削減も同様である。多くの企業がセキュリティ投資で直面するのは、重大事故の期待損失は大きいが、事前にどこまで人手を張るべきかが読みづらいという問題である。CAI型の自律検証は、この不確実性に対して「熟練者の作業時間を全部減らす」のではなく、「熟練者が見る前の候補生成コストを下げる」方向で効く。したがって、経済効果の本体は人件費の置換ではなく、専門家1人あたりが監督できる探索量の増加にある。AIセキュリティの競争優位は、単体モデルの賢さではなく、どれだけ安く、速く、失敗を繰り返せるかという運用構造の差に宿る。

ここで、論文が報告するCVSS 7.5のSQLインジェクション発見は象徴的である。重要なのは、AIが単発の派手なデモを成功させたことではなく、実サービスに対して市場価値を持つ欠陥を継続的に発見しうることを示した点だ。CTF成績は能力の上限を示すが、バグバウンティで報酬化できる脆弱性発見は、経済価値への接続を示す。CAIの意味は、研究ベンチマークと産業市場が初めて同じループでつながったところにある。

「非専門家が使える」の正体は、判断の外部化と再利用可能な手順化にある

CAIが民主化をもたらす理由は、非専門家が突然セキュリティ理論を理解するからではない。むしろ逆であり、熟練者の暗黙知を、観察可能な状態遷移とツール呼び出し列に分解できるようになったからである。偵察の順番、怪しいエンドポイントの見分け方、失敗時の分岐、入力検証の抜け方、再現手順の要約といった一連の判断が、エージェントのワークフローとして再利用可能になれば、操作者には「正しい問いを与え、境界条件を管理し、結果を吟味する」能力があればよい。ここに、非専門家でもエキスパート並みの成果へ接近できる構造がある。

この構造は、ソフトウェア開発におけるCopilot以後の変化と似ている。初心者が達人になったのではなく、達人の作法が補助システムに埋め込まれ、監督付きで再生産可能になったのである。CAIでは、攻撃ツリーの展開、ツール選択、結果検証、レポーティングの各段階が分離されているため、人間は最終意思決定者として参加しやすい。つまり民主化の本質は、能力の平準化ではなく、専門性のモジュール化である。

ただし、この民主化には条件がある。第一に、許可された対象範囲が厳密に定義されていること。第二に、誤検知と過剰試行を止めるレールガードがあること。第三に、発見結果を人間が再現し、報告品質を担保できることだ。非専門家が安全に使えるのは、AIが万能だからではなく、危険な自由度を事前に削っているからである。ここを無視して「誰でも自律ペンテスト可能」と読むと、制度とガバナンスの欠落を見落とす。

Bug Bounty市場では「AI加速・人間監督」モデルが最も現実的である

HackerOneが2025年4月9日に公表した年次報告では、2024年のペイアウト総額は8,100万ドル超に達し、AIによってセキュリティの業務速度が増しているとの認識が広がっている。また同社は、組織の4分の3超が何らかの形でAIを活用していると報告している。ここから読めるのは、Bug Bounty産業がすでに「人手だけの市場」ではなくなっているという事実である。だが、現場の最適解は完全自律ではなく、AIが探索面積を広げ、人間が法務・優先順位・報告受理を担う混成モデルである。

理由は明快である。バグバウンティの価値は、発見そのものだけではなく、重複排除、影響度評価、再現性、顧客とのコミュニケーション、そして安全な開示手順によって決まるからだ。AIは候補を大量生成できる一方、対象のビジネス文脈や資産重要度を誤読しやすい。反対に人間は高価だが、境界条件の逸脱や報告不成立のリスクを下げられる。したがって市場設計としては、AIが一次探索を担当し、人間が「提出に値するか」を絞る方が総収益率は高い。

このときKPIは、発見件数そのものではなく、1件あたり有効報告コスト、1件あたり再現時間、重複提出率、重大度別の受理率になる。CAI型システムが企業に与える実務上のインパクトは、レッドチームの代替ではなく、脆弱性検証パイプラインの上流に大量の候補を安価に流し込める点にある。バグバウンティ運営者、MSSP、社内AppSecチームのいずれにとっても、AIの価値は「専門家を不要にすること」ではなく「専門家の時間を高価値案件へ集中させること」である。

