Hacker Newsで広がるClaude CodeのLinux bug hunt

2026-04-03、Hacker Newsでは「Claude Code Found a Linux Vulnerability Hidden for 23 Years」という投稿が219 points、135 commentsを集めた。リンク先のMichael Lynchによる解説は、[un]prompted 2026でNicholas Carliniが話した内容をまとめたものだ。ポイントは、Claude Codeを使ってLinux kernelのmultiple remotely exploitable vulnerabilityを見つけ、そのうちの一つが2003年から潜んでいたという点である。

特に注目されたのはLinux NFS driverのケースだ。サーバー側の応答生成で112-byte bufferを使っていた一方、denial messageにはowner IDが含まれ、全体で1056 bytesまで膨らみ得た。その結果、kernelが112-byte bufferに1056 bytesを書き込み、heap overflowが起き、attacker-controlled dataでkernel memoryを書き換えられる余地が生まれた。重要なのは、これは単純な危険パターンの照合ではなく、二つの協調するNFS clientとサーバーのstate machineにまたがるprotocol interactionを追わないと見えにくい bug だったことだ。

解説によれば、この脆弱なロジックは2003年にNFSv4 state handling向けの112-byte static replay bufferを導入した変更まで遡る。Carliniは、今や大きなボトルネックはidea generationではなくhuman validationだと述べている。Claude Codeはcrashやcandidate findingを大量に出せる一方、それを人間が確認し、責任を持ってreportする速度が追いつかない。Lynchは、すでに複数のLinux issueが修正または報告された一方で、さらに多くの候補はreview待ちのままだと記している。

この話はAI-assisted securityの実務的な見方を変える。Claude Opus 4.6のようなmodelが、いますぐturnkey autonomous exploit kitになったわけではないし、現時点ではexploitationよりdiscoveryの方が得意だと見るのが妥当だ。それでもdefenderは完全自動の攻撃を待つ必要はない。現在のcoding agentでも、大規模codebaseに潜む深く非自明なbugを見つける速度を大きく引き上げられる。open-source maintainerにとっては機会であると同時にscaling problemでもあり、triage、reproduction、patchingの体制が追いつかなければ、discoveryだけが加速しても処理しきれない。