FreeBSD AI支援脆弱性発見プロジェクトの開始

2026年6月15日、FreeBSD FoundationはAI支援脆弱性発見プロジェクト（AI-Assisted Vulnerability Discovery Project）を開始しました。このプロジェクトは6ヶ月間の取り組みであり、Alpha Omegaプロジェクトからの25万ドルの助成金によって資金提供されています。主な目標は、FreeBSDソースコード内の悪用可能な脆弱性の数を削減することです。

資金は、FreeBSDセキュリティチームのメンバーを期限付き契約で雇用し、脆弱性の発見と修正に充てられます。セキュリティチームは、公開されているAIモデルとトークンに無料でアクセスできます。ただし、AIは脆弱性の発見と分析にのみ使用され、すべてのパッチは手動で作成されます。

このプロジェクトの背景には、オープンソースコードベースがAI支援の脆弱性スキャンの主要なターゲットとなっていることがあります。これにより、悪用までの実効時間がゼロ日に短縮されています。FreeBSDプロジェクトはすでに、AI対応セキュリティツールに起因する複数の信頼できる脆弱性報告を受けています。報告数の急増と品質の低下は、オープンソースプロジェクトにとって課題です。さらに、悪意ある行為者がAIを使用して脆弱性を発見し、他の誰も気付かないうちに悪用するリスクもあります。

FreeBSD FoundationのエグゼクティブディレクターであるDeb Goodkin氏は、「Alpha-Omegaのこの重要な取り組みへの支援に感謝します」と述べています。FreeBSDプロジェクトのセキュリティオフィサーであるGordon Tetlow氏は、「この資金はボランティアのセキュリティチームを強化し、報告された脆弱性に対応するだけでなく、積極的に脆弱性を発見、トリアージ、修正する能力を与えてくれます」とコメントしています。

プロジェクトは最初にFreeBSDカーネルに焦点を当て、その後ベースシステムのユーザーランド、portsツリーへと進みます。FreeBSDのすべての部分が対象となる可能性があり、時間の許す限り優先順位に従って処理されます。プロジェクトチームは、Alpha Omegaが資金提供する他の類似プロジェクトとも連携し、作業を相互に共有・改善します。

パートナーには、Netflix（ネットワークスタックのテストと検証を支援）、NetApp、Verisign（機能領域の優先順位付け、AIスキャンの協力、回帰テストと検証）が含まれます。また、Project Glasswingを通じてClaude Mythos Previewにアクセスできるセキュリティ研究者やFreeBSDベンダーもおり、可能な範囲で補完的な発見と分析を提供します。Ruby、Node.js、PHPなどの他のオープンソースプロジェクトでも同様の取り組みが行われています。

プロジェクトには、Mark Johnston（FreeBSD Foundation契約セキュリティエンジニア）、Pierre Pronchery（同契約セキュリティエンジニア）、Tuukka Pasanen（契約DevOpsエンジニア）の3名のパートタイムエンジニアが参加します。

詳細については、プロジェクトのGitHubページ（https://github.com/FreeBSDFoundation/all-projects/tree/main/AI-assisted-vulnerability-discovery）をご覧ください。