2028年まで完全自律は難しいという見方は妥当だが、根拠は性能より制度側にある

「完全自律のペンテストは2028年まで実現不可能」という断定は、CAI論文やHackerOneの一次資料からそのまま導けるものではない。したがって、この年限は厳密な科学的予測というより、業界の成熟見通しとして扱うべきである。そのうえで、この見方自体はかなり妥当である。理由はモデル性能の不足だけではなく、完全自律化に必要な制度条件が2025年時点で整っていないからだ。

第一に、許諾管理の問題がある。実運用のペンテストは、攻撃の可否が技術条件ではなく契約条件で決まる場面が多い。AIが複数資産を横断するとき、どこまでが許可済みで、どこからが越境かを機械可読で厳密に定義しなければならない。第二に、停止責任の問題がある。障害兆候やデータ毀損リスクが見えた瞬間に誰が介入するかは、依然として人間の責任である。第三に、報告責任の問題がある。重大脆弱性の開示順序や緩和助言は、単なる事実列挙では済まない。これらはモデルスコアが上がるだけでは解決しない。

したがって、2028年という節目を考えるなら、焦点は「AIが十分賢くなるか」よりも、「自律検証を安全に運用できる契約・監査・権限制御が普及するか」に置くべきである。今後3年で起こりうる現実的な変化は、完全無人化よりも、HITLを前提としたレベル分化である。すなわち、レベル1はAI補助の手動診断、レベル2はAI主導の探索と人間承認、レベル3は限定範囲での自律実行、という形である。CAIが証明したのはレベル2の高い実用性であり、ここに当面の市場が立つと見るのが合理的である。

企業が取るべき設計は、HITLをコストではなく資本効率として扱うことである

ROIの観点では、CAI導入の成否はモデル利用料では決まらない。重要なのは、人間がどの地点で入り、どの判断を持ち、どの失敗を止めるかを明示することである。推奨される設計は、1. 対象範囲と禁止行為のポリシー化、2. AIによる広域探索、3. 人間による候補トリアージ、4. 承認済み経路だけの深掘り、5. 人間による最終報告、という五段階である。この構成なら、AIは試行回数を担い、人間は責任と品質を担える。

経営的には、HITLは余分なオーバーヘッドではない。誤検知提出、契約逸脱、再現不能報告、障害誘発といった高コスト事故を抑える保険であり、同時にブランド毀損を避ける統制装置でもある。AIだけで探索を最大化すると、短期的には件数が増えても、長期的には信頼コストが累積する。逆に人間だけに依存すると、供給制約で機会損失が拡大する。したがって最適点は、AIで探索面積を拡張しつつ、監督ポイントを少数精鋭に集中させる資本効率の高い構成にある。

結論として、CAIはペネトレーションテストを「完全自律化」したのではなく、「専門家の希少性を補完しながら、検証市場の単価構造を壊した」のである。これはBug Bounty産業にも社内AppSecにも大きい。非専門家でも成果に近づける一方で、責任ある運用にはむしろ高度な監督設計が必要になるからだ。2025年の論点は、AIが脆弱性を見つけられるかではなく、AIが増やした探索量を、誰が、どの統制の下で、収益と安全に変換するかである。CAIが民主化したのは攻撃知識そのものではない。探索の経済学である。

FAQ

CAIは本当に非専門家でも使えるのか。

限定的には使えるが、無制限に安全という意味ではない。CAI型の価値は熟練者の手順をワークフロー化し、非専門家でも候補探索を回しやすくした点にある。ただし、対象範囲設定、停止判断、最終報告は人間監督が前提である。

3,600倍高速・156倍低コストという数値は何を意味するのか。

単なる性能自慢ではなく、試行回数の経済性が変わることを意味する。従来なら採算が合わなかった派生ケースや低確率仮説まで探索対象にできるため、重大脆弱性の取りこぼしを減らしやすい。

完全自律のペンテストは2028年まで難しいのか。

その年限自体は一次資料から直接証明できないが、難しいという方向性は妥当である。ボトルネックはモデル精度だけでなく、契約、監査、停止責任、開示責任といった制度面にあるためである。

Bug Bounty市場でAIは人間の代替になるのか。

現時点では代替より補完である。AIは候補生成と探索拡張に強く、人間は影響度評価、重複排除、報告品質、顧客対応に強い。収益性が高いのは、AI加速と人間監督を組み合わせるモデルである。

参考文献