AIオーディター「zkao」がOpenVMでCriticalバグを特定!
何が起きたのか?ニュースの概要
- AIオーディター「zkao」が深刻な脆弱性を発見: OpenVMのゲストライブラリ
openvm-pairingにおいて、ペアリングチェックの不備(CVE-2026-46669)を特定した。 - 通常のLLMでは発見不可能だった: Opus 4.7やCodex 5.4といった最新モデルの単純なプロンプトでは見落とされていた、複雑な依存関係に潜むバグを9.5時間のスキャンの末に暴き出した。
- 既に修正済み: このバグはOpenVM 1.6.0で修正されており、AIが生成した詳細なレポートとPoC(概念実証)により、開発チームは即座に脆弱性を確認・対応できた。
なぜこれが重要なのか?注目すべきポイント
- ゼロ知識証明(ZKP)の根幹を揺るがす: 脆弱性は「ペアリング」というSNARK(Groth16等)の核心技術に関わるもので、悪意のある証明者が偽の証明を正当なものと誤認させることが可能だった。
- 「文脈エンジニアリング」の勝利: 単一モジュールの解析ではなく、モジュール間の複雑な前提条件や不変条件を追跡する「zkao」専用のワークフローが、100万トークンを超えるコンテキストの壁を突破した。
🦈 サメの眼(キュレーターの視点)
今回のニュースで震えたのは、Opus 4.7ですら単体では見逃した「超複雑なパズル」を、AIエージェントの連携で見事に解いたことだサメ!
通常のAI監査だと、コードを細切れにして「このフォルダにバグはあるか?」と聞くのが限界だったサメ。でも、zkVMのような高度なシステムでは、単体で安全なモジュールを組み合わせた瞬間に穴が生まれる。zkaoは、各エージェントが「このモジュールは何を前提にしているか」という知識(ナレッジ)を抽出し、それをメインエージェントが統合して解析するという、人間に近い思考プロセスを9.5時間も継続したんだサメ。まさに、物量と専門スキルの融合だサメ!
これからどうなる?
AIによるコード監査は「指摘の多さ」ではなく「文脈の深さ」を競うフェーズに入るサメ。今後は、開発者がコードを書いた瞬間に、こうした高度なAIエージェントがバックグラウンドで数時間かけて深層監査を行うのが当たり前になるはずだサメ!
はるサメ視点の一言
最新モデルでもダメだった壁を、気合の入ったコンテキスト設計でぶち破る姿にサメ肌が立ったサメ!AIの「根性(長時間スキャン)」を侮っちゃいけないサメ!🦈🔥
用語解説
-
zkao: zkSecurity社が開発した、暗号技術に特化したAIセキュリティ監査ツール。専門家のスキルをワークフロー化して実行する。
-
zkVM: ゼロ知識証明(ZKP)を生成できる仮想マシン。複雑なプログラムの実行過程が正しいことを、内容を明かさずに証明できる技術。
-
ペアリング(Pairing): 高度な暗号プロトコルの基盤となる数学的写像。これが破られると、署名の偽造や証明の改ざんが可能になる非常に重要な部分。
-
情報元: AI Meets Cryptography 2: What AI Found in OpenVM’s ZkVM”