Google、Big Sleepの検出実績を踏まえAI脆弱性検出パッチをオープンソース化

発表のポイント

Google Security Blogは2026年2月12日、AIエージェントBig Sleepの検出実績をもとに、AI駆動の脆弱性検出を強化するパッチを公開したと発表した。投稿では、Big SleepがOpenSSLの脆弱性CVE-2025-6965を検出し、upstreamで修正されたことが示されている。Googleはこの事例を、AIセキュリティ技術が研究段階だけでなく実運用でも成果を出せる根拠として位置付けた。

1月事例との連続性

同投稿は、2026年1月にBig SleepがNVIDIA Tritonの脆弱性を検出し、修正後にCVE-2025-23319が付与された件にも言及している。複数案件を同時に示したことで、今回の公開が単発の成功例ではなく、検出から修正までの再現可能なワークフローであることを強調している。

• 公開先: OSS-Fuzz と Open Source Vulnerabilities
• 目的: AI脆弱性検出の精度・実用性向上
• 文脈: OpenSSF、Google、Rust Foundationによるオープンソースセキュリティ連携

業界への含意

AI/ITチームにとって重要なのは「AIがバグを見つけた」こと自体より、成果評価の軸が明確になった点だ。すなわち、CVE発行やupstream patchといった検証可能なアウトカムで効果を判断する方向に進んでいる。

2026年の現実的な運用モデルは、既存のセキュア開発プロセスを維持しつつ、AI検出を前段のカバレッジ拡張に組み込む形だろう。Googleの事例は、AIを既存の脆弱性管理に接続したときに最も高い実務価値が出ることを示している。さらに、OSS-FuzzとOpen Source Vulnerabilitiesへの改善共有は、特定企業の内部改善に留まらず、オープンソース利用全体の供給網セキュリティ底上げにつながる可能性がある。

出典: Google Security Blog