2026年5月11日、Googleは歴史上初めて、犯罪グループが人工知能を使ってゼロデイエクスプロイトを開発したことを文書で証明した。Google Threat Intelligence Group(GTIG)のレポートによると、攻撃対象は人気のオープンソース製Web管理ツールで、悪用されれば有効な認証情報を持つ者なら誰でも2FAを回避できる脆弱性だった。GTIGはベンダーと協力し、大規模な攻撃キャンペーンが始まる前にパッチを適用した。AIが自らの仕事に「署名」してしまったことが、攻撃者の正体を暴いた。
GoogleはなぜAI生成コードを見抜けたのか
GTIGが怪しいと判断した理由は、脆弱性の種類ではなく、コードのスタイルにあった。問題のPythonコードには、まるでモデルが学生に説明するかのような過剰なコメントが付いていた。さらに、実在するCVEデータベースに存在しない架空のCVSSスコアが記載されており、人間の開発者なら決して書かないほど整然とした構造を持っていた。人間の開発者なら、変数名は雑多になり、コメントは複数の言語が混在し、対称的な構造など生まれない。
GTIGは、AIモデルが脆弱性の発見と武器化の両方を支援したと高い確信を持って結論付けた。使用されたモデルはGeminiでも、2026年4月にAnthropicが危険な速度でOSやブラウザの重大な脆弱性を発見したとして展開を停止したClaude Mythosモデルでもない。OpenClawまたは同等のモデルが使用されたと推測されている。
GTIGの主任アナリストであるJohn Hultquistは、2026年5月11日のレポート発表の場でこう述べた。「AIによる脆弱性発見競争はもうすぐ始まるという誤解がある。現実には、すでに始まっている。」そして付け加えた。「AIに帰属できるゼロデイが1件あるとすれば、外にはさらに多くの事例が存在する可能性が高い。」
GTIGレポートが示す、より広い脅威の構図
今回のゼロデイ事案は、孤立した出来事ではない。5月11日付のGTIGレポートは、国家アクターと犯罪組織が並行して展開するAI支援活動のエコシステム全体を記録している。
北朝鮮軍と関係するAPT45は、CVEを再帰的に分析して概念実証(PoC)を自動検証するため、AIモデルに「数千件の反復プロンプト」を送り付けている。AIがなければ実現不可能な規模での脆弱性兵器化を進めている。中国系アクターUNC2814は「専門家ペルソナ」によるジェイルブレイク手法でGeminiに対し、TP-LinkファームウェアとOFTPプロトコルのリモートコード実行脆弱性を探索させている。同じく中国系のAPT27は、Geminiを使って住宅用IPを経由するトラフィックをルーティングするネットワーク管理アプリを開発し、追跡困難なカバーシステムを構築した。
犯罪組織側では、ロシアのグループがAI生成コードをパディングとして使い、セキュリティ研究者の解析を攪乱するマルウェアファミリーCANFAILとLONGSTREAMを配布している。そして最も自律的な事例がPromptSpyだ。ESETが特定したAndroidバックドアで、Gemini APIを直接呼び出して感染端末を自律的に操作し、画面をリアルタイムで解釈して次のアクションを決定する。攻撃者がリモート操作するのではなく、システムの状態に応じてモデル自身が判断する。
AIを利用した攻撃タイムライン 2026年
攻撃者はどのようにAIを使ってエクスプロイトを開発するのか
GTIGが記録したプロセスは3段階からなる。第1段階では、攻撃者はターゲットのソースコードや公開ドキュメントをモデルに提供し、古典的な脆弱性(バッファオーバーフロー、インジェクション)だけでなく、論理的な攻撃面を特定するよう求める。LLMは開発者のように意図を理解し、意図と実装のズレを見つけ出せる。
第2段階では、モデルが構造化されコメント付きのPythonでPoCを生成する。人間の開発者との違いはただひとつ。コメントが過剰に説明的で、CVSSスコアが架空のものであることだ。第3段階では、攻撃者が制御された環境でPoCをテストし、OpenClawのようなエージェントツールを使って検証を自動化し、最終的なペイロードを準備する。全工程が数週間ではなく数時間で完了する。
北朝鮮のAPT45はまさにこのパイプラインを使用している。GTIGレポートによると、数千件の反復プロンプトでCVEを並列分析し、PoCを自動的に検証する。運用コストが下がり、攻撃規模は拡大する一方だ。この動態が、すでにクリプト分野で自律稼働するAIエージェントとどう絡み合うかを理解する上で、LiteLLMが接点となる。
LiteLLM、暗号資産ウォレット、そして見落とされているリスク
言い換えると、LiteLLMは、ソフトウェアアプリケーションをAIモデルプロバイダーに接続するライブラリだ。取引所を管理するAIエージェント、ウォレット、ポートフォリオモニター、あるいはクリプトAPIと連携するシステムを使っているなら、LiteLLMが間に入っている可能性は十分ある。
TeamPCPは2026年3月、汚染されたPyPIパッケージを通じてLiteLLMを侵害した。クレデンシャルスティーラーのSANDCLOCKは、ビルド環境から直接AWSキーとGitHubトークンを抜き取った。侵害されたバージョンのLiteLLMを自社システムに組み込んでいた開発者は、取引所のAPIキー、Webhook、CI/CD環境に設定されたあらゆる機密情報を危険にさらした可能性がある。GTIGはこれを「新興パターン」と表現している。フロンティアモデル自体を直接侵害するのは難しい。しかしその周辺を取り囲むコネクタ、ラッパー、APIレイヤーはそうではない。
クリプトで自律的に決済を行うAIエージェントを運用する者にとって、AI依存関係のサプライチェーンは、ウォレット本体と同様に攻撃対象面の一部となっている。IMFは2026年5月7日の声明で、AI時代のサイバーセキュリティはIT部門に委ねるべき技術的問題ではなく、システミックな金融安定の問題であると明示した。NISTはすでに最初の耐量子暗号アルゴリズムを標準化している。GoogleはBig SleepとCodeMenderを使って、攻撃者より先に脆弱性を自動的に発見・修正している。
GTIGの次回AI Threat Trackerアップデートは2026年第3四半期のデータを基にする予定で、Hultquistは「会話を変える数字になる」と述べている。5月以降に能力がどれだけ進展したかを明らかにするデータになるとみられる。日本の金融庁(FSA)や暗号資産取引業協会(JVCEA)が監督する国内取引所・開発者も、AIが使用されるサプライチェーン全体のセキュリティを今一度点検する必要がある。AIによる攻撃の時代は、誰もが想定していたよりずっと早く始まった。次の焦点は、2026年Q3のGTIGレポートが発表される秋以降だ。
