AI News HubLIVE
站内改写

AIが3900件の重要なオープンソースバグを発見、IBMが50億ドルを投じて修正へ

IBMとRed Hatは、Project Lightwellに50億ドルを投じ、2万人のエンジニアとAIツールを活用してエンタープライズ向けオープンソースソフトウェアのセキュリティを強化する計画を発表した。AnthropicのMythos Preview AIがオープンソースソフトウェアで約3900件の高リスクまたは重大な脆弱性を発見したことが背景にある。このプログラムには、脆弱性報告の調整、既存バージョンへのバックポートパッチ、AI支援によるエンジニアリングが含まれる。

記事インテリジェンス

エンジニア中級

要点

  • AnthropicのMythos Preview AIがオープンソースソフトウェアで約3900の高/重大脆弱性を発見
  • IBMとRed HatがProject Lightwellに50億ドルと2万人のエンジニアを投入
  • 脆弱性報告クリアリングハウス、プロダクション版へのバックポート、AI生成パッチを人間がレビュー
  • AIパッチの品質やアップストリーム優先、放置プロジェクトへの対応にコミュニティの懸念

重要な理由

このニュースが重要なのは、AnthropicのMythos Preview AIがオープンソースソフトウェアで約3900の高/重大脆弱性を発見ためです。

技術的影響

モデル選定、推論コスト、プロダクト能力、評価基準に影響する可能性があります。

IBMとRed Hatは2026年5月28日、Project Lightwellの立ち上げを発表した。これは、企業向けオープンソースソフトウェアのセキュリティクリアリングハウスであり、500億ドルの資金、2万人のエンジニア、そしてAIツールを投入する大規模な取り組みである。この計画の直接のきっかけは、AnthropicのMythos Preview AIがオープンソースソフトウェアから約3,900件の高リスクまたは重大な脆弱性を発見したことにある。これは年単位の監査結果ではなく、単一の最先端AIモデルがプレビュー実行で見つけたものであり、モデルは日々向上している。

脆弱性問題は深刻化している。2024年には4万件以上のCVEが公開され、IBMは2026年には5万9千件に達すると予測する。この加速はソフトウェア品質の低下ではなく、AIによる脆弱性発見が人間のセキュリティチームの能力を超えて拡大しているためだ。フォーチュン500企業の90%以上がオープンソースソフトウェアを利用しており、それぞれのCVEが銀行、病院、電力網などの本番システムへの侵入経路となり得る。これらのソフトウェアは多くの場合、ボランティアや趣味の開発者、小規模チームによって保守されており、毎月数百件の脆弱性報告を処理する余裕はない。

Project Lightwellは三つの具体的な活動で構成される。第一に、調整されたセキュリティクリアリングハウス:企業は公開前にIBMとRed Hatに機密脆弱性を報告でき、IBMは顧客のソースコードにアクセスせずに問題を検証し修正を開発する。修正は顧客管理のリポジトリに配信され、その後アップストリームプロジェクトに提供される。第二に、既存バージョンへのバックポート:このプログラムは、依存関係のアップグレードを強制せず、企業が本番で使用している正確なバージョンにセキュリティ修正をバックポートする。例えば、特定のJavaライブラリバージョンに固定されている場合、そのバージョンにパッチが適用される。初期焦点はMavenとJavaで、PyPI、npm、Goが計画されている。第三に、AI支援エンジニアリング:AIは脆弱性のトリアージ、優先順位付け、初期パッチ開発を担当し、エンジニアはそれらをレビュー、調整し、最終的にアップストリームプロジェクトや顧客環境に送り出す。

早期導入者として、バンク・オブ・アメリカ、シティ、ゴールドマン・サックス、JPモルガン・チェース、マスターカード、Visaなど11の大手金融機関がすでに協力している。これらの組織が参加することで、複雑なサプライチェーンのエッジケースが早期に解決されることが期待される。

Linuxコミュニティの反応は概して敵対的ではなかったが、三つの深刻な懸念が提起された。第一に、AI生成パッチがアップストリームで受け入れられる品質かどうか。脆弱性の発見は可能でも、プロジェクトのコードスタイルに適合し、テストスイートを通過し、厳しいコードレビューを経てマージされるパッチを書くことは別問題だ。IBMとRed Hatは、2万人のエンジニアは経験豊富なオープンソース貢献者であり、AIはトリアージと初期パッチ生成のみに使用され、人間がレビューと貢献を担当すると述べている。しかし、商業的压力がCVE処理速度を優先する場合、この比率が保たれるかは不明だ。第二に、有料顧客が先にパッチを受け取るのではないかという懸念。Red Hatの「アップストリームファースト」ポリシーと欧州のサイバーレジリエンス法がこの懸念を緩和している。第三に、メンテナーのいないプロジェクトはどうなるのか。IBMはこの点について十分な回答をしておらず、放棄されたが広く依存されているソフトウェア層への対応は今後の課題である。

IBMが今このタイミングで動くのは偶然ではない。AIによる脆弱性の波はセキュリティチームを震撼させており、開示件数は増加し、自動化された悪用の高度化は進み、脆弱性発見から悪用までの時間は短縮している。IBMは、企業が管理型オープンソースセキュリティにこれまでにない規模で料金を支払うだろうと賭けている。Red HatはLinuxとOpenShiftでそのモデルが機能することを証明しており、Lightwellはその賭けをアプリケーション依存関係ツリー全体に拡大する。

結論として、Project Lightwellの成功はアップストリーム貢献の実際の運用に依存する。2万人のエンジニアが高品質のパッチを提供し、プロジェクトを共同保守し、小規模メンテナーが単独では処理できないCVEの洪水に対処するのを支援できれば、コミュニティへの利益は本物だ。最も難しい疑問は、技術が機能するかどうかではなく、500億ドルの商業プログラムがビジネスの拡大に伴ってオープンソースコミュニティの利益と整合性を保てるかどうかである。Red Hatはこれまでの実績が比較的良好であり、IBMはRed Hatのエンジニアリングを独立させ、その規範に従って運営することを約束している。

詳細はibm.com/products/lightwellをご覧ください。

主要数字:500億ドルの投資、2万人のエンジニア、AIが発見した3,900件の高/重大脆弱性、2024年4万件以上のCVE、2026年予測5.9万件、IBMが使用する6.2万超のオープンソースパッケージ、11の主要金融機関が早期導入。