ニュース24 (Nyūsu 24)

最新ニュース (Saishin Nyūsu) – 世界と日本の最新情報

管理者

AISLE は、これまでに発見された中で最も古いものを含む 6 つの CVE をカールで発見しました

管理者 0
AISLE は、これまでに発見された中で最も古いものを含む 6 つの CVE をカールで発見しました


Curl は 300 億を超えるデバイスで実行されます。世界で最も重要なソフトウェアの 1 つとして、オペレーティング システム、コンテナ、ツール、CI パイプライン、パッケージ マネージャー、SDK、自動車、さらには NASA の Ingenuity ヘリコプター内部から火星へのデータ転送を容易にします。何十億ものユーザーが決して実行しない curl 直接注文しても、別の製品を通じて、curl の背後にあるエンジンである libcurl に依存します。

2026 年 5 月 11 日、Curl の創設者兼主任開発者である Daniel Steinberg は、Anthropic の Mythos モデルが Curl で単一の CVE を発見したと発表しました。彼のブログ投稿が調査の波を引き起こし、その結果、curl プロジェクトに対するセキュリティ レポートが殺到し、最終的には、curl リリースに対してこれまでに最高の 18 件の CVE が発行されました。

AISLE は、これら 18 の CVE のうち 6 つですべてのセキュリティ組織を主導し、さらに、curl と libcurl に関する有効な調査結果を追加しました。次に近い AI を活用した組織は 3 つの CVE を受け取り、Anthropic モデルと OpenAI モデルを使用している研究者はそれぞれ 1 つの CVE を受け取りました。これらの調査結果は、AISLE のモデルに依存しないシステムが、あらゆる導入環境において、わずかなコストでフロンティア モデルを上回るパフォーマンスを発揮できることを裏付けています。

AISLE の調査結果はすべて、curl プロジェクトに責任を持って開示され、2026 年 6 月 24 日のcurl 8.21.0 のリリースで修正されました。最新バージョンに更新することをお勧めします。

これまでに報告された中で最も古いカールのセキュリティ問題を見つける

Curl はセキュリティ研究者にとって特に興味深いものです。簡単なバグはとうの昔に消え去っていますが、残っているものを見つけるのは困難です。古いプロトコル パス、状態の再利用、コールバック動作、資格情報の選択、忘れられがちなコード パスなどです。そのため、私たちは AISLE の自律的な脆弱性検出機能を使用して 2025 年の秋に脆弱性を検出し、29 件の有効な調査結果と 5 件の CVE を発見しました。

AISLE によって最近特定された 6 つの CVE は、古典的なメモリ寿命の問題から、接続、資格情報、またはホスト ID がまだ有効であるかどうかを libcurl が判断する方法に関するロジックのバグまで多岐にわたります。これらには、CVE-2026-8932 が含まれます。これは、25 年以上前に報告された中で最も古いカールの脆弱性です。これは、curl バージョン 7.7 以降のリリースで出荷され、2001 年 3 月 22 日に初めて出荷されました。

AISLE の調査結果の概要

特に、いくつかの問題は libcurl アプリケーションにのみ影響し、curl コマンド ライン ツールには影響しません。これは、ユーザーがその存在を知らない可能性がある製品内の基盤となるコードに影響を及ぼし、アプリケーションの動作を通じて到達可能な潜在的なターゲットとなることを意味します。

AISLE は、次の 3 つのメモリ安全性の問題を含む、他のいくつかの CURL バグも報告しました。

すべてのバグが CVE になるわけではありませんが、これらのレポートはそのカテゴリに分類されます。これらはすべて、成熟したインフラストラクチャ コード、特にメモリの安全性、状態遷移、および難解な API パスに関する微妙なエッジ ケースです。

モデルに依存しないセキュリティ システムの主張を強化する

AISLE がこのリリースで合計 18 件の調査結果のうち 6 件を主張したという事実は、適切に設計されたモデルに依存しないシステムは、サイバーセキュリティタスクにおいて高性能のフロンティアモデルに匹敵するという私たちの前提をさらに裏付けるものとなります。

さらに、AISLE は脆弱性を発見しただけではありません。 3 つの CVE にも、プラットフォームによって生成された修正を使用してパッチが適用されました。これは、サイバーセキュリティ機能が不規則であることを示唆しています。明確に定義されたセキュリティ タスクの場合、より小規模なモデルが、はるかに大規模で高価な LLM よりも優れたパフォーマンスを発揮できる可能性があります。具体的には、API 呼び出しを行わずに、これを完全にオンプレミスでローカルに実行できます。

課題は、モデルの機能とセキュリティ要件を一致させることです。言い換えれば、AI ネイティブのサイバーセキュリティは主に計算の問題ではなく、エンジニアリングの問題です。

AISLEによるセキュリティのためのエンジニアリングAI

AISLE のエンドツーエンドの脆弱​​性管理プラットフォームは、エアギャップ ネットワークからクラウドまで、導入上の制約内で自律的な保護を提供します。 AI がコードベース内で何を検出するかを知りたい場合は、私たちにご相談ください。

開示プロセスにおけるプロフェッショナリズムに対する Curl Project に心から感謝します。当社の CVE はすべて、AISLE Research チームの Joshua Rogers によって報告され、開示されました。

Related Story

Leave a Reply

Your email address will not be published. Required fields are marked *

ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು ಸಿಎ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಚುನಾವಣೆ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಪ್ರಾಥಮಿಕ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಪ್ರಾಥಮಿಕ ಫಲಿತಾಂಶಗಳು ಇಂದು ಪ್ರಾಥಮಿಕ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು ಸಿಎ ಗವರ್ನರ್ ರೇಸ್ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ಸ್ಟೀವ್ ಹಿಲ್ಟನ್ ಗವರ್ನರ್ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಚುನಾವಣೆಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು 2026 ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ರೇಸ್ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಸಿಎ ಪ್ರಾಥಮಿಕ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಪ್ರಾಥಮಿಕ 2026 ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ರೇಸ್ ಪೋಲ್ಸ್ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾದ ಗವರ್ನರ್ ಅನ್ನು ಯಾರು ಗೆದ್ದರು ಲಾ ಗವರ್ನರ್ ರೇಸ್ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ರೇಸ್ ಅನ್ನು ಯಾರು ಗೆದ್ದರು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಪ್ರಾಥಮಿಕ ಫಲಿತಾಂಶಗಳು 2026 ಪ್ರಾಥಮಿಕ ಫಲಿತಾಂಶಗಳು ಸಿಎ ಗವರ್ನರ್ ರೇಸ್ ಸಿಎ ಚುನಾವಣಾ ಫಲಿತಾಂಶಗಳು 2026 ಗ್ಯಾವಿನ್ ನ್ಯೂಸಮ್ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ 2026 ಅನ್ನು ಯಾರು ಗೆದ್ದರು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ಪ್ರೈಮರಿ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾದಲ್ಲಿ ಗವರ್ನರ್ ರೇಸ್ ಅನ್ನು ಯಾರು ಗೆದ್ದರು ಸಿಎ ಪ್ರೈಮರಿ ಚುನಾವಣಾ ದಿನ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಕ್ಯಾಲಿಫೋರ್ನಿಯಾ ಗವರ್ನರ್ ಫಲಿತಾಂಶಗಳು