「AIが未知の脆弱性を次々と発見し、高度なサイバー攻撃が急増する」そんな映画のような脅威論に対し、本論文は「バゴノミクス(脆弱性の経済学)」の視点から、より現実的で構造的な課題を提示しています。
著者らはMozillaなどの公開事例を基に、AIが「バグの候補」を見つけるコストを劇的に下げる一方で、それが直ちに「実用的な攻撃手段」になるわけではないと指摘します。
近い将来に起きる重要な変化は、ゼロデイ攻撃の増加だけではありません。真の危機は、大量のバグ報告によって、防御側の処理能力がパンクすることにあります。
AIがバグを見つけても、その影響を評価し、パッチを書き、安全にリリースするには人間の専門知識と時間が必要です。技術の進化により、セキュリティのボトルネックは「バグを見つけること」から「検証・修正・リリースすること」へと大きく移行しつつあるのです。
この問題は、常に人手不足なオープンソース(OSS)のエコシステムにおいて特に深刻な負荷となります。論文は、今後は単なるバグ報告の数ではなく、検証の負担を減らす証拠や修正案を含んだ「高品質な修正パッケージ」をいかに提供できるかが、防衛の要になると結論づけています。
Demystifying the Mythos or Disrupting Bugonomics? From Zero-Day Asymmetry to Defender Remediation Throughput. Alfredo Pesoli, Herman Errico, Lorenzo Cavallaro. Arxiv:2605.24632